Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-03

Sécurité Hana - Nouvelles dimensions

Avec la base de données Hana, SAP a donné une nouvelle dimension à la sécurité des systèmes SAP.
Thomas Tiede, IBS
1er mars 2017
Contenu :
En-tête it security
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Jusqu'à présent, la couche de gestion des données et la couche d'application étaient clairement séparées. Dans la base de données elle-même, seuls les administrateurs de la base de données étaient créés en tant qu'utilisateurs. Les développeurs et les utilisateurs finaux se trouvaient dans la pile Abap, dans laquelle s'effectuait également l'ensemble de l'attribution des autorisations.

Nouvelle répartition des utilisateurs

Même si dans le successeur ERP S/4 Hana, une grande partie des applications est encore représentée par la pile Abap, de nombreux développements ont déjà lieu dans la base de données Hana elle-même.

Le BW/4 Hana, qui n'est pas officiellement déclaré comme successeur de SAP BW mais comme nouveau produit, est déjà entièrement représenté dans la base de données Hana. Par conséquent, les utilisateurs de la base de données Hana ne sont plus seulement des administrateurs de base de données, mais aussi des développeurs et, à l'avenir, de plus en plus d'utilisateurs finaux.

Sécurité

Les niveaux de sécurité lors de l'exploitation d'une BD Hana sont multiples, car ils incluent la sécurité de la BD et des applications. Cela commence par la sécurité des serveurs sur lesquels Hana est installé.

Elle ne peut être installée que sur certains dérivés d'Unix. Dans le système de fichiers, on place le SSFS (Secure Store in the File System), dans lequel sont entre autres stockées les clés root pour les cryptages.

De même, les données persistantes sont stockées dans le système de fichiers. À des fins de récupération, Hana enregistre à intervalles réguliers (savepoints) des images de la BD sur le disque dur du serveur Hana (stockage persistant).

Par défaut, les données persistantes sont écrites sur le disque dur sans être cryptées. Le cryptage doit être explicitement activé.

Dans l'installation standard, la communication est également non cryptée. Le protocole Transport-Layer-Security (TLS)/Secure-Sockets-Layer (SSL) peut être utilisé pour crypter la communication interne et externe. Les connexions non cryptées sont également acceptées par défaut.

Pour la sécurité du système, la configuration des paramètres système importants pour la sécurité est substantielle. Ceux-ci sont également enregistrés dans des fichiers texte dans Unix. Comparables aux paramètres système de la pile Abap, ils contrôlent des composants tels que l'authentification, le cryptage et la journalisation.

Réglementation de l'accès

En ce qui concerne les utilisateurs configurés dans la base de données Hana, la principale distinction est de savoir s'ils doivent simplement exécuter des applications (utilisateurs finaux) ou s'ils ont besoin d'un accès à la base de données elle-même (administrateurs, développeurs, auditeurs).

Les utilisateurs finaux sont définis comme utilisateurs restreints. Cela garantit qu'une connexion directe à la base de données via ODBC/JDBC (par ex. via Eclipse) n'est pas possible.

En outre, des autorisations doivent leur être explicitement attribuées pour leurs applications, alors que les comptes d'utilisateurs normaux se voient attribuer par défaut un rôle avec les autorisations de base dès leur création (rôle catalogue Public).

La journalisation doit également être configurée de manière spécifique à l'entreprise. Si un grand nombre de protocoles à conserver sont générés automatiquement dans la pile Abap, cela doit être configuré individuellement dans la base de données Hana.

Par exemple, la journalisation de la gestion des utilisateurs et de l'attribution des rôles doit être explicitement activée. Cela concerne également les modifications apportées aux paramètres système et aux paramètres de cryptage.

Seules les modifications au sein du référentiel, c'est-à-dire de l'environnement de développement, font l'objet de protocoles automatiques (versions).

Le concept d'autorisation est bien sûr aussi un point essentiel. Sa fonctionnalité est représentée de manière très transparente dans la base de données Hana, de sorte que les autorisations des utilisateurs finaux peuvent être séparées de manière claire et structurée de celles des administrateurs et des développeurs.

Retour aux sources ?

Le contrôle de la sécurité d'une base de données Hana est actuellement encore un petit défi pour les contrôleurs, car il n'existe pas d'outils de contrôle dans le standard Hana - à part l'éditeur SQL. Il s'agit ici d'un "retour aux sources" en effectuant des contrôles directement au niveau des tables.

Heureusement, la configuration des autorisations nécessaires aux contrôleurs est au moins beaucoup plus simple que dans la pile Abap.

avatar
Thomas Tiede, IBS

Thomas Tiede est directeur général d'IBS Schreiber.


Tous les articles de l'auteur

Écrire un commentaire

L'archivage : plus que le classement et l'élimination

Evolution du client avec des charges héritées du passé

L'IA fait partie intégrante de la vie quotidienne

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.