SAP HANA - przegląd zabezpieczeń
Bezpieczeństwo oznacza ochronę krytycznych danych firmy przed nieautoryzowanym dostępem i wykorzystaniem oraz zapewnienie zgodności i standardów zgodnie z polityką firmy. SAP HANA umożliwia klientowi wdrożenie różnych polityk i procedur bezpieczeństwa oraz spełnienie wymagań zgodności firmy.
SAP HANA obsługuje wiele baz danych w jednym systemie HANA i nazywa się to kontenerami baz danych dla wielu dzierżawców. System HANA może również zawierać więcej niż jeden kontener baz danych dla wielu dzierżawców. System z wieloma kontenerami zawsze ma dokładnie jedną bazę danych systemu i dowolną liczbę kontenerów baz danych dla wielu dzierżawców. System SAP HANA zainstalowany w tym środowisku jest identyfikowany za pomocą pojedynczego identyfikatora systemu (SID). Kontenery baz danych w systemie HANA identyfikowane są poprzez identyfikator SID oraz nazwę bazy danych. Klient SAP HANA, znany jako studio HANA, łączy się z określonymi bazami danych.
SAP HANA zapewnia wszystkie funkcje związane z bezpieczeństwem, takie jak uwierzytelnianie, autoryzacja, szyfrowanie i inspekcja, a także niektóre funkcje dodatkowe, które nie są obsługiwane w innych bazach danych dla wielu dzierżawców.
Poniżej znajduje się lista funkcji związanych z bezpieczeństwem, udostępnianych przez SAP HANA -
- Zarządzanie użytkownikami i rolami
- Uwierzytelnianie i logowanie jednokrotne
- Authorization
- Szyfrowanie komunikacji danych w sieci
- Szyfrowanie danych w warstwie trwałości
Dodatkowe funkcje w wielodostępnej bazie danych HANA -
Database Isolation - Polega na zapobieganiu atakom typu cross tenant poprzez mechanizm systemu operacyjnego
Configuration Change blacklist - Obejmuje zapobieganie zmianie niektórych właściwości systemu przez administratorów baz danych dzierżawców
Restricted Features - Obejmuje wyłączenie niektórych funkcji bazy danych, które zapewniają bezpośredni dostęp do systemu plików, sieci lub innych zasobów.
Zarządzanie użytkownikami i rolami SAP HANA
Konfiguracja zarządzania użytkownikami i rolami SAP HANA zależy od architektury systemu HANA.
Jeśli SAP HANA jest zintegrowany z narzędziami platformy BI i działa jako baza danych raportowania, to użytkownik końcowy i rola są zarządzane na serwerze aplikacji.
Jeśli użytkownik końcowy łączy się bezpośrednio z bazą danych SAP HANA, to użytkownik i rola w warstwie bazy danych systemu HANA są wymagane zarówno dla użytkowników końcowych, jak i administratorów.
Każdy użytkownik chcący pracować z bazą danych HANA musi mieć użytkownika bazy danych z niezbędnymi uprawnieniami. Użytkownik uzyskujący dostęp do systemu HANA może być użytkownikiem technicznym lub końcowym w zależności od wymagań dostępu. Po pomyślnym zalogowaniu się do systemu weryfikowana jest autoryzacja użytkownika do wykonania wymaganej operacji. Wykonanie tej operacji zależy od uprawnień nadanych użytkownikowi. Te uprawnienia można nadać przy użyciu ról w HANA Security. HANA Studio to jedno z potężnych narzędzi do zarządzania użytkownikami i rolami w systemie bazodanowym HANA.
Typy użytkowników
Typy użytkowników różnią się w zależności od zasad bezpieczeństwa i różnych uprawnień przypisanych do profilu użytkownika. Typem użytkownika może być użytkownik technicznej bazy danych lub użytkownik końcowy potrzebuje dostępu do systemu HANA w celu raportowania lub manipulacji danymi.
Użytkownicy standardowi
Użytkownicy standardowi to użytkownicy, którzy mogą tworzyć obiekty we własnych schematach i mają dostęp do odczytu w modelach informacyjnych systemu. Dostęp do odczytu zapewnia rola PUBLIC, która jest przypisana do każdego standardowego użytkownika.
Użytkownicy z ograniczeniami
Użytkownicy z ograniczeniami to użytkownicy, którzy uzyskują dostęp do systemu HANA za pomocą niektórych aplikacji i nie mają uprawnień SQL w systemie HANA. Po utworzeniu tych użytkowników początkowo nie mają oni żadnego dostępu.
Jeśli porównamy użytkowników z ograniczeniami z użytkownikami standardowymi -
Użytkownicy z ograniczeniami nie mogą tworzyć obiektów w bazie danych HANA ani własnych schematów.
Nie mają dostępu do przeglądania żadnych danych w bazie danych, ponieważ nie mają dodanej do profilu ogólnej roli publicznej, takiej jak zwykli użytkownicy.
Mogą łączyć się z bazą danych HANA tylko przy użyciu protokołu HTTP / HTTPS.