La plataforma global e independiente para la comunidad SAP.

La seguridad comienza con el diseño de la infraestructura

Debido al creciente número de ciberataques, las aplicaciones críticas para la empresa, como SAP, necesitan más protección que nunca. Esto no empieza con las aplicaciones, sino con el diseño de la infraestructura.
Bas Raayman, Nutanix
10 de junio de 2020
Contenido:
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Sicherheitslücken sind die Viren von heute. Sie sind sogar noch gefährlicher. Denn sie erlauben Cyberkriminellen, sich geräuschlos in einem Netzwerk und einer IT-Umgebung einzunisten, bis zu den Kronjuwelen vorzudringen und am Ende wertvolles geistiges Eigentum zu stehlen, den Vorstand zu erpressen oder den Geschäftsbetrieb und die Produktion lahmzulegen.

Dass wir von erfolgreichen Angriffen erfahren, ist eher selten. Aus Reputationsgründen halten sich viele Firmen lieber bedeckt und sind bereit, sogar Summen in Millionenhöhe an Cybererpresser zu zahlen.

SAP-Bestandskunden kennen das Risiko, schließlich schlägt in ihren SAP-Systemen das Herz des Unternehmens. Sie investieren deshalb in klassische Sicherheitssoftware, um die Gefahren von Cyberbedrohungen bereits im Vorfeld abzuwehren.

Dieser Schutz ist äußerst sinnvoll und effektiv, reicht jedoch nicht aus. Einerseits lassen sich unbekannte Sicherheitslücken per definitionem nicht abschirmen, andererseits dauert es in großen SAP-Landschaften oftmals Wochen und Monate, bis Sicherheitsupdates eingespielt werden, um die Lücken zu schließen.

Zudem werden die Grenzen zwischen IT-Sicherheit und Rechtssicherheit aufgrund immer mehr und immer anspruchsvolleren Vorschriften und Regularien – EU-DSGVO oder SOX sind in diesem Zusammenhang unbedingt zu nennen – fließend.

So leisten Vorkehrungen, die einer höheren Nachvollziehbarkeit von Änderungen an Systemkonfigurationen dienen und in erster Linie rechtliche Auflagen erfüllen, gleichzeitig einen wertvollen Beitrag zu mehr IT-Sicherheit.

Diesen Herausforderungen lässt sich mit einem Dreiklang aus der richtigen Infrastruktur für SAP-Landschaften, einem hohen Grad an Automatisierung, der schon beim Design und der Programmierung dieser Infrastrukturplattform ansetzt, und einem Sicherheitsökosystem begegnen.

Sicherheitsmechanismen in einer herkömmlichen Dreischichten-Architektur zu aktualisieren dauert wegen der Vielzahl der involvierten Hersteller und der Unterschiedlichkeit ihrer Technologien lange und ist teuer.

Ist eine IT-Infrastruktur hingegen komplett virtualisiert und wird sie ausschließlich von Software gesteuert, lässt sich dieser Aufwand deutlich reduzieren. Sicherheitsupdates werden dadurch selbst in großen und sehr großen SAP-Landschaften innerhalb von Stunden oder wenigen Tagen möglich statt Wochen und Monaten wie bisher.

Softwaregesteuerte Infrastrukturen haben zudem den Vorteil, dass in ihnen Security als eine gleichberechtigte Funktionalität neben allen anderen implementiert werden kann. Sie bilden den gesamten Prozess einer auf Sicherheit ausgelegten Entwicklung ab.

Dieser reicht vom Entwurf und Einsatz der Software bis hin zum Testen und zusätzlichen „Härten“ und wird im Fachjargon „Security Development Lifecycle“ (SecDL) genannt.

Ferner lassen sich in solchen Infrastrukturen Sicherheitslücken weitgehend automatisiert ermitteln und schließen. Dazu dient insbesondere die Implementierung von Sicherheitsleitfäden, sogenannten Security Technical Implementation Guides (STIGs).

Außerdem helfen softwaregesteuerte Infrastrukturen, die Integrität von Datenbankkonfigurationen nachzuvollziehen und zu sichern. Aber seien wir ehrlich: Auch die beste Infrastruktursoftware kann keinen 100-prozentigen Schutz garantieren.

Deshalb sind Anbindungsmöglichkeiten an Drittlösungen mittels offener Programmierschnittstellen (APIs) ein Muss. Dies gilt insbesondere für die Bereiche Management von Verschlüsselungs-Keys, Endpunktsicherheit und Mikrosegmentierung.

Absolute Sicherheit ist zwar unmöglich. Doch mit der richtigen Infrastruktur lässt sich die Angriffsfläche in SAP-Umgebungen deutlich verkleinern und die Zeit vom Bekanntwerden bis zum Schließen einer Sicherheitslücke massiv verkürzen.

avatar
Bas Raayman, Nutanix

Bas Raayman es Arquitecto de Soluciones Sr. en Nutanix


Escriba un comentario

El trabajo sobre la base de SAP es decisivo para el éxito de la conversión a S/4. Esto confiere al denominado Competence Centre una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como la automatización, la supervisión, la seguridad, la gestión del ciclo de vida de las aplicaciones y la gestión de datos son la base para el funcionamiento operativo de S/4. Por segunda vez, E3 Magazine organiza una cumbre en Salzburgo para que la comunidad SAP obtenga información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Con una exposición, presentaciones especializadas y mucho de lo que hablar, esperamos de nuevo a numerosos clientes, socios y expertos en Salzburgo. E3 Magazine le invita a Salzburgo para aprender e intercambiar ideas los días 5 y 6 de junio de 2024.

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entradas

Entrada anticipada - Disponible hasta el 29.03.2024
440 EUR sin IVA
Billete normal
590 EUR sin IVA

Consiga ya su entrada anticipada

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.