Seguridad en los clientes técnicos de SAP
El perfil SAP_ALL se sigue utilizando con frecuencia en las consideraciones de seguridad en lugar de roles específicos. El acceso a los datos productivos también es posible desde otros clientes.
Si se procesan datos sensibles (datos personales, condiciones, datos de producción, etc.), el acceso debe asegurarse de la misma manera que en el cliente de producción.
El DBA Cockpit, por ejemplo, puede utilizarse para acceder a datos productivos y puede llamarse con más de 50 transacciones diferentes.
Contiene el editor SELECT o el editor SQL, con los que se pueden visualizar los datos directamente en la base de datos y (con el editor SQL) también modificarlos. Como el concepto de cliente es una lógica dentro de la pila Abap, la base de datos no reconoce ningún cliente.
Por lo tanto, siempre se leen todos los registros de datos de todos los clientes cuando se accede a una tabla. Por ejemplo, la tabla PA0008 (salarios base en SAP HCM) no contiene ningún registro de datos en el mandante 000.
Sin embargo, si se llama allí a través del DBA Cockpit, se muestran todos los registros de datos de todos los clientes, incluidos los datos salariales del cliente productivo. Esto también se aplica a todas las demás tablas.
Para piratear las contraseñas de los usuarios del cliente de producción, por ejemplo, basta con llamar a la tabla USR02, en la que se almacenan los valores hash de las contraseñas. A continuación, se pueden exportar y piratear con las herramientas adecuadas.
Otras funciones también permiten acceder a los datos de otros clientes. Por ejemplo, el módulo de funciones SE16N_INTERFACE ofrece la posibilidad de visualizar tablas entre clientes.
Además, aquí también se puede activar el modo de edición de la tabla para que las tablas que no se pueden modificar por defecto se puedan modificar en el cliente productivo.
Otra opción para acceder a datos productivos es la cola de impresión. Puede utilizarse para visualizar trabajos de impresión de otros clientes.
Si se imprimen datos sensibles en el cliente productivo, pueden verse en el cliente 000. Además del acceso a datos productivos, las autorizaciones también pueden utilizarse para infringir las leyes aplicables.
Esto se aplica en particular a los elementos de desarrollo de aplicaciones y a la eliminación de registros que deben conservarse. El desarrollo de aplicaciones es multi-cliente, por lo que está prohibido en un sistema productivo en todos los clientes.
Muchos logs también son multi-cliente (por ejemplo, los logs de cambios de tabla), por lo que está prohibido borrar estos logs de todos los clientes. Por lo tanto, estas autorizaciones tampoco deben asignarse en el cliente 000.
Los ajustes del sistema también pueden actualizarse desde todos los clientes. Por lo tanto, las autorizaciones deben estar aseguradas en todos los clientes. Sin embargo, las autorizaciones para el centro de datos también pueden configurarse aquí.
Un funcionamiento clásico del centro de datos sólo requiere autorizaciones en el cliente 000, ya que todos los ajustes del sistema pueden realizarse desde aquí, como la configuración de la modificabilidad del sistema y el mantenimiento de los parámetros del sistema y los sistemas de confianza.
El concepto de seguridad debe especificar qué autorizaciones pueden y no pueden asignarse para la configuración del sistema en el cliente 000.
La seguridad del sistema puede verse influida significativamente por estas autorizaciones. Por tanto, la seguridad de un sistema SAP no depende únicamente de la seguridad de los clientes productivos.
Los clientes técnicos, en particular el cliente 000, también son aspectos clave de la seguridad del sistema. La seguridad es mucho menos compleja que en el caso de los clientes de producción, ya que sólo hay que tener en cuenta los componentes entre clientes. Esta protección debe incluirse siempre en un concepto de seguridad.
