La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 17-03

Hana Security - Nuevas dimensiones

Con la base de datos Hana, SAP ha creado una nueva dimensión en lo que respecta a la seguridad de los sistemas SAP.
Thomas Tiede, IBS
1. marzo 2017
Contenido:
seguridad informática Header
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Hasta ahora, el nivel de gestión de datos y el nivel de aplicación estaban claramente separados entre sí. Sólo los administradores de la base de datos se creaban como usuarios en la propia base de datos. Los desarrolladores y usuarios finales se encontraban en la pila Abap, donde tenía lugar toda la asignación de autorizaciones.

Distribución de nuevos usuarios

Aunque la mayoría de las aplicaciones del sucesor del ERP S/4 Hana se siguen mapeando a través de la pila Abap, ya se están produciendo muchos desarrollos en la propia base de datos de Hana.

BW/4 Hana, oficialmente no declarado como sucesor de SAP BW sino como un nuevo producto, ya está completamente mapeado en la base de datos Hana. Por lo tanto, ya no sólo los administradores de bases de datos actúan como usuarios en la base de datos Hana, sino también los desarrolladores y, en el futuro, cada vez más los usuarios finales.

Seguridad

Los niveles de seguridad en el funcionamiento de una BD de Hana son múltiples, ya que incluyen la seguridad de la BD y de las aplicaciones. Esto comienza con la seguridad de los servidores en los que se instala Hana.

Sólo puede instalarse en determinados derivados de Unix. El SSFS (Secure Store in the File System) se almacena en el sistema de archivos, en el que, entre otras cosas, se guardan las claves raíz para los cifrados.

Asimismo, los datos persistentes se almacenan en el sistema de archivos. A efectos de recuperación, Hana guarda imágenes de la BD en el disco duro del servidor Hana a intervalos regulares (savepoints) (almacenamiento persistente).

Por defecto, los datos persistentes se escriben en el disco duro sin cifrar. El cifrado debe activarse explícitamente.

La comunicación tampoco está cifrada en la instalación estándar. El protocolo Transport Layer Security (TLS)/Secure Sockets Layer (SSL) puede utilizarse para cifrar la comunicación interna y externa. Las conexiones no cifradas también se aceptan por defecto.

Para la seguridad del sistema, la configuración de los parámetros del sistema relevantes para la seguridad es sustancial. Estos también se almacenan en archivos de texto en Unix. Comparables a los parámetros del sistema de la pila Abap, controlan componentes como la autenticación, el cifrado y el registro.

Regulación del acceso

En cuanto a los usuarios configurados en Hana DB, la principal distinción es si son sólo para ejecutar aplicaciones (usuarios finales) o necesitan acceso a la propia base de datos (administradores, desarrolladores, auditores).

Los usuarios finales se definen como usuarios restringidos. Esto garantiza que no sea posible un inicio de sesión directo en la base de datos a través de ODBC/JDBC (por ejemplo, utilizando Eclipse).

Además, se les deben asignar explícitamente permisos para sus aplicaciones, mientras que a las cuentas de usuario normales ya se les asigna un rol con permisos básicos por defecto cuando se crean (rol de catálogo Público).

El registro también debe configurarse de forma específica para cada empresa. Si se genera automáticamente un gran número de registros sujetos a retención en la pila Abap, esto debe configurarse individualmente en la base de datos Hana.

Por ejemplo, el registro del mantenimiento de usuarios y la asignación de funciones deben activarse explícitamente. Esto también se aplica a los cambios en los parámetros del sistema y los ajustes para el cifrado.

Sólo para los cambios dentro del repositorio, es decir, el entorno de desarrollo, se generan automáticamente registros (versiones).

Un punto importante es, por supuesto, el concepto de autorización. Su funcionalidad se asigna de forma muy transparente en la base de datos de Hana, de modo que las autorizaciones de los usuarios finales pueden separarse claramente y de forma estructurada de las de los administradores y desarrolladores.

¿Volver a las raíces?

Actualmente, comprobar la seguridad de una base de datos de Hana sigue siendo un pequeño reto para los auditores, ya que no existen herramientas de comprobación en el estándar de Hana, excepto el editor SQL. Aquí, es "volver a las raíces" a través de comprobaciones directamente a nivel de tabla.

Afortunadamente, al menos configurar los permisos necesarios para los auditores es considerablemente más fácil de lo que era en la pila Abap.

avatar
Thomas Tiede, IBS

Thomas Tiede es Director General de IBS Schreiber.


Todos los artículos del autor

Escriba un comentario

Informe de Boomi World London: Integración-Plataforma-como-Servicio (iPaaS)

Retraso en la transformación en la comunidad SAP

Núcleo limpio

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.