Безопасность SAP - Сетевые коммуникации
Secure Network Communication (SNC)также может использоваться для входа на сервер приложений с использованием безопасного метода аутентификации. Вы можете использовать SNC для аутентификации пользователя через SAP GUI для Windows или с помощью RFC-соединения.
SNC использует внешний продукт безопасности для аутентификации между партнерами по обмену данными. Вы можете использовать меры безопасности, такие как инфраструктура открытых ключей PKI и процедуры для создания и распространения пар ключей.
Вы должны определить топологию сети, которая может устранить угрозы и предотвратить сетевые атаки. Когда пользователи не могут войти в уровень приложения или базы данных, злоумышленники не могут получить доступ к системе SAP или системе базы данных для доступа к важной информации.
Четко определенная топология сети не позволяет злоумышленникам подключаться к локальной сети компании и, следовательно, не имеет доступа к лазейкам безопасности в сетевых службах или в системе SAP.
Топология сети в системе SAP
Архитектура вашей физической сети полностью зависит от размера вашей системы SAP. Система SAP обычно реализуется с архитектурой клиент-сервер, и каждая система обычно делится на следующие три уровня:
- Уровень базы данных
- Уровень приложения
- Слой презентации
Если ваша система SAP небольшая, она может не иметь отдельного приложения и сервера базы данных. Однако в большой системе многие серверы приложений взаимодействуют с сервером базы данных и несколькими интерфейсами. Это определяет топологию сети системы от простой до сложной, и вы должны учитывать различные сценарии при организации топологии сети.
В крупномасштабной организации рекомендуется устанавливать приложение и сервер базы данных на разных машинах и размещать их в локальной сети, отдельной от внешней системы.
На следующем изображении вы можете увидеть предпочтительную топологию сети системы SAP -
Когда вы размещаете свою базу данных и сервер приложений в отдельной VLAN от внешних VLAN, это позволяет улучшить систему контроля доступа и, следовательно, повысить безопасность вашей системы SAP. Системы внешнего интерфейса находятся в разных VLAN, поэтому нелегко попасть в серверную VLAN и, следовательно, обойти безопасность вашей системы SAP.
Сетевые услуги SAP
В вашей системе SAP включены различные службы, однако для работы системы SAP требуется лишь несколько. В системе SAPLandscape, Database и Application Serversявляются наиболее частой целью сетевых атак. Многие сетевые службы работают в вашем ландшафте, что обеспечивает доступ к этим серверам, и эти службы следует тщательно контролировать.
На ваших машинах Window / UNIX эти службы поддерживаются в /etc/services. Вы можете открыть этот файл на машине с Windows, перейдя по следующему пути -
system32/drivers/etc/services
Вы можете открыть этот файл в Блокноте и просмотреть все активированные службы на вашем сервере -
Рекомендуется отключить все ненужные службы на ландшафтных серверах. Иногда эти службы содержат несколько ошибок, которые могут быть использованы злоумышленниками для получения несанкционированного доступа. Отключив эти службы, вы уменьшите вероятность атаки на вашу сеть.
Для обеспечения высокого уровня безопасности рекомендуется также использовать файлы статических паролей в среде SAP.
Частные ключи
SNC использует внешний продукт безопасности для аутентификации между партнерами по обмену данными. Вы можете использовать такие меры безопасности, какPublic Key Infrastructure (PKI) и другие процедуры для генерации и распределения пар ключей и обеспечения надлежащей защиты закрытых ключей для пользователей.
Есть разные способы защиты закрытых ключей для авторизации в сети -
- Аппаратное решение
- Программное решение
Давайте теперь обсудим их подробно.
Аппаратное решение
Вы можете защитить закрытые ключи для пользователей с помощью аппаратного решения, в котором вы выдаете смарт-карту отдельным пользователям. Все ключи хранятся на смарт-карте, и пользователь должен пройти аутентификацию на своих смарт-картах с помощью биометрических данных, используя отпечатки пальцев или пароль PIN.
Эти смарт-карты должны быть защищены от кражи или потери каждым отдельным пользователем, и пользователи могут использовать карту для шифрования документов.
Пользователям не разрешается делиться смарт-картами или передавать их другим пользователям.
Программное решение
Также возможно использование программного решения для хранения закрытых ключей для отдельных пользователей. Программные решения менее дорогие по сравнению с аппаратными решениями, но они также менее безопасны.
Когда пользователи хранят закрытые ключи в файлах и сведениях о пользователях, необходимо защитить эти файлы от несанкционированного доступа.