{"id":34056,"date":"2018-02-22T10:00:35","date_gmt":"2018-02-22T09:00:35","guid":{"rendered":"http:\/\/e3mag.com\/?p=34056"},"modified":"2022-05-01T09:42:08","modified_gmt":"2022-05-01T07:42:08","slug":"sicher-mit-hana-kommunizieren","status":"publish","type":"post","link":"https:\/\/e3mag.com\/de\/sicher-mit-hana-kommunizieren\/","title":{"rendered":"Sicher mit Hana kommunizieren"},"content":{"rendered":"

Die Architekturen von SAP-Landschaften haben sich mit der Einf\u00fchrung von SAP Hana grundlegend ge\u00e4ndert. Hana war zun\u00e4chst als relationale Datenbank f\u00fcr SAP-Systeme auf Basis der In-memory-Technologie ent\u00adwickelt worden.<\/p>\n

Die gesamte Datenverarbeitung und -speicherung erfolgt dabei im Hauptspeicher der Systemumgebung, was zu einem enormen Perfor\u00admance-Schub gegen\u00fcber herk\u00f6mmlichen Datenbanksystemen f\u00fchrt.<\/p>

\"Fullsize\"<\/a><\/div><\/div>\n

Hana er\u00f6ffnet aber auch neue M\u00f6glichkeiten im Business-Einsatz und wird so immer mehr zu einer Entwicklungsplattform, auf der Java- und HTML5-Anwendungen in Runtime-Umgebungen ausgef\u00fchrt werden.<\/p>\n

Der Fokus liegt hier mittlerweile auf webbasierten Anwendungen, die mittels HTTP kommunizieren.<\/p>\n

Allerdings kann der SAP-Kern unter Hana nicht mehr vom Anwender selbst programmtechnisch ver\u00e4ndert werden; Hana ist somit gesehen ein geschlossenes System und stellt seine Funktionen \u00fcber eine Vielzahl von Connectoren und Interfaces zur Verf\u00fcgung, auf die dann selbstentwickelte Anwendungsprogramme zugreifen k\u00f6nnen.<\/p>\n

Derzeit sind mehr als 2000 solcher Connectoren und Interfaces im Hana-Kern implementiert \u2013 die Tendenz ist stark steigend, weil immer neue Anwendungsbereiche abgedeckt werden sollen. Generell lassen sich auf dieser Plattform folgende Kommunikationspfade unterscheiden:<\/p>\n

Verbindungen zu Hana \u00fcber den Datenbank-Client: Sie dienen haupts\u00e4chlich zur Verwaltung des Datenbanksystems \u2013 zum Beispiel Hana Cockpit oder Hana Studio \u2013 oder f\u00fcr die klassischen Datenbankabfragen beispielsweise mit Business-Intelligence-Tools oder auch ganz einfach mit Excel. Die Kommunikation erfolgt mittels Verwendung des Protokolls SQLDBC, das ein Derivat von ODBC\/JDBC ist.<\/p>\n

Verbindungen von sogenannten Web-Clients. Das k\u00f6nnen beispielsweise Anwendungen sein, die in der Java-Run\u00adtime von Hana XS laufen und direkt in die Datenbank\u00adumgebung eingebettet sind.<\/p>\n

Dabei ist die XS-Erweiterung erforderlich; die meist webbasierte Kommunikation (HTTP\/HTTPS) l\u00e4uft \u00fcblicherweise \u00fcber die TCP-Ports 3xx33, wobei xx f\u00fcr die jeweilige Instanznummer steht. XS stellt in dieser Konfiguration die Java-Runtime Machine sowie den Webserver bereit.<\/p>\n

F\u00fcr die Sicherheit der Plattform und der Anwendungen ergibt sich daraus eine Reihe von Problemen: Innerhalb der Plattform wird \u201eplain text\u201c kommuniziert, das bedeutet, dass alle Daten unverschl\u00fcsselt ausgetauscht werden; das gilt sowohl f\u00fcr die Datenbank- als auch f\u00fcr Web-Clients.<\/p>\n

Die jeweiligen Komponenten m\u00fcssen sich gegenseitig authentifizieren. M\u00f6glich sind hierbei Basic Auth (username\/password), SAML Assertions und X.509-Zertifikate. Allerdings wird Basic Auth generell als unsicher angesehen; SAML und X.509 erfordern wiederum ein entsprechendes Zertifikatsmanagement, das jedoch innerhalb der Hana-Landschaft nur eingeschr\u00e4nkt zur Verf\u00fcgung steht.<\/p>\n

Das Thema \u201eSchutz der Daten\u201c r\u00fcckt damit st\u00e4rker in den Fokus. Was genau passiert beispielsweise, wenn kompromittierte Anwendungen \u00fcber die Connectoren auf Daten zugreifen?<\/p>\n

Aktuell stellt die Hana-Plattform keine RAM-Verschl\u00fcsselung zur Verf\u00fcgung. Daher k\u00f6nnte also ein Angreifer eine App installieren, die Zugriff auf die gesamten unverschl\u00fcsselten Daten erh\u00e4lt.<\/p>\n

Die naheliegende L\u00f6sung w\u00e4re hier eine RAM-Verschl\u00fcsselung, die aber erst mit der neuesten Prozessor-Generation sowie den entsprechenden Modulen im Betriebssystem zur Verf\u00fcgung steht.<\/p>\n

Herausforderung Validierung<\/h3>\n

Dies r\u00fcckt das Thema sichere Anwendungsentwicklung mehr und mehr in den Sicherheitsfokus, die beispielsweise der Validierung und Autorisierung der Daten und Datenstr\u00f6me eine sehr hohe Priorit\u00e4t einr\u00e4umt.<\/p>\n

In der Vergangenheit, als eine SAP-Umgebung noch ein offenes System war, wurde die Mehrzahl der Funktionen von der Abap-Entwicklung selbst erstellt und dann in den SAP-Kern integriert.<\/p>\n

Zwar konnten auch hier Sicherheitsl\u00fccken entstehen, aber die Auswirkungen blieben begrenzt, weil der SAP-Kern f\u00fcr einen gewissen Schutz sorgte; auf diesem Weg konnte jedenfalls nicht eine ganze Infrastruktur kompromittiert werden.<\/p>\n

Nun arbeitet der Entwickler auf einer anderen Ebene, auf der ihn das System nicht mehr sch\u00fctzt; seine Anwendung greift auf die Connectoren und Interfaces zu und wenn er hier einen sicherheitskritischen Fehler macht, steht schlimmstenfalls die ganze Infrastruktur f\u00fcr Angreifer offen, die dann ebenfalls auf die betreffenden Connectoren zugreifen k\u00f6nnen.<\/p>\n

Die Anwendungsentwickler m\u00fcssen sicherstellen, dass beispielsweise ihre XML-Streams korrekt validiert werden, sodass nicht \u00fcber entsprechende Schwachstellen ein Angreifer kompletten Zugriff auf die Anwendung erh\u00e4lt, diese dann ver\u00e4ndert und somit wiederum Zugriff auf alle Daten im RAM bekommt.<\/p>\n

Auch die Ber\u00fccksichtigung und Spezifikation von Sicherheitsanforderungen in der Design- und Konzeptionsphase, aber auch Investitionen ins Testing \u2013 zum Beispiel in Static Application Security Testing (SAST), Dynamic Application Security Testing und Penetrationstests \u2013 m\u00fcssen nun ber\u00fccksichtigt werden.<\/p>\n

In gro\u00dfen SAP-Landschaften m\u00fcssen sich die Anwender au\u00dferdem vermehrt um Infrastruktur-Themen wie Web Application Firewalls (WAFs) und XML-Firewalls k\u00fcmmern.<\/p>\n

So verwenden Entwickler immer h\u00e4ufiger Microservices auf Basis von REST-APIs f\u00fcr den Austausch von Daten \u2013 etwa mit SAP Leonardo, der Plattform f\u00fcr den Austausch und die Analyse von IoT-Informationen.<\/p>\n

Diese Daten m\u00fcssen schnell und sicher \u00fcbertragen werden, eine Kompromittierung der Daten muss auf alle F\u00e4lle verhindert werden. Dazu sind beispielsweise digitale Signaturen, Transportverschl\u00fcsselung mittels 2-Way-SSL-Hand\u00adshakes, XML-Validierung die Mittel der Wahl.<\/p>\n

Viele Entwickler verzichten immer noch darauf, solche Sicherheitsvorkehrungen in ihren Anwendungen selbst zu realisieren, weil sie eine Reduzierung der Gesamtperformance ihrer Systeme bef\u00fcrchten, zum anderen aber sind Systeme mitunter auch nicht in der Lage, dergleichen auf Anwendungsebene zu unterst\u00fctzen.<\/p>\n

Daher sind die genannten Infrastruktur-Komponenten f\u00fcr einen sicheren Betrieb in einer Hana-Umgebung unverzichtbar.<\/p>\n

Grunds\u00e4tzlich muss beim Einsatz von Hana der Sicherheit auf Anwendungsebene in Zukunft mehr Aufmerksamkeit geschenkt werden, paradoxerweise gerade weil Hana ein programmatisch geschlossenes System ist und eben deshalb das Thema Kommunikationswege und Kommunikationspartner fokussiert werden muss.<\/p>\n

Bei einem erfolgreichen Angriff auf Hana-\u00adAnwendungen k\u00f6nnte die Plattform f\u00fcr Angreifer zu einem Einfallstor werden, das Zugriff auf beliebige unternehmenskritische Daten erm\u00f6glicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Kommunikation in SAP-Hana-Umgebungen erfolgt \u00fcber aktuell mehr als 2000 Connectoren und Interfaces. F\u00fcr Anwender stellt das eine Herausforderung dar, da sie zum einen auf eine sicherheitsbewusste Anwendungsentwicklung achten m\u00fcssen, zum anderen aber auch sicherheitsrelevante Infrastruktur-Themen ber\u00fccksichtigen sollten.<\/p>\n","protected":false},"author":1053,"featured_media":36741,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,20719],"tags":[424,3491],"coauthors":[21849],"class_list":["post-34056","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-1803","tag-in-memory-technologie","tag-sap-hana","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",400,168,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-768x323.jpg",768,323,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-100x42.jpg",100,42,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-480x202.jpg",480,202,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-640x269.jpg",640,269,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-720x303.jpg",720,303,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-960x404.jpg",960,404,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",600,253,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",600,253,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die Kommunikation in SAP-Hana-Umgebungen erfolgt \u00fcber aktuell mehr als 2000 Connectoren und Interfaces. F\u00fcr Anwender stellt das eine Herausforderung dar, da sie zum einen auf eine sicherheitsbewusste Anwendungsentwicklung achten m\u00fcssen, zum anderen aber auch sicherheitsrelevante Infrastruktur-Themen ber\u00fccksichtigen sollten.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 18-03<\/a>","author_info_v2":{"name":"Ren\u00e9 Bader, NTT Security","url":"https:\/\/e3mag.com\/de\/author\/rene-bader\/"},"comments_num_v2":"0 comments","_links":{"self":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/34056","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/users\/1053"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/comments?post=34056"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/posts\/34056\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media\/36741"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/media?parent=34056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/categories?post=34056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/tags?post=34056"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/de\/wp-json\/wp\/v2\/coauthors?post=34056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}