{"id":22201,"date":"2017-05-16T09:00:24","date_gmt":"2017-05-16T07:00:24","guid":{"rendered":"http:\/\/e3mag.com\/?p=22201"},"modified":"2024-01-19T14:53:39","modified_gmt":"2024-01-19T13:53:39","slug":"hana-erfordert-umdenken-bei-der-sicherheit","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/hana-erfordert-umdenken-bei-der-sicherheit\/","title":{"rendered":"Hana erfordert Umdenken bei der Sicherheit"},"content":{"rendered":"

\"Rene<\/a>Hana wurde zun\u00e4chst als relationale Datenbank f\u00fcr SAP-Systeme entwickelt. Basis bildet dabei die In-memory-Technologie. Hauptvorteil ist dabei der enorme Performance-Schub gegen\u00fcber herk\u00f6mmlichen Datenbanksystemen.<\/p>\n

Mit der Einf\u00fchrung von Hana ging SAP auch hinsichtlich Entwicklungsumgebung und Benutzeroberfl\u00e4che neue Wege: Java und HTML5 bzw. Fiori und SAPUI5 stehen im Vordergrund.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

Dadurch ergeben sich auch neue Anwendungsm\u00f6glichkeiten f\u00fcr Hana im Business-Einsatz. Hana wird deshalb immer mehr als Entwicklungsplattform angesehen, auf der beliebige Java- und HTML5-Anwendungen in Runtime-Umgebungen ausgef\u00fchrt werden k\u00f6nnen.<\/p>\n

Das erweiterte Anwendungsspektrum wirkt sich auch auf das Sicherheitsmodell und die Sicherheitsarchitektur aus. Der Fokus liegt nun auf f\u00fcnf prim\u00e4ren Sicherheitsebenen, die sich aus der Java-Entwicklungsumgebung sowie der Datenbanktechnologie ergeben:<\/p>\n

Netzwerksicherheit, Authentifizierung und SSO (Single Sign-on), Autorisierung, Verschl\u00fcsselung (Transport und Daten)  sowie Audit und Logging.<\/p>\n

Der Fokus im Bereich der Netzwerksicherheit liegt auf klassischen Ma\u00dfnahmen, also auf der Systemarchitektur mit mehreren Sicherheitszonen und der limitierten Bereitstellung erforderlicher Services.<\/p>\n

Die Netzwerkkommunikation muss auf die notwendigsten Ports reduziert werden, gerade auch im Hinblick auf Daten- und administrative Zugriffsm\u00f6glichkeiten: etwa \u00fcber das SQLDBC-Protokoll, Hana Studio oder den SolMan.<\/p>\n

Hinsichtlich Authentifizierung unterst\u00fctzt Hana eine Vielzahl von sicheren Methoden, etwa Benutzername und Passwort, Kerberos, SAML (Security Assertion Markup Language) 2.0, SAP-\u00adLogon-Tickets oder X.509.<\/p>\n

Wichtig ist die korrekte Implementierung und Integration in die bestehende Authentifizierungsumgebung, das hei\u00dft etwa die Anbindung an Microsoft AD (Active Directory) und LDAP-(Lightweight Directory Access Protocol-)Verzeichnisdienste, die Einbindung in PKI-(Public-Key-Infrastruktur-)Umgebungen oder die Verkn\u00fcpfung mit Token-basierten Authentifizierungsverfahren wie SAML oder Active-Directory-Verbunddiensten (Active Directory Federation Services, AD FS).<\/p>\n

Im Bereich Autorisierung gibt es die gravierendsten \u00c4nderungen bei Hana. Vereinfacht ausgedr\u00fcckt m\u00fcssen die SAP-Admins nun die \u201eDBA-Sprache\u201c beherrschen.<\/p>\n

Waren das Rollen- und Berechtigungsmanagement in der Vergangenheit stets mit SAP-ERP-Anwendungen verkn\u00fcpft, so werden sie nun auf den Datenbanklayer ausgelagert. Damit \u00fcbernimmt quasi jede Anwendung innerhalb der Hana-Runtime das Berechtigungsmodell aus dem Datenbankumfeld.<\/p>\n

Dieses unterscheidet sich aber deutlich von bisherigen Berechtigungsmodellen, zum Beispiel im ERP-System. Ein SAP-Admin muss nun verstehen, wie Datenbanken funktionieren und sich die bisherigen Rollen und Rechte \u00fcbertragen lassen. Durch das neue Autorisierungsmodell von Hana ist eine \u00e4u\u00dferst detaillierte und exakte Zugriffskontrolle m\u00f6glich.<\/p>\n

Dabei werden Rollen genutzt, in denen Rechte zusammengefasst und strukturiert werden. Die Rechte basieren auf Standard-SQL-Berechtigungen f\u00fcr Objekte und Hana-Spezifikationen f\u00fcr Business-Applikationen.<\/p>\n

Hinsichtlich Verschl\u00fcsselung sind die beiden Ebenen Transport und Daten zu ber\u00fccksichtigen. Transportverschl\u00fcsselung bedeutet zun\u00e4chst SSL-Verschl\u00fcsselung, allerdings sollten auch Alternativen wie VPN-Techniken gepr\u00fcft werden.<\/p>\n

Die Datenverschl\u00fcsselung funktioniert nur bei der Ablage von Daten in Sto\u00adrage-Volumes. Die Verschl\u00fcsselung der Daten im Hauptspeicher ist hier der Knackpunkt, vor allem dann, wenn mehrere Instanzen auf dem gleichen System ausgef\u00fchrt werden sollen.<\/p>\n

Die entscheidende \u2013 aber oft unbeantwortete \u2013 Frage lautet in solchen F\u00e4llen: \u201eWer stellt dann die Integrit\u00e4t der Daten sicher und verhindert ein \u201a\u00dcberspringen\u2018 der Daten von einer Instanz auf die n\u00e4chste?\u201c<\/p>\n

Hana bietet zudem umfangreiche Audit- und Logging-M\u00f6glichkeiten. Der freie Speicherplatz ist dabei allerdings der limitierende Faktor. Durch die Flut an (SQL-)Anfragen auf dem System besteht schnell die Gefahr, dass der Speicher an seine Kapazit\u00e4tsgrenzen st\u00f6\u00dft.<\/p>\n

Hier helfen aktuell nur externe Tools, gerade bei der Erf\u00fcllung von Compliance-Anforderungen geht. Hana bringt somit von Haus aus mehrere Sicherheitsfunktionen mit sich. Ihre Anwendung erfordert aber auf Seite der SAP-Administratoren ein Umdenken.<\/p>\n

Die gr\u00f6\u00dfte Herausforderung betrifft dabei das Rollen- und Berechtigungsmanagement, da es sich im Vergleich zu bisherigen SAP-ERP-Umgebungen, bei denen Anwendungs- und Datenbankebene klar voneinander getrennt waren, komplett gewandelt hat.<\/p>\n

Zu diesem Thema erh\u00e4lt NTT Security zurzeit auch die meisten Kundenanfragen. Die Verschl\u00fcsselung steht hingegen aktuell auf Anwenderseite noch nicht im Fokus.<\/p>\n

Aber auch hier wird bald eine \u00c4nderung eintreten, da aufgrund von Compliance-Vorgaben noch ein hoher Handlungsbedarf besteht. Schlie\u00dflich darf nicht vergessen werden, dass Angreifer bei einem erfolgreichen Zugriff auf Hana ohne gro\u00dfen Aufwand unternehmenskritische Daten stehlen, \u00e4ndern oder l\u00f6schen k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die gr\u00f6\u00dfte Herausforderung im Bereich der Sicherheit betrifft bei Hana das Rollen- und Berechtigungsmanagement. Im Unterschied zu bisherigen SAP-ERP-Umgebungen verfolgt SAP hier einen komplett neuen Ansatz. Administratoren m\u00fcssen deshalb umdenken.<\/p>\n","protected":false},"author":1053,"featured_media":22202,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[161,2,12391],"tags":[13400,1507,65,296,92,236,5177,3869],"coauthors":[21849],"class_list":["post-22201","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-szene","category-sap-nachrichten","category-mag-1705","tag-audit","tag-fiori","tag-hana","tag-html5","tag-java","tag-sap","tag-sapui5","tag-verschluesselung","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2017\/05\/shutterstock_499702849-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die gr\u00f6\u00dfte Herausforderung im Bereich der Sicherheit betrifft bei Hana das Rollen- und Berechtigungsmanagement. Im Unterschied zu bisherigen SAP-ERP-Umgebungen verfolgt SAP hier einen komplett neuen Ansatz. Administratoren m\u00fcssen deshalb umdenken.<\/p>\n","category_list_v2":"Szene<\/a>, Community Nachrichten<\/a>, MAG 17-05<\/a>","author_info_v2":{"name":"Ren\u00e9 Bader, NTT Security","url":"https:\/\/e3mag.com\/de\/author\/rene-bader\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/22201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1053"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=22201"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/22201\/revisions"}],"predecessor-version":[{"id":138331,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/22201\/revisions\/138331"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/22202"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=22201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=22201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=22201"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=22201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}