Les architectures des paysages SAP ont fondamentalement chang\u00e9 avec l'introduction de SAP Hana. Hana avait d'abord \u00e9t\u00e9 d\u00e9velopp\u00e9 comme une base de donn\u00e9es relationnelle pour les syst\u00e8mes SAP, bas\u00e9e sur la technologie in-memory.<\/p>\n
L'ensemble du traitement et du stockage des donn\u00e9es s'effectue alors dans la m\u00e9moire principale de l'environnement syst\u00e8me, ce qui entra\u00eene un \u00e9norme gain de performance par rapport aux syst\u00e8mes de base de donn\u00e9es traditionnels.<\/p>\n
Mais Hana ouvre \u00e9galement de nouvelles possibilit\u00e9s dans l'utilisation professionnelle et devient ainsi de plus en plus une plateforme de d\u00e9veloppement sur laquelle les applications Java et HTML5 sont ex\u00e9cut\u00e9es dans des environnements d'ex\u00e9cution.<\/p>\n
L'accent est d\u00e9sormais mis sur les applications bas\u00e9es sur le web qui communiquent via HTTP.<\/p>\n
Toutefois, sous Hana, le noyau SAP ne peut plus \u00eatre modifi\u00e9 par l'utilisateur lui-m\u00eame au niveau de la programmation ; Hana est donc consid\u00e9r\u00e9 comme un syst\u00e8me ferm\u00e9 et met ses fonctions \u00e0 disposition via une multitude de connecteurs et d'interfaces auxquels des programmes d'application d\u00e9velopp\u00e9s par l'utilisateur peuvent ensuite acc\u00e9der.<\/p>\n
Actuellement, plus de 2000 connecteurs et interfaces de ce type sont impl\u00e9ment\u00e9s dans le noyau Hana - la tendance est fortement \u00e0 la hausse, car de nouveaux domaines d'application doivent \u00eatre couverts en permanence. En g\u00e9n\u00e9ral, on peut distinguer les chemins de communication suivants sur cette plate-forme :<\/p>\n
Connexions \u00e0 Hana via le client de la base de donn\u00e9es : elles servent principalement \u00e0 la gestion du syst\u00e8me de base de donn\u00e9es - par exemple Hana Cockpit ou Hana Studio - ou pour les requ\u00eates classiques dans la base de donn\u00e9es, par exemple avec des outils de business intelligence ou tout simplement avec Excel. La communication se fait \u00e0 l'aide du protocole SQLDBC, qui est un d\u00e9riv\u00e9 d'ODBC\/JDBC.<\/p>\n
Connexions de ce que l'on appelle des clients web. Il peut s'agir par exemple d'applications qui fonctionnent dans le runtime Java de Hana XS et qui sont directement int\u00e9gr\u00e9es dans l'environnement de la base de donn\u00e9es.<\/p>\n
L'extension XS est alors n\u00e9cessaire ; la communication, g\u00e9n\u00e9ralement bas\u00e9e sur le web (HTTP\/HTTPS), passe g\u00e9n\u00e9ralement par les ports TCP 3xx33, o\u00f9 xx repr\u00e9sente le num\u00e9ro d'instance correspondant. Dans cette configuration, XS met \u00e0 disposition la machine d'ex\u00e9cution Java ainsi que le serveur web.<\/p>\n
Cela pose un certain nombre de probl\u00e8mes pour la s\u00e9curit\u00e9 de la plate-forme et des applications : Au sein de la plateforme, la communication se fait en \"plain text\", ce qui signifie que toutes les donn\u00e9es sont \u00e9chang\u00e9es sans \u00eatre crypt\u00e9es ; cela vaut aussi bien pour les clients de la base de donn\u00e9es que pour les clients web.<\/p>\n
Les composants respectifs doivent s'authentifier mutuellement. Les options possibles sont Basic Auth (nom d'utilisateur\/mot de passe), SAML Assertions et les certificats X.509. Toutefois, Basic Auth est g\u00e9n\u00e9ralement consid\u00e9r\u00e9 comme peu s\u00fbr ; SAML et X.509 n\u00e9cessitent \u00e0 leur tour une gestion des certificats correspondante, qui n'est toutefois disponible que de mani\u00e8re limit\u00e9e au sein du paysage Hana.<\/p>\n
Le th\u00e8me de la \"protection des donn\u00e9es\" est donc de plus en plus mis en avant. Que se passe-t-il exactement, par exemple, lorsque des applications compromises acc\u00e8dent aux donn\u00e9es via les connecteurs ?<\/p>\n
Actuellement, la plateforme Hana ne propose pas de chiffrement de la m\u00e9moire vive. Un pirate pourrait donc installer une application qui aurait acc\u00e8s \u00e0 l'ensemble des donn\u00e9es non crypt\u00e9es.<\/p>\n
La solution la plus \u00e9vidente serait ici un cryptage de la RAM, mais celui-ci ne sera disponible qu'avec la derni\u00e8re g\u00e9n\u00e9ration de processeurs ainsi que les modules correspondants dans le syst\u00e8me d'exploitation.<\/p>\n
Cela met de plus en plus l'accent sur le th\u00e8me du d\u00e9veloppement d'applications s\u00e9curis\u00e9es, qui accorde par exemple une tr\u00e8s grande priorit\u00e9 \u00e0 la validation et \u00e0 l'autorisation des donn\u00e9es et des flux de donn\u00e9es.<\/p>\n
Dans le pass\u00e9, lorsqu'un environnement SAP \u00e9tait encore un syst\u00e8me ouvert, la majorit\u00e9 des fonctions \u00e9taient cr\u00e9\u00e9es par le d\u00e9veloppement Abap lui-m\u00eame, puis int\u00e9gr\u00e9es dans le noyau SAP.<\/p>\n
Certes, des failles de s\u00e9curit\u00e9 pouvaient \u00e9galement appara\u00eetre, mais leur impact restait limit\u00e9, car le noyau SAP assurait une certaine protection ; en tout cas, il n'\u00e9tait pas possible de compromettre toute une infrastructure de cette mani\u00e8re.<\/p>\n
Le d\u00e9veloppeur travaille maintenant \u00e0 un autre niveau, o\u00f9 le syst\u00e8me ne le prot\u00e8ge plus ; son application acc\u00e8de aux connecteurs et aux interfaces et s'il commet une erreur de s\u00e9curit\u00e9 critique \u00e0 ce niveau, toute l'infrastructure est, dans le pire des cas, ouverte aux attaquants, qui peuvent alors \u00e9galement acc\u00e9der aux connecteurs concern\u00e9s.<\/p>\n
Les d\u00e9veloppeurs d'applications doivent s'assurer que leurs flux XML, par exemple, sont correctement valid\u00e9s, afin d'\u00e9viter que des vuln\u00e9rabilit\u00e9s ne permettent \u00e0 un pirate d'acc\u00e9der \u00e0 l'int\u00e9gralit\u00e9 de l'application, de la modifier et d'acc\u00e9der ainsi \u00e0 toutes les donn\u00e9es de la m\u00e9moire vive.<\/p>\n
Il faut aussi d\u00e9sormais tenir compte de la prise en compte et de la sp\u00e9cification des exigences de s\u00e9curit\u00e9 dans la phase de design et de conception, mais aussi des investissements dans le testing - par exemple dans le Static Application Security Testing (SAST), le Dynamic Application Security Testing et les tests de p\u00e9n\u00e9tration.<\/p>\n
Dans les grands paysages SAP, les utilisateurs doivent en outre s'occuper de plus en plus de questions d'infrastructure comme les Web Application Firewalls (WAF) et les XML-Firewalls.<\/p>\n
Ainsi, les d\u00e9veloppeurs utilisent de plus en plus souvent des microservices bas\u00e9s sur des API REST pour l'\u00e9change de donn\u00e9es - par exemple avec SAP Leonardo, la plateforme d'\u00e9change et d'analyse d'informations IoT.<\/p>\n
Ces donn\u00e9es doivent \u00eatre transmises rapidement et en toute s\u00e9curit\u00e9, une compromission des donn\u00e9es doit \u00eatre \u00e9vit\u00e9e dans tous les cas. Pour cela, les signatures num\u00e9riques, le cryptage de transport au moyen de 2-Way-SSL-Handshakes, la validation XML sont par exemple des moyens de choix.<\/p>\n
De nombreux d\u00e9veloppeurs renoncent encore \u00e0 mettre en place de telles mesures de s\u00e9curit\u00e9 dans leurs applications, car ils craignent une r\u00e9duction des performances globales de leurs syst\u00e8mes, mais d'autre part, les syst\u00e8mes ne sont parfois pas non plus en mesure de prendre en charge de telles mesures au niveau de l'application.<\/p>\n
C'est pourquoi les composants d'infrastructure mentionn\u00e9s sont indispensables pour un fonctionnement s\u00e9curis\u00e9 dans un environnement Hana.<\/p>\n
Paradoxalement, c'est justement parce que Hana est un syst\u00e8me programmatiquement ferm\u00e9 qu'il faut se concentrer sur le th\u00e8me des voies de communication et des partenaires de communication.<\/p>\n
En cas d'attaque r\u00e9ussie sur les applications Hana, la plateforme pourrait devenir une porte d'entr\u00e9e pour les pirates, leur permettant d'acc\u00e9der \u00e0 n'importe quelles donn\u00e9es critiques de l'entreprise.<\/p>","protected":false},"excerpt":{"rendered":"
La communication dans les environnements SAP Hana s'effectue actuellement via plus de 2000 connecteurs et interfaces. Pour les utilisateurs, cela repr\u00e9sente un d\u00e9fi, car ils doivent d'une part veiller \u00e0 un d\u00e9veloppement d'application conscient de la s\u00e9curit\u00e9, et d'autre part prendre en compte les questions d'infrastructure li\u00e9es \u00e0 la s\u00e9curit\u00e9.<\/p>","protected":false},"author":1053,"featured_media":36741,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,20719],"tags":[424,3491],"coauthors":[21849],"class_list":["post-34056","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-1803","tag-in-memory-technologie","tag-sap-hana","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",400,168,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-768x323.jpg",768,323,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-100x42.jpg",100,42,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-480x202.jpg",480,202,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-640x269.jpg",640,269,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-720x303.jpg",720,303,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-960x404.jpg",960,404,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",1000,421,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",600,253,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088.jpg",600,253,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2018\/04\/shutterstock_123702088-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"
Die Kommunikation in SAP-Hana-Umgebungen erfolgt \u00fcber aktuell mehr als 2000 Connectoren und Interfaces. F\u00fcr Anwender stellt das eine Herausforderung dar, da sie zum einen auf eine sicherheitsbewusste Anwendungsentwicklung achten m\u00fcssen, zum anderen aber auch sicherheitsrelevante Infrastruktur-Themen ber\u00fccksichtigen sollten.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 18-03<\/a>","author_info_v2":{"name":"Ren\u00e9 Bader, NTT Security","url":"https:\/\/e3mag.com\/fr\/author\/rene-bader\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/34056","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/1053"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=34056"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/34056\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/36741"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=34056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=34056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=34056"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=34056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}