{"id":10014,"date":"2017-03-01T00:14:09","date_gmt":"2017-02-28T23:14:09","guid":{"rendered":"http:\/\/e3mag.com\/?p=10014"},"modified":"2019-03-11T14:50:37","modified_gmt":"2019-03-11T13:50:37","slug":"secure-hana-datenbank","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/secure-hana-datenbank\/","title":{"rendered":"Hana Sicherheit – Neue Dimensionen"},"content":{"rendered":"

Bisher waren die Datenhaltungs- und die Anwendungsebene klar voneinander getrennt. In der Datenbank selbst waren lediglich die Datenbankadministratoren als Benutzer angelegt. Die Entwickler und Endanwender befanden sich im Abap-Stack, in dem auch die gesamte Berechtigungsvergabe erfolgte.<\/p>\n

Neue Nutzerverteilung<\/h3>\n

Auch wenn im ERP-Nachfolger S\/4 Hana ein Gro\u00dfteil der Anwendungen noch \u00fcber den Abap-Stack abgebildet ist, so finden doch viele Entwicklungen bereits in der Hana-Datenbank selbst statt.<\/p>

\"\"<\/a><\/div><\/div>\n

Das BW\/4 Hana, offiziell nicht als Nachfolger von SAP BW deklariert, sondern als neues Produkt, ist bereits vollst\u00e4ndig in der Hana-Datenbank abgebildet. Daher sind als Benutzer in der Hana-Datenbank nun nicht nur Datenbankadministratoren t\u00e4tig, sondern auch Entwickler und zuk\u00fcnftig vermehrt auch Endanwender.<\/p>\n

Security<\/h3>\n

Die Sicherheitsebenen beim Betrieb einer Hana-DB sind vielf\u00e4ltig, da sie DB- und Applikationssicherheit einschlie\u00dfen. Dies beginnt mit der Sicherheit der Server, auf denen Hana installiert ist.<\/p>\n

Sie kann ausschlie\u00dflich auf bestimmten Unix-Derivaten installiert werden. Im Dateisystem wird der SSFS (Secure Store in the File System) abgelegt, in dem u. a. die root keys f\u00fcr die Verschl\u00fcsselungen gespeichert werden.<\/p>\n

Ebenso werden im Dateisystem die persistenten Daten gespeichert. Zu Wiederherstellungszwecken speichert Hana in regelm\u00e4\u00dfigen Abst\u00e4nden (Savepoints) Abbilder der DB auf der Festplatte des Hana-Servers (persistenter Speicher).<\/p>\n

Standardm\u00e4\u00dfig werden die persistenten Daten unverschl\u00fcsselt auf die Festplatte geschrieben. Die Verschl\u00fcsselung muss explizit aktiviert werden.<\/p>\n

Auch die Kommunikation erfolgt in der Standardinstallation unverschl\u00fcsselt. Zur Verschl\u00fcsselung der internen und externen Kommunikation kann das Transport-Layer-Security-(TLS-)\/Secure-Sockets-Layer-(SSL-)Protokoll genutzt werden. Auch unverschl\u00fcsselte Verbindungen werden standardm\u00e4\u00dfig akzeptiert.<\/p>\n

F\u00fcr die Systemsicherheit ist die Konfiguration der sicherheitsrelevanten Systemparameter substanziell. Auch diese werden in Textdateien im Unix gespeichert. Vergleichbar mit den Systemparametern des Abap-Stack steuern diese Komponenten wie die Authentifizierung, die Verschl\u00fcsselung und die Protokollierung.<\/p>\n

Zugriffsregelung<\/h3>\n

Hinsichtlich der eingerichteten Benutzer in der Hana-DB liegt die wesentliche Unterscheidung darin, ob sie lediglich Anwendungen ausf\u00fchren sollen (Endanwender) oder einen Zugriff auf die Datenbank selbst ben\u00f6tigen (Admins, Entwickler, Pr\u00fcfer).<\/p>\n

Endanwender werden als Restricted User definiert. Dadurch ist gesichert, dass eine direkte Anmeldung an die Datenbank via ODBC\/JDBC (z. B. mittels Eclipse) nicht m\u00f6glich ist.<\/p>\n

Au\u00dferdem m\u00fcssen ihnen explizit Berechtigungen f\u00fcr ihre Anwendungen zugeordnet werden, w\u00e4hrend normalen Benutzerkonten standardm\u00e4\u00dfig bereits beim Anlegen eine Rolle mit den grundlegenden Berechtigungen zugeordnet wird (Katalogrolle Public).<\/p>\n

Auch die Protokollierung ist unternehmensspezifisch zu konfigurieren. Werden im Abap-Stack eine Vielzahl aufbewahrungspflichtiger Protokolle automatisch erzeugt, so ist dies in der Hana-DB individuell einzurichten.<\/p>\n

So muss z. B. die Protokollierung der Benutzerpflege und der Rollenzuordnung explizit aktiviert werden. Dies betrifft auch \u00c4nderungen an den Systemparametern und den Einstellungen zur Verschl\u00fcsselung.<\/p>\n

Lediglich f\u00fcr \u00c4nderungen innerhalb des Repositories, also der Entwicklungsumgebung, werden automatisch Protokolle (Versionen) erzeugt.<\/p>\n

Ein wesentlicher Punkt ist nat\u00fcrlich auch das Berechtigungskonzept. Dessen Funktionalit\u00e4t ist sehr transparent in der Hana-Datenbank abgebildet, sodass die Berechtigungen der Endanwender klar und strukturiert von denen der Administratoren und Entwickler getrennt werden k\u00f6nnen.<\/p>\n

Zur\u00fcck zu den Wurzeln?<\/h3>\n

Die Pr\u00fcfung der Sicherheit einer Hana-DB ist aktuell f\u00fcr Pr\u00fcfer noch eine kleine Herausforderung, da im Hana-Standard keine Tools zur Pr\u00fcfung existieren \u2013 au\u00dfer dem SQL-Editor. Hier hei\u00dft es \u201eback to the roots\u201c durch Pr\u00fcfungen direkt auf Tabellenebene.<\/p>\n

Gl\u00fccklicherweise ist zumindest das Einrichten der f\u00fcr Pr\u00fcfer erforderlichen Berechtigungen erheblich einfacher als noch im Abap-Stack.<\/p>\n","protected":false},"excerpt":{"rendered":"

Mit der Datenbank Hana hat SAP eine neue Dimension geschaffen hinsichtlich der Sicherheit von SAP-Systemen.<\/p>\n","protected":false},"author":148,"featured_media":2451,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[21,7,6386],"tags":[73,1390,3370,127],"coauthors":[22429],"class_list":["post-10014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-meinung","category-mag-1703","tag-erp","tag-s4-hana","tag-sap-bw","tag-unix","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Mit der Datenbank Hana hat SAP eine neue Dimension geschaffen hinsichtlich der Sicherheit von SAP-Systemen.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Die Meinung der SAP-Community<\/a>, MAG 17-03<\/a>","author_info_v2":{"name":"Thomas Tiede, IBS","url":"https:\/\/e3mag.com\/de\/author\/thomas-tiede\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/10014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/148"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=10014"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/10014\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/2451"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=10014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=10014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=10014"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=10014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}