Bảo mật SAP - Giao tiếp mạng
Secure Network Communication (SNC)cũng có thể được sử dụng để đăng nhập vào máy chủ ứng dụng bằng phương pháp xác thực an toàn. Bạn có thể sử dụng SNC để xác thực người dùng thông qua SAP GUI cho windows hoặc bằng cách sử dụng kết nối RFC.
SNC sử dụng sản phẩm bảo mật bên ngoài để thực hiện xác thực giữa các đối tác truyền thông. Bạn có thể sử dụng các biện pháp bảo mật như PKI cơ sở hạ tầng khóa công khai và các thủ tục để tạo và phân phối các cặp khóa.
Bạn nên xác định cấu trúc liên kết mạng có thể loại bỏ các mối đe dọa và ngăn chặn các cuộc tấn công mạng. Khi người dùng không thể đăng nhập vào ứng dụng hoặc lớp cơ sở dữ liệu, những kẻ tấn công không thể truy cập vào hệ thống SAP hoặc hệ thống cơ sở dữ liệu để truy cập thông tin quan trọng.
Cấu trúc liên kết mạng được xác định rõ ràng không cho phép những kẻ xâm nhập kết nối với mạng LAN của công ty và do đó không có quyền truy cập vào các lỗ hổng vòng lặp bảo mật trên các dịch vụ mạng hoặc trên hệ thống SAP.
Cấu trúc liên kết mạng trong hệ thống SAP
Kiến trúc mạng vật lý của bạn hoàn toàn phụ thuộc vào kích thước của Hệ thống SAP của bạn. Hệ thống SAP thường được triển khai với kiến trúc máy khách-máy chủ và mỗi hệ thống thường được chia thành ba lớp sau:
- Lớp cơ sở dữ liệu
- Lớp ứng dụng
- Lớp trình bày
Khi hệ thống SAP của bạn nhỏ, nó có thể không có ứng dụng và máy chủ cơ sở dữ liệu riêng biệt. Tuy nhiên, trong một hệ thống lớn, nhiều máy chủ ứng dụng giao tiếp với một máy chủ cơ sở dữ liệu và một số giao diện người dùng. Điều này xác định cấu trúc liên kết mạng của một hệ thống từ đơn giản đến phức tạp và bạn nên xem xét các tình huống khác nhau khi tổ chức cấu trúc liên kết mạng của mình.
Trong một tổ chức quy mô lớn, bạn nên cài đặt ứng dụng và máy chủ cơ sở dữ liệu của mình trên các máy khác nhau và đặt trong một mạng LAN riêng biệt với hệ thống giao diện người dùng.
Trong hình ảnh sau, bạn có thể thấy cấu trúc liên kết Mạng ưa thích của hệ thống SAP:
Khi bạn đặt cơ sở dữ liệu và máy chủ ứng dụng của mình trong VLAN riêng biệt với VLAN phía trước, nó cho phép bạn cải thiện hệ thống kiểm soát truy cập và do đó tăng tính bảo mật cho hệ thống SAP của bạn. Các hệ thống giao diện người dùng nằm trong các VLAN khác nhau, do đó không dễ dàng vào được VLAN của Máy chủ và do đó vượt qua bảo mật của hệ thống SAP của bạn.
Dịch vụ mạng SAP
Trong hệ thống SAP của bạn, có nhiều dịch vụ khác nhau được kích hoạt, tuy nhiên chỉ một số ít được yêu cầu để chạy hệ thống SAP. Trong hệ thống SAP,Landscape, Database và Application Serverslà mục tiêu phổ biến nhất của các cuộc tấn công mạng. Nhiều dịch vụ mạng đang chạy trong bối cảnh của bạn cho phép truy cập vào các máy chủ này và các dịch vụ này cần được giám sát cẩn thận.
Trong máy Window / UNIX của bạn, các dịch vụ này được duy trì trong /etc/services. Bạn có thể mở tệp này trong máy Windows bằng cách truy cập đường dẫn sau:
system32/drivers/etc/services
Bạn có thể mở tệp này trong Notepad và xem lại tất cả các dịch vụ đã kích hoạt trong máy chủ của bạn -
Bạn nên tắt tất cả các dịch vụ không cần thiết trên các máy chủ ngang. Đôi khi những dịch vụ này có một vài lỗi mà kẻ xâm nhập có thể sử dụng để truy cập trái phép. Khi bạn tắt các dịch vụ này, bạn giảm nguy cơ bị tấn công vào mạng của mình.
Để có mức độ bảo mật cao, bạn cũng nên sử dụng các tệp mật khẩu tĩnh trong môi trường SAP của mình.
Chìa khóa riêng
SNC sử dụng sản phẩm bảo mật bên ngoài để thực hiện xác thực giữa các đối tác truyền thông. Bạn có thể sử dụng các biện pháp bảo mật nhưPublic Key Infrastructure (PKI) và các thủ tục khác để tạo và phân phối các cặp khóa và để đảm bảo rằng các khóa riêng tư cho người dùng được bảo mật đúng cách.
Có nhiều cách khác nhau để bảo mật khóa riêng tư cho ủy quyền mạng -
- Giải pháp phần cứng
- Giải phap băng phân mêm
Bây giờ chúng ta hãy thảo luận chi tiết về chúng.
Giải pháp phần cứng
Bạn có thể bảo vệ khóa riêng tư cho người dùng bằng giải pháp phần cứng trong đó bạn cấp thẻ thông minh cho người dùng cá nhân. Tất cả các khóa được lưu trữ trong thẻ thông minh và người dùng nên xác thực thẻ thông minh của họ thông qua sinh trắc học bằng cách sử dụng dấu tay hoặc sử dụng mật khẩu PIN.
Những thẻ thông minh này phải được bảo vệ khỏi bị trộm hoặc mất bởi từng người dùng cá nhân và người dùng có thể sử dụng thẻ để mã hóa tài liệu.
Người dùng không được phép chia sẻ thẻ thông minh hoặc đưa chúng cho người dùng khác.
Giải phap băng phân mêm
Cũng có thể sử dụng giải pháp phần mềm để lưu trữ khóa cá nhân cho người dùng cá nhân. Giải pháp phần mềm là giải pháp ít tốn kém hơn so với giải pháp phần cứng, nhưng chúng cũng kém an toàn hơn.
Khi người dùng lưu trữ khóa cá nhân trong tệp và chi tiết người dùng, cần phải bảo mật những tệp đó để truy cập trái phép.