Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-03

Hana Sicherheit – Neue Dimensionen

Mit der Datenbank Hana hat SAP eine neue Dimension geschaffen hinsichtlich der Sicherheit von SAP-Systemen.
Thomas Tiede, IBS
1er mars 2017
Contenu :
En-tête it security
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Bisher waren die Datenhaltungs- und die Anwendungsebene klar voneinander getrennt. In der Datenbank selbst waren lediglich die Datenbankadministratoren als Benutzer angelegt. Die Entwickler und Endanwender befanden sich im Abap-Stack, in dem auch die gesamte Berechtigungsvergabe erfolgte.

Neue Nutzerverteilung

Auch wenn im ERP-Nachfolger S/4 Hana ein Großteil der Anwendungen noch über den Abap-Stack abgebildet ist, so finden doch viele Entwicklungen bereits in der Hana-Datenbank selbst statt.

Das BW/4 Hana, offiziell nicht als Nachfolger von SAP BW deklariert, sondern als neues Produkt, ist bereits vollständig in der Hana-Datenbank abgebildet. Daher sind als Benutzer in der Hana-Datenbank nun nicht nur Datenbankadministratoren tätig, sondern auch Entwickler und zukünftig vermehrt auch Endanwender.

Sécurité

Die Sicherheitsebenen beim Betrieb einer Hana-DB sind vielfältig, da sie DB- und Applikationssicherheit einschließen. Dies beginnt mit der Sicherheit der Server, auf denen Hana installiert ist.

Sie kann ausschließlich auf bestimmten Unix-Derivaten installiert werden. Im Dateisystem wird der SSFS (Secure Store in the File System) abgelegt, in dem u. a. die root keys für die Verschlüsselungen gespeichert werden.

Ebenso werden im Dateisystem die persistenten Daten gespeichert. Zu Wiederherstellungszwecken speichert Hana in regelmäßigen Abständen (Savepoints) Abbilder der DB auf der Festplatte des Hana-Servers (persistenter Speicher).

Standardmäßig werden die persistenten Daten unverschlüsselt auf die Festplatte geschrieben. Die Verschlüsselung muss explizit aktiviert werden.

Auch die Kommunikation erfolgt in der Standardinstallation unverschlüsselt. Zur Verschlüsselung der internen und externen Kommunikation kann das Transport-Layer-Security-(TLS-)/Secure-Sockets-Layer-(SSL-)Protokoll genutzt werden. Auch unverschlüsselte Verbindungen werden standardmäßig akzeptiert.

Für die Systemsicherheit ist die Konfiguration der sicherheitsrelevanten Systemparameter substanziell. Auch diese werden in Textdateien im Unix gespeichert. Vergleichbar mit den Systemparametern des Abap-Stack steuern diese Komponenten wie die Authentifizierung, die Verschlüsselung und die Protokollierung.

Zugriffsregelung

Hinsichtlich der eingerichteten Benutzer in der Hana-DB liegt die wesentliche Unterscheidung darin, ob sie lediglich Anwendungen ausführen sollen (Endanwender) oder einen Zugriff auf die Datenbank selbst benötigen (Admins, Entwickler, Prüfer).

Endanwender werden als Restricted User definiert. Dadurch ist gesichert, dass eine direkte Anmeldung an die Datenbank via ODBC/JDBC (z. B. mittels Eclipse) nicht möglich ist.

Außerdem müssen ihnen explizit Berechtigungen für ihre Anwendungen zugeordnet werden, während normalen Benutzerkonten standardmäßig bereits beim Anlegen eine Rolle mit den grundlegenden Berechtigungen zugeordnet wird (Katalogrolle Public).

Auch die Protokollierung ist unternehmensspezifisch zu konfigurieren. Werden im Abap-Stack eine Vielzahl aufbewahrungspflichtiger Protokolle automatisch erzeugt, so ist dies in der Hana-DB individuell einzurichten.

So muss z. B. die Protokollierung der Benutzerpflege und der Rollenzuordnung explizit aktiviert werden. Dies betrifft auch Änderungen an den Systemparametern und den Einstellungen zur Verschlüsselung.

Lediglich für Änderungen innerhalb des Repositories, also der Entwicklungsumgebung, werden automatisch Protokolle (Versionen) erzeugt.

Ein wesentlicher Punkt ist natürlich auch das Berechtigungskonzept. Dessen Funktionalität ist sehr transparent in der Hana-Datenbank abgebildet, sodass die Berechtigungen der Endanwender klar und strukturiert von denen der Administratoren und Entwickler getrennt werden können.

Zurück zu den Wurzeln?

Die Prüfung der Sicherheit einer Hana-DB ist aktuell für Prüfer noch eine kleine Herausforderung, da im Hana-Standard keine Tools zur Prüfung existieren – außer dem SQL-Editor. Hier heißt es „back to the roots“ durch Prüfungen direkt auf Tabellenebene.

Glücklicherweise ist zumindest das Einrichten der für Prüfer erforderlichen Berechtigungen erheblich einfacher als noch im Abap-Stack.

avatar
Thomas Tiede, IBS

Thomas Tiede ist Geschäftsführer von IBS Schreiber.


Tous les articles de l'auteur

Écrire un commentaire

Communication numérique pour SAP : Retarus Cloud Services

Atos reçoit le Golden Certificate de SAP en tant que Global Operations Partner

Maintenir l'équilibre de l'ERP

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.