Adm960 sap netweaver безопасность сервера приложений - Новости с мира ПК
Vvmebel.com

Новости с мира ПК
8 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Adm960 sap netweaver безопасность сервера приложений

sidadm

записки SAP Basis консультанта

Полезное

понедельник, 3 июля 2017 г.

Навыки SAP BASIS администратора — IV

Этой серией статей (первая часть, вторая часть, третья часть) я делаю попытку классифицировать и систематизировать навыки , необходимые SAP BASIS специалисту.

  • SAP Solutions,
  • AS ABAP,
  • AS Java,
  • SAP Frontend.
  1. Знания о том, какие решения-системы (SAP BI, SAP ERP, SAP MDM и т.д.) SAP предлагает на рынке. Важны знания по архитектуре решений и последовательность их установки-разворачивания, примерные аппаратные ресурсы для установки и т.п.
  2. Навыки работы с SAP Support Portal. Прежде всего это поиск и применение к системе SAP notes, поиск и работа с документацией (SAP Help Portal, документация по установке и настройке систем и решений), инициирование диалога (messages) со службой поддержки SAP, поиск и скачивание дистрибутивов и обновлений для продуктов SAP, работа с таблицей PAM и т.п. На моём блоге статьи на эту тему можно найти, например, по данному тегу.
  3. Отдельно выделю навыки необходимые для работы с системой SAP Solution Manager. Конечно, по этой системе на рынке есть отдельные специалисты, но эта система все таки ближе к администраторам SAP систем, чем SRM или CRM, например. Поэтому навыки по установке/настройки сценариев для администрирования систем нужны. По Solution Manager есть SAP семинар — «SM100 — SAP управление решением. Конфигурация для операций» или книги издательства SAP PRESS.

Тут тоже можно покопаться в моем блоге: например, про SAP GUI for Windows — ссылка 1, ссылка 2, ссылка 3 или поиск по тегу. Про SAP GUI for Java — общая статья, установка на Mac OS. Про активацию ITS.

Администрирование сервера приложений SAP можно разделить на две большие части:

  • AS ABAP или сервер приложений ABAP,
  • AS Java — сервер приложений Java.
  • архитектура сервера приложений AS ABAP,
  • установка, а как более глубокий навык — копирование и миграция SAP систем,
  • запуск/останов AS ABAP,
  • навыки конфигурации сервера приложений,
  • мониторинг и решение проблем,
  • вопросы безопасности. Здесь же администрирование пользователей, роли/полномочия, центральное ведение пользователей (CUA),
  • обновление системы: установка SAP нот, пакетов поддержки, стеков (SPS), EHP и обновление версии SAP системы,
  • создание резервных копий и восстановление в случае сбоев,
  • вопросы производительности,
  • система управления изменениями или транспортная система (TMS): настройка системы, управление запросами на перенос, управление мандантами системы (создание их и копирование тоже здесь),
  • вопросы интеграции, например, знание механизмов RFC,
  • печать из AS ABAP,
  • управление фоновыми заданиями,
  • архивация данных на уровне SAP системы,
  • основы ABAP. Для администратора обязательными я бы выделил следующие моменты: знание словаря данных, семантики языка на базовом уровне и навыки работы с отладчиком.

Ну и много информации в моём блоге: по тегам AS ABAP, например.

Так же много навыков можно получить, пройдя мои курсы по практике SAP Basis администрирования.

  • архитектура сервера приложений AS Java,
  • установка, а как более глубокий навык — копирование и миграция AS Java,
  • запуск/останов AS Java,
  • навыки конфигурации сервера приложений AS Java,
  • мониторинг и решение проблем,
  • вопросы безопасности и управления пользователями,
  • обновление системы: установка пакетов поддержки, стеков (SPS), EHP и обновление версии SAP системы,
  • создание резервных копий и восстановление в случае сбоев,
  • вопросы производительности,
  • система управления изменениями или транспортная система (TMS): настройка системы, управление запросами на перенос,
  • вопросы интеграции,
  • печать из AS Java: прежде всего это настройка и управление сервером печати PDF-форм — Adobe Document Services (ADS).

Курсы по AS Java — ADM200 или ADM800, про который я писал совсем недавно. На моем блоге тег AS Java.

Adm960 sap netweaver безопасность сервера приложений

SAP NetWeaver Application Server Java

SAP Library contains the complete documentation for SAP NetWeaver Application Server Java. You can access it by choosing SAP NetWeaver.

SAP NetWeaver Administrator

A powerful administration, configuration and monitoring tool, which bundles key administrative tasks to keep your SAP NetWeaver system landscape running. SAP NetWeaver Administrator can be used in a central or local scenario. Here you access the local NetWeaver Administrator.

System information provides administrators with an overview of the system configuration and its state. It shows all of the system’s instances and processes, their current state and important parameters (such as ports) that may be required for support cases, as well as the versions of the components installed.

Web Services Navigator

Web Services Navigator is a tool that gives you a short overview of a specific Web service based on its WSDL, and enables you to test your Web service by creating and sending a client request to the real end point.

The user management administration console provides administrators with the functions they need to manage users, groups, roles, and user-related data in the User Management Engine (UME). Users without administrator permissions can use it to change their user profile.

Web Dynpro is a User Interface technology available within the SAP NetWeaver Developer Studio. Various Web Dynpro tools provide administrators and application developers with performance measurement and application administration capabilities. The Web Dynpro runtime is already deployed.

SAP Management Console

The SAP Management Console (applet version) offers administrative system access.

The Services Registry is a UDDI based registry that contains definitions of enterprise services and references to their metadata.

Information about Product Instances

This page lists the product instances on this server (requires administrator authentication)

Application Server Java Troubleshooting Guide

The Troubleshooting Guide provides interactive step-by-step solutions to user problems.

This tool allows testing, exploring and execution of the business components (Enterprise JavaBeans) deployed on the AS Java.

SAP Internet Communication Manager, или Посторонним вход разрешен

SAP Internet Communication Manager, или Посторонним вход разрешен

SAP Internet Communication Manager, или Посторонним вход разрешен

SAP в Интернете

Все больше и больше компаний используют SAP в своей работе и пользуются всем разнообразием его интерфейсов для доступа к необходимой информации. С каждым днем утверждение 0 том, что SAP – это только внутренняя система компании, теряет свою актуальность. Используя любой поисковый движок, потенциальный атакующий может без особых трудностей найти SAP-систему компании, доступную через Интернет. Таким образом, проблема внешнего нарушителя становится все актуальнее с каждым днем.

Выделим преимущества внешнего и внутреннего нарушителей:

  • Внешний нарушитель: его сложно детектировать и применять к нему какие-либо юридические и организационные меры наказания в случае обнаружения, однако он ограничен в выборе интерфейсов для подключения к SAP-системе.
  • Внутренний нарушитель: имеет гораздо больше возможностей для атак на SAP-систему, но и обнаружить его гораздо проще.
Читать еще:  Мандатная политика безопасности

Также существует вариант, когда внешний атакующий может получить все преимущества внутреннего пользователя, при этом находясь за тысячу километров от внутренней сети организации. Такое возможно в случае наличия в SAP-системе небезопасных Web-приложений. В данной статье мы рассмотрим, какие существуют проблемы безопасности в Web-составляющей ABAP-инстанций SAP-систем.

Компонент ICM

ICM, или Internet Communication Manager, является развитием компонента ITS и предназначен для организации доступа к SAP-системе через Интернет. Рассмотрим ряд уязвимостей ICM, которые позволяют потенциальному атакующему получить критичную информацию и доступ во внутреннюю сеть компании.

Идентификация SAP-компонентов и их версий через баннеры

В заголовках HTTP-ответов от SAP ICM содержится информация о версии компонента, например:

  • server: SAP Web Application Server (1.0;640);
  • server: SAP NetWeaver Application Server (1.0;700);
  • server: SAP NetWeaver Application Server/ABAP 701;
  • server: SAP NetWeaver Application Server 7.10/ICM 7.10.

Данная информация может помочь атакующему найти публичные уязвимости в SAP-системах либо сфокусировать атаку на конкретных компонентах определенных версий.

В качестве меры защиты необходимо отключить отображение версий в заголовках HTTP-ответов для ICM-сервера. Для этого установите значение параметра is/HTTP/show_server_header в FALSE.

Более подробную информацию можно найти в SAP Note 1329326.

Идентификация SAP-компонентов и их версий через сообщения об ошибках

Сформировав специальный запрос, содержащий, например, некорректные параметры, атакующий может получить сообщение об ошибке, которое будет содержать в себе информацию 0 компонентах SAP-системы, их версиях и другую техническую информацию о системе. Так, например, по умолчанию HTTP 404-й и 403-й ответы возвращают информацию об имени хоста, номере системы, SID. Данную информацию потенциальный атакующий может использовать так же, как и в случае с выводом версий через баннеры.

Для того чтобы отключить вывод данной информации в сообщениях об ошибках, необходимо либо индивидуально для каждого сервиса через транзакцию SICF настроить страницу с выводом ошибок, либо изменить стандартную форму для вывода ошибок в ICM, указав свою в параметре icm/HTTP/error_templ_path.

Опасные ICF-сервисы

В базовой инсталляции SAP ECC версии 6.0 более 1500 стандартных ICF-сервисов.

Каждый из этих сервисов, как правило, принимает на вход какие-либо параметры и оперирует ими, поэтому является потенциально уязвимым к различного рода атакам, которые могут скомпрометировать SAP-систему.

Рассмотрим процесс работы ICF-сервиса. Когда ICF получает запрос, дальше происходит следующее:

1. Фреймворк проверяет, приватным или публичным является данный сервис:

  • если сервис публичный, то он сразу же запустится на исполнение;
  • если нет, то сервис проверяется на хранимые в нем пользовательские данные либо клиентский сертификат в зависимости от настроек данного сервиса;
  • если их нет, то выполняется выбранный для данного сервиса механизм аутентификации.

2. После аутентификации проверяется ICF-авторизация, если она успешна, то выполняется код сервиса.

Большинство сервисов по умолчанию требуют аутентификацию, однако есть и такие, для выполнения которых не нужны пользовательские данные. Одним из примеров таких сервисов является /sap/public/info, который в результате своей работы возвращает критичную информацию о системе.

Уязвимость 1
Как уже было сказано выше, после аутентификации система проверяет, имеет ли пользователь авторизационный объект S_ICF с полем Authorization, у которого в качестве значения установлено имя сервиса, к которому осуществлялся запрос. Однако по умолчанию для всех ICF-сервисов не назначено поле Authorization, то есть авторизационная проверка не применяется. Это значит, что атакующему необходимы любые пользовательские данные для выполнения ICF-сервиса. То есть любой пользователь без каких-либо прав может получить доступ к любому сервису. Злоумышленник, к примеру, может воспользоваться учетными записями, оставленными по умолчанию, чтобы получить доступ к сервисам.

Уязвимость 2
Стандартные пароли в SAP. Многие системы поставляются с пользователями, у которых установлены пароли по умолчанию, это такие пользователи, как SAP*, DDIC, EARLYWATCH, SAPCPIC и TMSADM. Используя данный недостаток, потенциальный злоумышленник может выполнять код ICF-приложений и таким образом получать доступ к разного рода критичной информации и действиям.

Уязвимость 3
Наверняка все знакомы с таким протоколом, как RFC, который используется для вызова ABAP Function Modules на удаленных SAP-серверах. Доступ к данному протоколу у атакующего являлся бы существенной угрозой безопасности для системы, однако, как правило, RFC недоступен из сети Интернет. Но. существуют ICF-сервисы, которые могут быть использованы для выполнения RFC-вызовов. То есть, получив доступ к такому сервису, атакующий может выполнять ABAP Function Modules так, как будто он находится в локальной сети компании.

В случае если происходит вызов RFC-функций через Web-интерфейс, система не проверяет наличие у пользователя авторизации на определенную группу RFC-функций, что является первичной проверкой доступа, после которой уже проверяется наличие у пользователя авторизации на выполнение конкретной RFC-функции. Так как зачастую в некоторых функциях отсутствует проверка авторизации (что было обнаружено и нашим исследовательским отделом, и различными sap note), то без первичной проверки авторизации на группу у злоумышленника есть все шансы выполнить любой RFC-вызов удаленно.

Так, например, через SOAP-сервис /sap/bc/soap/wsdl11 атакующий может выполнить такие функциональные модули, как SXPG_COMMNAND_EXECUTE, который позволяет запустить команду ОС или функциональный модуль TH_GREP.

Данный функциональный модуль предназначен для поиска строк в файлах, расположенных в операционной системе и может быть выполнен стандартным пользователем EARLY-WATCH. Однако недавно была обнаружена уязвимость в данном модуле, позволяющая выполнять произвольные команды операционной системы. Таким образом, атакующий сможет выполнить любую команду ОС, на которой работает SAP-сервер от имени SAP-администратора ( adm) и сможет соединиться с базой данных как DBA, да и вообще полностью контролировать работу всей системы. К каким угрозам для бизнеса компании это может привести, я думаю, описывать не стоит.

В данный момент ведется исследование, направленное на анализ других функций, на предмет уязвимостей, позволяющих получить доступ к ОС или выполнить другие опасные действия, и уже обнаружено немало результатов, которые сейчас находятся в процессе закрытия компанией SAP.

Для защиты SAP-системы необходимо:

  1. Сменить стандартные пароли у пользователей.
  2. Закрыть уязвимость в TH_GREP, установив сапноты 1433101 и 1580017.
  3. Провести анализ всех ICF-сервисов и отключить те из них, которые не требуются для нормальной работы компании.
  4. Разграничить права на доступ к ICF-сервисам, предоставив их только тем пользователям, которым данный функционал необходим для работы.

Стоит отметить, что два последних этапа являются наиболее трудоемкими, так как ICF-сервисов и пользователей в системе может быть огромное количество и задача требует автоматизированного подхода, но данные меры необходимы для обеспечения безопасности SAP-системы.

SAP Basis Administrator

Solution for your sap basis activity

SAP Startup Troubleshooting Guide for Netweaver Application Server

PRELIMINARY CHECKLIST:

1.1: IS DATABASE UP AND RUNNING?

Читать еще:  Реализация политики безопасности

1.2: IS SAP STARTUP SERVICE CORRECTLY DEFINED?

UNIX:
File “/usr/sap/sapservices” must contain the correct service definitions.

WINDOWS:
I. Run “services.msc”;
II. Look for the relevant service SAP _ ;
III. Check the command line assigned to it:

1.3: [START] PROFILES:

In order to correctly start the required processes such as message server, enqueue server and the disp+work, the SAP startup agent (sapstartsrv) needs to find a correct scenario for that. This scenario consists on a list of “Start_Program_ ” commands that should be present an the “START” profile (for all kernel releases up to 740) or at the “INSTANCE” profile (kernel release 740 onwards).

*** These “start” entries are mandatory in the profile being used by sapstartsrv process.
You can use the process list on UNIX and the service definition at WINDOWS to find out what is the exactly profile currently assigned to sapstartsrv process.
Eg.
Entries needed for starting the dispatcher + work processes

  • Example of message server start entries:

  • Enqueue server related start commands:

1.4: LOGGING IN OS LEVEL DIRECTLY AS USER:

It is mandatory that SIDadm user should be able to log on at operating system level *WITHOUT ANY* other prompts such as:

  1. Company policies;
  2. User policies;
  3. Next scheduled downtimes/System news;
  4. Logging in as another user and SUdoing to SIDadm;

This can cause several problems throughout different scenarios, but mainly on upgrade procedures. Further details on SAP note 1301712.

1.5: IS SAP STARTUP AGENT (SAPSTARTSRV) RUNNING?

There must be *ONLY ONE* sapstartsrv process running for each instance. Examples for each platform below:
UNIX:
As an example, we will use a centralized system with the following 03 instances running on the same host (ASCS, PAS and DI). The following output should return for the operating system level command:
[ ps -ef | grep | grep sapstartsrv ]

  • Profile pattern names returned with the command can be such as “START_ _ ” in older releases.
    • There can be another sapstartsrv process (as below) but it will play no parts in the startup of the instance.
    • When sapstartsrv service is not running you could run manually the above command for the desired instance
      If the service doesn’t start and nothing it’s written in “sapstartsrv.log” it might happen the binaries are damaged in the local exe folder. In this case has to be replaced
  • WINDOWS:

    I. You shoud first configure task manager output so it displays the command line related to the selected process:
    Execute task manager >> Switch to tab “Processes” >> Menu “view” >> Select “columns” >> Select column ‘PID’ and ‘COMMAND LINE’;

    II. Then using task manager tab “Processes”, look for the instance sapstartsrv process with similar:

1.6: IS ANY SAP PROCESS ALREADY RUNNING?

After trying to start the instance (either through the SAP MMC, the “startsap” command or using “sapcontrol … -function Start”), no error is returned.
However, the SAP processes (Dispatcher – ABAP; jstart – Java) do not start.
No trace file is updated either.
Verify whether any process is already in “GREEN” or “YELLOW” status (e.g., the IGS).

All processes must have the “GRAY” status. Otherwise, the SAP Startup Agent (sapstartsrv) will “ignore” the start command.
Stop the instance first, so all processes are stopped. Then, start the instance again

1.7: PERMISSIONS:

I. “/TMP” DIRECTORY:

“/tmp” directory’s permissions must match the following. The final ‘t’ for “temporary” is of ultimate relevance and should not be overlooked:

II. SAPSTARTSRV.LOG:
“/usr/sap/ / /work/”
“Unable to open trace file sapstartsrv.log. (Error 13 Permission denied)”

III. SAPUXUSERCHECK FILE:

There is one SAPUXUSERCHECK file per instance (/usr/sap/ / /exe) and the permissions and ownership should look alike for all files. The following command can help tracking the files

1.8: IP / HOSTNAME RESOLUTION:

LOCALHOST:
startup commands from sapcontrol will be using “localhost” implicitly (when no “-host” option is explicitly informed) and for such the loopback IP “127.0.0.1” should be resolved for it. What is the output for “niping -v -H localhost”? The loopback IP should be the only one returned. If not, please involve your network team.

1476386 – Wrong localhost name resolution setting

HOSTNAME:
What IP is resolved for the local hostname (output of OS level command niping -v -H )? There is a known error described in SAP note #1054467 where the loopback IP 127.0.0.1 is wrongly resolved for it.

1054467 – Local host name refers to loopback address

Как повысить безопасность решений SAP

Компания SAP AG активно завоевывает рынок бизнес-решений. И защищенность ее решений — задача первой необходимости. Специалисты часто уделяют больше внимания функциональности, нежели безопасности. Программный комплекс SafeERP от «Газинформсервиса» позволяет автоматизировать процесс управления безопасностью и предоставляет полную картину о состоянии защищенности всех SAP-систем.

6 июля 1992 г. компания SAP AG официально выпустила SAP R/3 (предшественника SAP ERP) и продолжила завоевывать мир своими решениями для бизнеса, постепенно заставляя своих клиентов и партнеров-интеграторов все глубже и глубже разбираться в вопросах защиты бизнес-приложений, построенных на базе технологической платформы SAP NetWeaver Application Server (AS).

Глобальный рост решений на базе SAP NetWeaver AS, сложные и масштабные по своим размерам ландшафты SAP-систем, сотни миллионов строк кастомизируемого программного кода (ABAP/4, Java) у клиентов заставили нас пересмотреть подходы к защите этих систем.

Уже недостаточно заблокировать системные учетные записи диалоговых пользователей, создаваемых в SAP-системе по умолчанию (давайте вспомним учетную запись SAP* с паролем 06071992, напоминающим нам о старте продаж SAP R/3), безопасно настроить межсетевое взаимодействие, настроить аудит событий информационной безопасности и защитить операционную систему, просканировав свою систему сканером уязвимостей (как правило, не являющимся специализированным).

Чтобы создать защищенную SAP-систему и обеспечить ее безопасное функционирование на всех этапах жизненного цикла, необходимо решить ряд задач на всех уровнях и для всех компонентов создаваемой системы.

К таким задачам можно отнести следующие. Размещение компонентов по сегментам (зонам безопасности) в соответствии с выбранной архитектурой и существующей инфраструктурой компании. Комплексная защита пользовательских рабочих мест и серверных компонентов. Обеспечение безопасности сетевого взаимодействия, включающее защиту удаленного доступа диалоговых пользователей и межсистемного взаимодействия. Управление учетными записями пользователей и их доступом. Реализация концепции предоставления пользователям прав, минимально необходимых для работы в SAP-системе. Безопасная настройка компонентов системы, включая технологическую платформу SAP NetWeaver AS: контроль или отключение небезопасных (недоверенных) соединений, блокирование необязательного функционала, доступного по умолчанию, настройка аудита и др. Систематическое обновление (из доверенных источников) общесистемного и прикладного программного обеспечения и многие другие задачи.

И все это должно быть подвергнуто непрерывному мониторингу, систематической (и по требованию) оценке соответствия заданным требованиям безопасности, комплексному анализу защищенности, а также позволять осуществлять оперативное и объективное расследование инцидентов информационной безопасности, возникающих в системе.

Важно отметить, что все усилия по защите технологической платформы SAP NetWeaver AS, включая системно-техническую инфраструктуру, в которой она функционирует, могут быть сведены к нулю, если сама система содержит уязвимости. И тут проблемы не только в стандартном коде, поставляемом SAP AG. Внедрение SAP-систем сопровождается масштабными разработками, призванными адаптировать стандартные функциональные модули под нужды конкретного заказчика. Разработки ведутся, как правило, на проприетарном языке компании SAP AG — ABAP/4, и их качество напрямую зависит от квалификации разработчика.

Ошибки, допущенные в ходе разработки программного кода, могут создавать дополнительные каналы утечки защищаемой информации и делать SAP-систему уязвимой. Например, ABAP-программы могут запускать SAP-транзакции путем вызова команды CALL TRANSACTION, которая не выполняет проверку полномочий текущего пользователя. Отсутствие в коде программы проверки полномочий делает возможным предоставление необоснованно расширенного доступа к функционалу SAP-системы.

Таким образом, комплексный подход к вопросам защиты SAP-систем должен включать целый пакет услуг и программных средств защиты информации с учетом разделения систем на несколько уровней или блоков задач. Уровень системно-технической инфраструктуры: защита рабочих мест пользователей и сетевого (межсистемного) взаимодействия, удаленного доступа пользователей, безопасность платформ виртуализации и общесистемного ПО, резервное копирование и восстановление критически важных данных. Уровень платформы (Basis) — уровень технологической платформы SAP NetWeaver AS: управление обновлениями, безопасная настройка серверов приложений, отключение анонимных и других небезопасных сервисов, настройка аудита событий безопасности, продуманная политика управления учетными записями пользователей и их привилегиями. Прикладной уровень — уровень функциональных модулей, включающих как стандартный код SAP-систем, так и программный код, реализуемый функциональными разработчиками этих систем (ABAP), вопросы разделения полномочий бизнес-пользователей (GRC, SoD), вопросы применения криптографических методов защиты информации, в т.ч. с использованием сертифицированных средств (шифрование, электронная подпись).

Безопасность против функциональности

Еще недавно защита информации в ERP-системах сводилась к решению вопросов обеспечения информационной безопасности на системно-техническом уровне, а защита информации в самом приложении сводилась к выполнению базисных функций. Работа подразделений информационной безопасности зачастую осложнена отсутствием требуемой квалификации в вопросах защиты SAP-систем и хорошего инструмента для автоматизации функций защиты. В то же время специалисты, администрирующие технологическую платформу, вопросам сопровождения функционала системы уделяют первостепенное внимание, нередко в ущерб вопросам безопасности. По эту же «сторону баррикад» находятся функциональные разработчики.

Так как же защитить SAP-систему, если она стоит в основе автоматизации основных бизнес-процессов компании? Как упредить наступление ущерба от возможной реализации недекларируемых функций в программном коде системы или ошибок программирования? Как убедиться в том, что система не подвергнута несанкционированным воздействиям, все производимые изменения санкционированы и система штатно функционирует в защищенном исполнении?

Для повышения уровня защищенности систем и получения квалифицированного подтверждения о соответствии создаваемого программного кода заданным критериям и лучшим практикам компания «Газинформсервис» оказывает услуги по анализу кода на предмет содержащихся в нем уязвимостей и консультирует по вопросам их устранения.

Исправленный по результатам анализа программный код подлежит фиксации и контролю на неизменность. Любое внесение изменений в кастомизируемый код, также как и в настройки SAP-системы, должно быть санкционировано и подлежать постоянному контролю со стороны лиц, ответственных за вопросы информационной безопасности компании.

Для решения таких задач компанией «Газинформсервис» был разработан программный комплекс SafeERP, автоматизирующий процесс управления безопасностью в SAP-системах за счет предоставления полной картины о состоянии защищенности контролируемых им систем.

Продукт предназначен для применения в составе комплексного решения, предполагающего реализацию мер по защите SAP-систем (всего системного ландшафта) на этапах разработки и сопровождения вкупе с услугами по анализу программного кода (ABAP) на наличие в нем уязвимостей.

Основу комплекса составляют сервер управления и агенты, устанавливаемые в SAP-системы компании. Единая консоль информационной безопасности отображает настройки безопасности всех контролируемых SAP систем. Настройка работы комплекса происходит на сервере управления с использованием консоли администратора, где выбираются необходимые политики безопасности и задаются параметры сбора информации с агентов. Комплекс позволяет быстро проанализировать SAP-систему на соответствие разработанным профилям безопасности, поставить на контроль критичные ABAP-разработки и осуществлять непрерывный мониторинг штатного функционирования этих систем.

Для оценки защищенности контролируемых SAP-систем на их стороне устанавливается клиентская часть SafeERP, которая осуществляет контроль соответствия текущих настроек системы настройкам, заданным в соответствии с требованиями по безопасности. Данные требования, как правило, разрабатываются для каждого клиента отдельно с учетом индивидуальных особенностей. Настройку SafeERP упрощает наличие предустановленных шаблонов профилей безопасности, разработанных компанией «Газинформсервис» на основе полученного опыта и лучших практик по защите SAP-систем. Тратить много времени на создание нового профиля (перечня критериев оценки) для своей системы не нужно — можно воспользоваться нашими наработками.

Для контроля наиболее важных информационных ресурсов SAP-системы необходимо выявить критичные ABAP-разработки и поставить их на контроль. Процедура постановки занимает несколько минут и включает в себя вычисление контрольных сумм объектов репозиториев для последующего их надежного хранения в качестве эталонного значения. Любое внесение изменение в программный код должно сопровождаться вычислением нового значения контрольной суммы. Данный механизм позволяет контролировать изменения программного кода, произведенные как стандартным способом (с помощью транспортной системы), так и прямым изменением кода в таблицах СУБД.

Таким образом, можно быть уверенным в том, что кастомизируемое программное обеспечение легитимно и не было подвержено несанкционированному изменению в ходе эксплуатации системы.

Мониторинг штатного функционирования осуществляется посредством сбора, обработки, защищенного хранения и корреляции событий информационной безопасности, происходящих в контролируемых SafeERP системах.

SafeERP, в отличие от большинства существующих систем управления инцидентами (Security Information and Event Management, SIEM), при соответствующей настройке позволяет отслеживать доступ к информации ограниченного доступа, обрабатываемой контролируемой SAP-системой. В дополнении к этому SafeERP имеет программный интерфейс для интеграции (передачи событий) в другие SIEM-системы.

Таким образом, применение программного комплекса SafeERP, наряду с другими решениями по защите SAP-систем, позволяет всесторонне подойти к вопросу обеспечения информационной безопасности в компании и получить уверенность в том, что защищаемые активы не модифицированы, а системы функционируют в защищенном режиме.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector