SAP Güvenliği - Ağ İletişimi
Secure Network Communication (SNC)güvenli kimlik doğrulama yöntemini kullanarak bir uygulama sunucusunda oturum açmak için de kullanılabilir. Windows için SAP GUI yoluyla veya bir RFC bağlantısı kullanarak kullanıcı kimlik doğrulaması için SNC'yi kullanabilirsiniz.
SNC, iletişim ortakları arasındaki kimlik doğrulamasını gerçekleştirmek için harici bir güvenlik ürünü kullanır. Açık anahtar altyapısı PKI gibi güvenlik önlemlerini ve anahtar çiftleri oluşturma ve dağıtma prosedürlerini kullanabilirsiniz.
Tehditleri ortadan kaldırabilecek ve ağ saldırılarını önleyebilecek ağ topolojisi tanımlamalısınız. Kullanıcılar uygulama veya veritabanı katmanında oturum açamadıklarında, saldırganlar kritik bilgilere erişmek için SAP sistemine veya veritabanı sistemine erişemezler.
İyi tanımlanmış bir ağ topolojisi, davetsiz misafirlerin şirketin LAN'ına bağlanmasına ve dolayısıyla ağ hizmetlerindeki veya SAP sistemindeki güvenlik döngüsü deliklerine erişmesine izin vermez.
SAP Sisteminde Ağ Topolojisi
Fiziksel ağ mimariniz tamamen SAP Sisteminizin boyutuna bağlıdır. Bir SAP Sistemi genellikle bir istemci-sunucu mimarisiyle uygulanır ve her sistem genellikle aşağıdaki üç katmana bölünür:
- Veritabanı Katmanı
- Uygulama katmanı
- Sunum Katmanı
SAP sisteminiz küçük olduğunda, ayrı bir uygulaması ve veritabanı sunucusu olmayabilir. Bununla birlikte, büyük bir sistemde, birçok uygulama sunucusu bir veritabanı sunucusu ve birkaç ön uç ile iletişim kurar. Bu, bir sistemin ağ topolojisini basitten karmaşığa tanımlar ve ağ topolojinizi düzenlerken farklı senaryoları göz önünde bulundurmalısınız.
Büyük ölçekli bir kuruluşta, uygulamanızı ve veritabanı sunucunuzu farklı makinelere kurmanız ve ön uç sistemden ayrı bir LAN'a yerleştirmeniz önerilir.
Aşağıdaki görüntüde, bir SAP sisteminin tercih edilen Ağ topolojisini görebilirsiniz -
Veritabanınızı ve uygulama sunucunuzu ön uç VLAN'dan ayrı bir VLAN'a yerleştirdiğinizde, erişim kontrol sistemini iyileştirmenize olanak tanır ve dolayısıyla SAP sisteminizin güvenliğini artırır. Ön uç sistemler farklı VLAN'dadır, bu nedenle Sunucu VLAN'a girmek ve dolayısıyla SAP sisteminizin güvenliğini atlamak kolay değildir.
SAP Ağ Hizmetleri
SAP sisteminizde, etkinleştirilen çeşitli hizmetler vardır, ancak SAP sistemini çalıştırmak için yalnızca birkaçına ihtiyaç vardır. Bir SAP sisteminde,Landscape, Database ve Application Serversağ saldırılarının en yaygın hedefidir. Ortamınızda bu sunuculara erişime izin veren birçok ağ hizmeti çalışıyor ve bu hizmetler dikkatlice izlenmelidir.
Window / UNIX makinelerinizde, bu hizmetler şurada tutulur: /etc/services. Aşağıdaki yola giderek bu dosyayı Windows makinesinde açabilirsiniz -
system32/drivers/etc/services
Bu dosyayı bir Not Defteri'nde açabilir ve sunucunuzdaki tüm etkin hizmetleri inceleyebilirsiniz -
Yatay sunucularda gerekli olmayan tüm hizmetleri devre dışı bırakmanız önerilir. Bazen bu hizmetler, izinsiz erişim elde etmek için davetsiz misafirlerin kullanabileceği birkaç hata içerir. Bu hizmetleri devre dışı bıraktığınızda, ağınıza saldırı olasılığını azaltırsınız.
Yüksek düzeyde güvenlik için, SAP ortamınızda statik parola dosyalarının kullanılması da önerilir.
Özel Anahtarlar
SNC, iletişim ortakları arasındaki kimlik doğrulamasını gerçekleştirmek için harici bir güvenlik ürünü kullanır. Gibi güvenlik önlemlerini kullanabilirsinizPublic Key Infrastructure (PKI) ve anahtar çiftleri oluşturmak ve dağıtmak ve kullanıcılar için özel anahtarların uygun şekilde güvenliğini sağlamak için diğer prosedürler.
Bir ağ yetkilendirmesi için özel anahtarları korumanın farklı yolları vardır -
- Donanım Çözümü
- Yazılım Çözümü
Şimdi bunları ayrıntılı olarak tartışalım.
Donanım Çözümü
Bireysel kullanıcılara akıllı kart verdiğiniz donanım çözümünü kullanarak kullanıcılar için özel anahtarları koruyabilirsiniz. Tüm anahtarlar bir akıllı kartta saklanır ve kullanıcı parmak izlerini kullanarak veya bir PIN şifresi kullanarak akıllı kartlarını biyometri aracılığıyla doğrulamalıdır.
Bu akıllı kartlar, her bir kullanıcı tarafından çalınmaya veya kaybolmaya karşı korunmalıdır ve kullanıcılar, belgeleri şifrelemek için kartı kullanabilir.
Kullanıcıların akıllı kartları paylaşmalarına veya başka kullanıcılara vermelerine izin verilmez.
Yazılım Çözümü
Bireysel kullanıcılar için özel anahtarları depolamak için yazılım çözümünü kullanmak da mümkündür. Yazılım çözümü, donanım çözümüne kıyasla daha ucuz bir çözümdür, ancak aynı zamanda daha az güvenlidir.
Kullanıcılar özel anahtarları dosyalarda ve kullanıcı ayrıntılarında sakladıklarında, bu dosyaların yetkisiz erişim için güvenliğini sağlama ihtiyacı vardır.