Sécurité SAP - Communication réseau

Secure Network Communication (SNC)peut également être utilisé pour se connecter à un serveur d'applications à l'aide d'une méthode d'authentification sécurisée. Vous pouvez utiliser SNC pour l'authentification des utilisateurs via SAP GUI pour Windows ou en utilisant une connexion RFC.

Le SNC utilise un produit de sécurité externe pour effectuer l'authentification entre les partenaires de communication. Vous pouvez utiliser des mesures de sécurité telles que l'infrastructure à clé publique PKI et des procédures pour générer et distribuer des paires de clés.

Vous devez définir la topologie du réseau qui peut éliminer les menaces et empêcher les attaques réseau. Lorsque les utilisateurs ne peuvent pas se connecter à l'application ou à la couche de base de données, les attaquants ne peuvent pas accéder au système SAP ou au système de base de données pour accéder aux informations critiques.

Une topologie de réseau bien définie ne permet pas aux intrus de se connecter au LAN de l'entreprise et donc aucun accès aux trous de boucle de sécurité sur les services réseau ou sur le système SAP.

Topologie de réseau dans un système SAP

L'architecture de votre réseau physique dépend entièrement de la taille de votre système SAP. Un système SAP est généralement mis en œuvre avec une architecture client-serveur et chaque système est généralement divisé en trois couches:

  • Couche de base de données
  • Couche d'application
  • Couche de présentation

Lorsque votre système SAP est petit, il se peut qu'il ne dispose pas d'une application et d'un serveur de base de données distincts. Cependant, dans un grand système, de nombreux serveurs d'applications communiquent avec un serveur de base de données et plusieurs interfaces. Cela définit la topologie de réseau d'un système de simple à complexe et vous devez envisager différents scénarios lors de l'organisation de votre topologie de réseau.

Dans une organisation à grande échelle, il est recommandé d'installer votre application et votre serveur de base de données sur des machines différentes et de les placer dans un réseau local distinct du système frontal.

Dans l'image suivante, vous pouvez voir la topologie réseau préférée d'un système SAP -

Lorsque vous placez votre base de données et votre serveur d'applications dans un VLAN distinct du VLAN frontal, cela vous permet d'améliorer le système de contrôle d'accès et donc d'augmenter la sécurité de votre système SAP. Les systèmes frontaux sont dans des VLAN différents, il n'est donc pas facile d'accéder au serveur VLAN et donc de contourner la sécurité de votre système SAP.

Services réseau SAP

Dans votre système SAP, divers services sont activés, mais seuls quelques-uns sont nécessaires pour exécuter le système SAP. Dans un système SAP, leLandscape, Database et Application Serverssont la cible la plus courante des attaques réseau. De nombreux services réseau en cours d'exécution dans votre paysage permettent l'accès à ces serveurs et ces services doivent être soigneusement surveillés.

Sur vos machines Windows / UNIX, ces services sont maintenus dans /etc/services. Vous pouvez ouvrir ce fichier sur la machine Windows en accédant au chemin suivant -

system32/drivers/etc/services

Vous pouvez ouvrir ce fichier dans un bloc-notes et consulter tous les services activés sur votre serveur -

Il est recommandé de désactiver tous les services non requis sur les serveurs de paysage. Parfois, ces services contiennent quelques erreurs qui peuvent être utilisées par des intrus pour obtenir un accès non autorisé. Lorsque vous désactivez ces services, vous réduisez les risques d'attaque sur votre réseau.

Pour un niveau de sécurité élevé, il est également recommandé d'utiliser des fichiers de mots de passe statiques dans votre environnement SAP.

Clés privées

SNC utilise un produit de sécurité externe pour effectuer l'authentification entre les partenaires de communication. Vous pouvez utiliser des mesures de sécurité commePublic Key Infrastructure (PKI) et d'autres procédures pour générer et distribuer des paires de clés et pour garantir que les clés privées des utilisateurs sont correctement sécurisées.

Il existe différentes manières de sécuriser les clés privées pour une autorisation réseau -

  • Solution matérielle
  • Solution logicielle

Parlons-en maintenant en détail.

Solution matérielle

Vous pouvez protéger les clés privées des utilisateurs à l'aide d'une solution matérielle dans laquelle vous émettez une carte à puce à des utilisateurs individuels. Toutes les clés sont stockées dans une carte à puce et l'utilisateur doit s'authentifier sur ses cartes à puce via la biométrie en utilisant des empreintes digitales ou en utilisant un mot de passe PIN.

Ces cartes à puce doivent être protégées contre le vol ou la perte par chaque utilisateur individuel et les utilisateurs peuvent utiliser la carte pour crypter les documents.

Les utilisateurs ne sont pas autorisés à partager les cartes à puce ou à les donner à d'autres utilisateurs.

Solution logicielle

Il est également possible d'utiliser une solution logicielle pour stocker des clés privées pour des utilisateurs individuels. La solution logicielle est une solution moins coûteuse que la solution matérielle, mais elle est également moins sécurisée.

Lorsque les utilisateurs stockent des clés privées dans des fichiers et des détails utilisateur, il est nécessaire de sécuriser ces fichiers pour un accès non autorisé.