La plataforma global e independiente para la comunidad SAP.
Noticias de la Comunidad, MAG 17-05, Escena

Hana exige replantearse la seguridad

El mayor reto en el ámbito de la seguridad con Hana se refiere a la gestión de roles y autorizaciones. A diferencia de los entornos SAP ERP anteriores, SAP adopta aquí un enfoque completamente nuevo. Por lo tanto, los administradores tienen que replanteárselo.
René Bader, NTT Security
16 de mayo de 2017
Contenido:
Hana exige replantearse la seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

René BaderHana se desarrolló inicialmente como base de datos relacional para sistemas SAP. La base para ello es la tecnología in-memory. La principal ventaja es el enorme aumento del rendimiento en comparación con los sistemas de bases de datos convencionales.

Con la introducción de Hana, SAP también abrió nuevos caminos en términos de entorno de desarrollo e interfaz de usuario: Java y HTML5 o Fiori y SAPUI5 están en primer plano.

Esto también abre nuevas posibilidades de aplicación para Hana en el uso empresarial. Por tanto, Hana se considera cada vez más una plataforma de desarrollo en la que se puede ejecutar cualquier aplicación Java y HTML5 en entornos de ejecución.

La ampliación del espectro de aplicaciones también afecta al modelo y la arquitectura de seguridad. La atención se centra ahora en cinco niveles primarios de seguridad derivados del entorno de desarrollo Java, así como de la tecnología de bases de datos:

Seguridad de la red, autenticación y SSO (inicio de sesión único), autorización, cifrado (transporte y datos) y auditoría y registro.

En el ámbito de la seguridad de las redes, la atención se centra en las medidas clásicas, es decir, en la arquitectura del sistema con varias zonas de seguridad y la prestación limitada de los servicios necesarios.

La comunicación en red debe reducirse a los puertos más necesarios, especialmente en lo que respecta a las opciones de acceso a datos y administración: por ejemplo, a través del protocolo SQLDBC, Hana Studio o SolMan.

En cuanto a la autenticación, Hana admite diversos métodos seguros, como nombre de usuario y contraseña, Kerberos, SAML (Security Assertion Markup Language) 2.0, tickets de inicio de sesión SAP o X.509.

Es importante la correcta implementación e integración en el entorno de autenticación existente, es decir, la conexión a los servicios de directorio Microsoft AD (Active Directory) y LDAP (Lightweight Directory Access Protocol), la integración en entornos PKI (Public Key Infrastructure) o la vinculación con procedimientos de autenticación basados en tokens como SAML o Active Directory Federation Services (AD FS).

Los cambios más importantes de Hana se producen en el ámbito de la autorización. En pocas palabras, los administradores de SAP ahora tienen que dominar el "lenguaje DBA".

Mientras que antes la gestión de roles y autorizaciones siempre estaba vinculada a las aplicaciones SAP ERP, ahora se externaliza a la capa de base de datos. Esto significa que prácticamente todas las aplicaciones del tiempo de ejecución de Hana adoptan el modelo de autorización del entorno de base de datos.

Sin embargo, esto difiere significativamente de los modelos de autorización anteriores, por ejemplo en el sistema ERP. Un administrador de SAP debe entender ahora cómo funcionan las bases de datos y cómo se pueden transferir los roles y derechos anteriores. El nuevo modelo de autorización de Hana permite un control de acceso extremadamente detallado y preciso.

Se utilizan roles en los que se agrupan y estructuran los derechos. Los derechos se basan en permisos SQL estándar para objetos y especificaciones de Hana para aplicaciones empresariales.

En cuanto al cifrado, hay que considerar los dos niveles, el de transporte y el de datos. Por cifrado de transporte se entiende inicialmente el cifrado SSL, pero también deben examinarse alternativas como las técnicas VPN.

El cifrado de datos sólo funciona cuando se almacenan datos en volúmenes de almacenamiento. El cifrado de datos en el almacenamiento principal es el punto conflictivo aquí, especialmente si se van a ejecutar varias instancias en el mismo sistema.

La pregunta crucial -pero a menudo sin respuesta- en estos casos es: "¿Quién garantiza entonces la integridad de los datos y evita que "salten" de una instancia a otra?".

Hana también ofrece amplias opciones de auditoría y registro. Sin embargo, el espacio de almacenamiento libre es el factor limitante aquí. Debido a la avalancha de consultas (SQL) en el sistema, existe rápidamente el peligro de que la memoria alcance sus límites de capacidad.

Actualmente, sólo las herramientas externas pueden ayudar en este sentido, especialmente cuando se trata de cumplir los requisitos de conformidad. Así pues, Hana viene con varias funciones de seguridad por defecto. Sin embargo, su uso requiere un replanteamiento por parte de los administradores de SAP.

El mayor reto en este sentido se refiere a la gestión de funciones y autorizaciones, ya que ha cambiado por completo en comparación con los anteriores entornos ERP de SAP, en los que los niveles de aplicación y base de datos estaban claramente separados.

Actualmente, NTT Security es la empresa que recibe más consultas de clientes sobre este tema. El cifrado, en cambio, aún no es un tema de interés para los usuarios.

Pero aquí también se producirá pronto un cambio, ya que sigue habiendo una gran necesidad de actuar debido a los requisitos de cumplimiento. Por último, no hay que olvidar que los atacantes pueden robar, cambiar o eliminar datos críticos para el negocio sin mucho esfuerzo si acceden con éxito a Hana.

avatar
René Bader, NTT Security


Todos los artículos del autor

Escriba un comentario

Encuesta de DACH sobre ciberataques: Casi todas las grandes empresas afectadas

Previsiones de Forrester sobre tecnología y seguridad para 2025: aumento de la deuda técnica

Socios, confianza e IA

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.