La plataforma global e independiente para la comunidad SAP.
La opinión de la comunidad SAP, Columna sobre seguridad informática, MAG 17-03

Hana Security - Nuevas dimensiones

Con la base de datos Hana, SAP ha creado una nueva dimensión en lo que respecta a la seguridad de los sistemas SAP.
Thomas Tiede, IBS
1. marzo 2017
Contenido:
seguridad informática Header
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Hasta ahora, el nivel de gestión de datos y el nivel de aplicación estaban claramente separados entre sí. Sólo los administradores de la base de datos se creaban como usuarios en la propia base de datos. Los desarrolladores y usuarios finales se encontraban en la pila Abap, donde tenía lugar toda la asignación de autorizaciones.

Distribución de nuevos usuarios

Aunque la mayoría de las aplicaciones del sucesor del ERP S/4 Hana se siguen mapeando a través de la pila Abap, ya se están produciendo muchos desarrollos en la propia base de datos de Hana.

BW/4 Hana, oficialmente no declarado como sucesor de SAP BW sino como un nuevo producto, ya está completamente mapeado en la base de datos Hana. Por lo tanto, ya no sólo los administradores de bases de datos actúan como usuarios en la base de datos Hana, sino también los desarrolladores y, en el futuro, cada vez más los usuarios finales.

Seguridad

Los niveles de seguridad en el funcionamiento de una BD de Hana son múltiples, ya que incluyen la seguridad de la BD y de las aplicaciones. Esto comienza con la seguridad de los servidores en los que se instala Hana.

Sólo puede instalarse en determinados derivados de Unix. El SSFS (Secure Store in the File System) se almacena en el sistema de archivos, en el que, entre otras cosas, se guardan las claves raíz para los cifrados.

Asimismo, los datos persistentes se almacenan en el sistema de archivos. A efectos de recuperación, Hana guarda imágenes de la BD en el disco duro del servidor Hana a intervalos regulares (savepoints) (almacenamiento persistente).

Por defecto, los datos persistentes se escriben en el disco duro sin cifrar. El cifrado debe activarse explícitamente.

La comunicación tampoco está cifrada en la instalación estándar. El protocolo Transport Layer Security (TLS)/Secure Sockets Layer (SSL) puede utilizarse para cifrar la comunicación interna y externa. Las conexiones no cifradas también se aceptan por defecto.

Para la seguridad del sistema, la configuración de los parámetros del sistema relevantes para la seguridad es sustancial. Estos también se almacenan en archivos de texto en Unix. Comparables a los parámetros del sistema de la pila Abap, controlan componentes como la autenticación, el cifrado y el registro.

Regulación del acceso

En cuanto a los usuarios configurados en Hana DB, la principal distinción es si son sólo para ejecutar aplicaciones (usuarios finales) o necesitan acceso a la propia base de datos (administradores, desarrolladores, auditores).

Los usuarios finales se definen como usuarios restringidos. Esto garantiza que no sea posible un inicio de sesión directo en la base de datos a través de ODBC/JDBC (por ejemplo, utilizando Eclipse).

Además, se les deben asignar explícitamente permisos para sus aplicaciones, mientras que a las cuentas de usuario normales ya se les asigna un rol con permisos básicos por defecto cuando se crean (rol de catálogo Público).

El registro también debe configurarse de forma específica para cada empresa. Si se genera automáticamente un gran número de registros sujetos a retención en la pila Abap, esto debe configurarse individualmente en la base de datos Hana.

Por ejemplo, el registro del mantenimiento de usuarios y la asignación de funciones deben activarse explícitamente. Esto también se aplica a los cambios en los parámetros del sistema y los ajustes para el cifrado.

Sólo para los cambios dentro del repositorio, es decir, el entorno de desarrollo, se generan automáticamente registros (versiones).

Un punto importante es, por supuesto, el concepto de autorización. Su funcionalidad se asigna de forma muy transparente en la base de datos de Hana, de modo que las autorizaciones de los usuarios finales pueden separarse claramente y de forma estructurada de las de los administradores y desarrolladores.

¿Volver a las raíces?

Actualmente, comprobar la seguridad de una base de datos de Hana sigue siendo un pequeño reto para los auditores, ya que no existen herramientas de comprobación en el estándar de Hana, excepto el editor SQL. Aquí, es "volver a las raíces" a través de comprobaciones directamente a nivel de tabla.

Afortunadamente, al menos configurar los permisos necesarios para los auditores es considerablemente más fácil de lo que era en la pila Abap.

avatar
Thomas Tiede, IBS

Thomas Tiede es Director General de IBS Schreiber.


Todos los artículos del autor

Escriba un comentario

Nektarios Makris es Vicepresidente Regional de Ventas de Cloudera

Necesitamos SAP S/5 Hana

FUE: Estimación de nuevos contratos Rise-with-SAP

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.