SAP Security - การสื่อสารเครือข่าย
Secure Network Communication (SNC)ยังสามารถใช้เพื่อล็อกอินเข้าสู่แอ็พพลิเคชันเซิร์ฟเวอร์โดยใช้วิธีการพิสูจน์ตัวตนที่ปลอดภัย คุณสามารถใช้ SNC สำหรับการพิสูจน์ตัวตนผู้ใช้ผ่าน SAP GUI สำหรับ windows หรือโดยใช้การเชื่อมต่อ RFC
SNC ใช้ผลิตภัณฑ์รักษาความปลอดภัยภายนอกเพื่อดำเนินการรับรองความถูกต้องระหว่างคู่ค้าการสื่อสาร คุณสามารถใช้มาตรการรักษาความปลอดภัยเช่น PKI โครงสร้างพื้นฐานคีย์สาธารณะและโพรซีเดอร์เพื่อสร้างและแจกจ่ายคู่คีย์
คุณควรกำหนดโครงสร้างเครือข่ายที่สามารถกำจัดภัยคุกคามและป้องกันการโจมตีเครือข่าย เมื่อผู้ใช้ไม่สามารถล็อกอินเข้าสู่แอปพลิเคชันหรือเลเยอร์ฐานข้อมูลผู้โจมตีจะไม่สามารถเข้าถึงระบบ SAP หรือระบบฐานข้อมูลเพื่อเข้าถึงข้อมูลที่สำคัญได้
โทโพโลยีเครือข่ายที่กำหนดไว้อย่างดีไม่อนุญาตให้ผู้บุกรุกเชื่อมต่อกับ LAN ของ บริษัท และด้วยเหตุนี้จึงไม่สามารถเข้าถึงช่องโหว่ด้านความปลอดภัยบนบริการเครือข่ายหรือบนระบบ SAP ได้
เครือข่ายโทโพโลยีในระบบ SAP
สถาปัตยกรรมเครือข่ายทางกายภาพของคุณขึ้นอยู่กับขนาดของระบบ SAP ของคุณอย่างสมบูรณ์ ระบบ SAP มักใช้กับสถาปัตยกรรมไคลเอนต์เซิร์ฟเวอร์และโดยทั่วไปแต่ละระบบจะแบ่งออกเป็นสามชั้นดังต่อไปนี้ -
- ชั้นฐานข้อมูล
- Application Layer
- เลเยอร์การนำเสนอ
เมื่อระบบ SAP ของคุณมีขนาดเล็กอาจไม่มีแอปพลิเคชันและเซิร์ฟเวอร์ฐานข้อมูลแยกกัน อย่างไรก็ตามในระบบขนาดใหญ่แอ็พพลิเคชันเซิร์ฟเวอร์จำนวนมากจะสื่อสารกับเซิร์ฟเวอร์ฐานข้อมูลและส่วนหน้าหลายตัว สิ่งนี้กำหนดโครงสร้างเครือข่ายของระบบจากแบบง่ายไปจนถึงแบบซับซ้อนและคุณควรพิจารณาสถานการณ์ต่างๆเมื่อจัดโครงสร้างเครือข่ายของคุณ
ในองค์กรขนาดใหญ่ขอแนะนำให้คุณติดตั้งแอปพลิเคชันและเซิร์ฟเวอร์ฐานข้อมูลบนเครื่องต่าง ๆ และวางใน LAN แยกจากระบบส่วนหน้า
ในภาพต่อไปนี้คุณจะเห็นโครงสร้างเครือข่ายที่ต้องการของระบบ SAP -
เมื่อคุณวางฐานข้อมูลและแอ็พพลิเคชันเซิร์ฟเวอร์ของคุณใน VLAN แยกจากส่วนหน้า VLAN จะช่วยให้คุณสามารถปรับปรุงระบบควบคุมการเข้าถึงและเพิ่มความปลอดภัยให้กับระบบ SAP ของคุณ ระบบส่วนหน้าอยู่ใน VLAN ที่แตกต่างกันดังนั้นจึงไม่ใช่เรื่องง่ายที่จะเข้าสู่ Server VLAN และด้วยเหตุนี้จึงหลีกเลี่ยงความปลอดภัยของระบบ SAP ของคุณ
SAP Network Services
ในระบบ SAP ของคุณมีบริการต่างๆที่เปิดใช้งาน แต่มีเพียงไม่กี่บริการเท่านั้นที่จำเป็นในการรันระบบ SAP ในระบบ SAP ไฟล์Landscape, Database และ Application Serversเป็นเป้าหมายที่พบบ่อยที่สุดของการโจมตีเครือข่าย บริการเครือข่ายจำนวนมากกำลังทำงานในแนวนอนของคุณซึ่งอนุญาตให้เข้าถึงเซิร์ฟเวอร์เหล่านี้ได้และบริการเหล่านี้ควรได้รับการตรวจสอบอย่างรอบคอบ
ในเครื่อง Window / UNIX ของคุณบริการเหล่านี้จะอยู่ใน /etc/services. คุณสามารถเปิดไฟล์นี้ในเครื่อง Windows โดยไปที่เส้นทางต่อไปนี้ -
system32/drivers/etc/services
คุณสามารถเปิดไฟล์นี้ใน Notepad และตรวจสอบบริการที่เปิดใช้งานทั้งหมดในเซิร์ฟเวอร์ของคุณ -
ขอแนะนำให้คุณปิดใช้งานบริการที่ไม่จำเป็นทั้งหมดบนเซิร์ฟเวอร์แนวนอน บางครั้งบริการเหล่านี้มีข้อผิดพลาดเล็กน้อยซึ่งผู้บุกรุกสามารถใช้เพื่อเข้าถึงโดยไม่ได้รับอนุญาต เมื่อคุณปิดใช้งานบริการเหล่านี้คุณจะลดโอกาสในการโจมตีเครือข่ายของคุณ
เพื่อความปลอดภัยระดับสูงขอแนะนำให้ใช้ไฟล์รหัสผ่านแบบคงที่ในสภาพแวดล้อม SAP ของคุณ
คีย์ส่วนตัว
SNC ใช้ผลิตภัณฑ์รักษาความปลอดภัยภายนอกเพื่อดำเนินการตรวจสอบสิทธิ์ระหว่างคู่ค้าด้านการสื่อสาร คุณสามารถใช้มาตรการรักษาความปลอดภัยเช่นPublic Key Infrastructure (PKI) และขั้นตอนอื่น ๆ ในการสร้างและแจกจ่ายคู่คีย์และเพื่อให้แน่ใจว่าคีย์ส่วนตัวสำหรับผู้ใช้มีความปลอดภัยอย่างเหมาะสม
มีหลายวิธีในการรักษาความปลอดภัยของคีย์ส่วนตัวสำหรับการอนุญาตเครือข่าย -
- โซลูชันฮาร์ดแวร์
- โซลูชันซอฟต์แวร์
ตอนนี้ให้เราพูดคุยในรายละเอียด
โซลูชันฮาร์ดแวร์
คุณสามารถป้องกันคีย์ส่วนตัวสำหรับผู้ใช้โดยใช้โซลูชันฮาร์ดแวร์ที่คุณออกสมาร์ทการ์ดให้กับผู้ใช้แต่ละราย คีย์ทั้งหมดจะถูกเก็บไว้ในสมาร์ทการ์ดและผู้ใช้ควรตรวจสอบความถูกต้องกับสมาร์ทการ์ดผ่านทางชีวภาพโดยใช้ลายนิ้วมือหรือใช้รหัสผ่าน PIN
สมาร์ทการ์ดเหล่านี้ควรได้รับการปกป้องจากการโจรกรรมหรือการสูญหายโดยผู้ใช้แต่ละรายและผู้ใช้สามารถใช้การ์ดเพื่อเข้ารหัสเอกสารได้
ไม่อนุญาตให้ผู้ใช้แชร์สมาร์ทการ์ดหรือมอบให้กับผู้ใช้รายอื่น
โซลูชันซอฟต์แวร์
นอกจากนี้ยังสามารถใช้โซลูชันซอฟต์แวร์เพื่อจัดเก็บคีย์ส่วนตัวสำหรับผู้ใช้แต่ละราย โซลูชันซอฟต์แวร์เป็นโซลูชันที่มีราคาไม่แพงเมื่อเทียบกับโซลูชันฮาร์ดแวร์ แต่ก็มีความปลอดภัยน้อยกว่าเช่นกัน
เมื่อผู้ใช้เก็บคีย์ส่วนตัวไว้ในไฟล์และรายละเอียดผู้ใช้จำเป็นต้องรักษาความปลอดภัยไฟล์เหล่านั้นสำหรับการเข้าถึงโดยไม่ได้รับอนุญาต