E-Book, Deutsch, 622 Seiten
Reihe: SAP Press
Tiede SAP HANA – Sicherheit und Berechtigungen
2. Auflage 2025
ISBN: 978-3-367-10560-1
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
E-Book, Deutsch, 622 Seiten
Reihe: SAP Press
ISBN: 978-3-367-10560-1
Verlag: Rheinwerk
Format: EPUB
Kopierschutz: 0 - No protection
Schützen Sie Ihre SAP-HANA-Daten umfassend vor unberechtigten Zugriffen. Dieses Buch zeigt Ihnen, wie Sie für kontinuierliche Systemsicherheit sorgen, ein Rollen- und Berechtigungskonzept erarbeiten und praktisch umsetzen und wie Sie sich auf einen Audit vorbereiten. Inkl. Anleitungen für Berechtigungen in SAP HANA Cloud!
Aus dem Inhalt:
- Berechtigungen und Rollen
- Berechtigungskonzept erstellen und umsetzen
- User-Administration
- Berechtigungen optimieren und Fehler analysieren
- Verschlüsselung und Anonymisierung
- Sicherheitsrelevantes Monitoring
- Datenschutz und Auditing
- SAP HANA Cloud
- SAP HANA Extended Application Services
Thomas Tiede befasst sich seit mehr als 20 Jahren mit dem Thema IT-Sicherheit. Als Geschäftsführer der auf SAP-Sicherheit spezialisierten IBS Schreiber GmbH hat er zahlreiche Sicherheitsprüfungen durchgeführt sowie Sicherheits- und Berechtigungskonzepte implementiert. Als Dozent hält er Seminare und Vorträge zu diesen Themen, u.a. im Rahmen der Zertifizierung »Certified Auditor for SAP Applications«, die die IBS Schreiber GmbH zusammen mit dem ISACA Germany Chapter anbietet. Er leitet den Bereich Softwareentwicklung und ist maßgeblich für die GRC-Lösungen CheckAud® und Easy Content Solution (ECS) verantwortlich.
Autoren/Hrsg.
Weitere Infos & Material
Einleitung ... 21 1. Einführung in SAP HANA ... 25 1.1 ... Der technische Aufbau von SAP HANA ... 26 1.2 ... SAP HANA Cockpit ... 33 1.3 ... SAP HANA Database Explorer ... 50 1.4 ... SAP HANA Web-based Development Workbench ... 57 1.5 ... SAP HANA Studio ... 62 1.6 ... hdbsql ... 73 1.7 ... DBA Cockpit ... 77 1.8 ... SAP HANA XS Advanced ... 81 1.9 ... SAP HANA und SAP ERP bzw. SAP S/4HANA ... 86 1.10 ... Leitfäden und SAP-Hinweise zur SAP-HANA-Sicherheit ... 90 2. Netzwerk- und Betriebssystemsicherheit ... 93 2.1 ... Absicherung der Unix-Benutzer ... 93 2.2 ... Schutz von Dateien und Verzeichnissen ... 99 2.3 ... Zugriff auf die Unix-Ebene vom ABAP-Stack aus ... 103 2.4 ... Protokollierung von Aktionen unter Unix ... 108 3. Systemsicherheit in SAP HANA ... 111 3.1 ... Lizenzen verwalten ... 111 3.2 ... Systemparameter pflegen ... 116 3.3 ... Daten verschlüsseln ... 135 3.4 ... Kommunikation verschlüsseln ... 152 3.5 ... Verbindungen zu anderen Systemen -- Remote Sources ... 157 3.6 ... Skripte zur Prüfung der Systemsicherheit ... 171 3.7 ... Alerts ... 178 4. Sicherheit in Multi-Tenant-Datenbanken ... 189 4.1 ... Das Konzept der Tenant-Datenbanken ... 189 4.2 ... Tenant-übergreifende Zugriffe ... 197 4.3 ... Nicht änderbare Parameter in Tenants ... 198 4.4 ... Einschränkung von Funktionen in Tenants ... 199 4.5 ... High Isolation Level für Tenants ... 201 4.6 ... Protokollierung von Änderungen an Tenants ... 205 5. Authentifizierung in SAP HANA ... 207 5.1 ... Authentifizierungsmethoden ... 207 5.2 ... Kennwortrichtlinien ... 221 6. Benutzerverwaltung in SAP HANA ... 239 6.1 ... Der Benutzerstammsatz ... 239 6.2 ... SAP-HANA-XS-Advanced-Benutzer ... 264 6.3 ... SAP-HANA-Standardbenutzer ... 272 6.4 ... Remote-Benutzer ... 278 6.5 ... Benutzergruppen ... 282 7. Das Berechtigungskonzept von SAP HANA ... 291 7.1 ... Konzept der SAP-HANA-Berechtigungen ... 292 7.2 ... System Privileges ... 293 7.3 ... Object Privileges ... 307 7.4 ... Package Privileges ... 320 7.5 ... Analytic Privileges ... 325 7.6 ... Application Privileges ... 326 7.7 ... Berechtigungen weitergeben ... 331 7.8 ... Daten maskieren ... 333 7.9 ... Privileges on Users ... 335 7.10 ... Berechtigungen kopieren ... 335 7.11 ... Berechtigungsfehler analysieren ... 338 7.12 ... Trace von Berechtigungen ... 340 7.13 ... Berechtigungen in SAP HANA XS Advanced ... 352 7.14 ... Berechtigungsverwaltung protokollieren ... 361 8. Das Rollenkonzept von SAP HANA ... 363 8.1 ... Eigenschaften von Rollen ... 363 8.2 ... Runtime-Katalogrollen ... 368 8.3 ... Design-Time-Repository-Rollen (XSC) ... 379 8.4 ... Design-Time-HDI-Rollen (XSA) ... 394 8.5 ... SAP-HANA-Standardrollen ... 406 9. Das SAP-HANA-Berechtigungskonzept analysieren ... 411 9.1 ... Tabellen und Views zur Analyse von Berechtigungen ... 412 9.2 ... Analysen aus Benutzersicht ... 413 9.3 ... Analysen zum Rollenkonzept ... 418 9.4 ... Effektive Berechtigungen auswerten ... 421 9.5 ... Das Skript »HANA_Security_GrantedRolesAndPrivileges« ... 429 9.6 ... Praktische Beispiele für Berechtigungsanalysen ... 431 9.7 ... Automatisierte Analysen mit SAP GRC Access Control ... 439
10. Auditing in SAP HANA ... 443 10.1 ... Auditing in SAP HANA konfigurieren ... 443 10.2 ... Policies einrichten ... 453 10.3 ... Auditing auswerten ... 476 10.4 ... Auditing-Protokolle löschen ... 486 10.5 ... Auditing in SAP HANA XSA ... 487 10.6 ... SAP-Standard-Policies ... 494 10.7 ... Best-Practice-Empfehlungen ... 497
11. Sicherheit und Berechtigungen in SAP HANA Cloud ... 515 11.1 ... Aufbau von SAP HANA Cloud ... 516 11.2 ... Systemsicherheit in der SAP-HANA-Datenbank-Instanz ... 521 11.3 ... Benutzerverwaltung in SAP HANA Cloud ... 527 11.4 ... Das Berechtigungskonzept von SAP HANA Cloud ... 530 11.5 ... Auditing in SAP HANA Cloud ... 534
12. Checklisten zur Analyse der Sicherheit von SAP HANA ... 539 12.1 ... Einführung in SAP HANA ... 539 12.2 ... Netzwerk- und Betriebssystemsicherheit ... 545 12.3 ... Systemsicherheit in SAP HANA ... 550 12.4 ... Sicherheit in Multi-Tenant-Datenbanken ... 560 12.5 ... Authentifizierung in SAP HANA ... 563 12.6 ... Benutzerverwaltung in SAP HANA ... 568 12.7 ... Das Berechtigungskonzept von SAP HANA ... 574 12.8 ... Das Rollenkonzept von SAP HANA ... 582 12.9 ... Das SAP-HANA-Berechtigungskonzept analysieren ... 589 12.10 ... Auditing in SAP HANA ... 591 12.11 ... Sicherheit und Berechtigungen in SAP HANA Cloud ... 596 Anhang ... 601 A ... Sicherheitsrelevante Systemparameter ... 601 B ... Sicherheitsrelevante Views in SAP HANA ... 607 Der Autor ... 613 Index ... 615
Einleitung
Seit der Veröffentlichung der ersten Auflage meines Buchs SAP HANA – Sicherheit und Berechtigungen in 2019 hat sich im Bereich der SAP-HANA-Sicherheit einiges weiterentwickelt. Neue Versionen der SAP-HANA-Datenbank brachten zusätzliche Sicherheitsfunktionen mit sich. Durch Projekte und Schulungen konnte ich weitere Erfahrungen sammeln, die nun in diese zweite Auflage eingeflossen sind. Verschiedene Kunden haben mir einen Einblick in ihre produktiven SAP-HANA-Systeme gewährt. Für die Screenshots und für Testzwecke konnte ich SAP-HANA-Datenbanken der IBS Schreiber GmbH nutzen.
Besonders im Fokus der Überarbeitung standen aktuelle Sicherheitsanforderungen und Best Practices für den Schutz von SAP HANA in On-Premise- und Cloud-Umgebungen. Die Kapitel habe ich grundlegend aktualisiert, um die neuesten SAP-HANA-Versionen und meine Erfahrungen aus der Praxis besser abzubilden.
Wie bereits in der ersten Auflage ist die primäre Zielgruppe dieses Buchs die SAP-HANA-Administration, die für die sichere Konfiguration und den Betrieb der Datenbank verantwortlich ist. Gleichzeitig richtet es sich auch an alle, die sich mit der Sicherheit von SAP-Systemen beschäftigen oder diese prüfen. In Kapitel 12, »Checklisten zur Analyse der Sicherheit von SAP HANA«, zeige ich die praktische Prüfung von SAP HANA auf und gehe auf das jeweilige Risiko ein, das sich daraus ableitet.
Inhalt des Buchs
In Kapitel 1, »Einführung in SAP HANA«, stelle ich Ihnen den Aufbau von SAP HANA vor. Dies umfasst auch die Tools, die zur Verwaltung und Analyse von SAP HANA genutzt werden können: das SAP HANA Cockpit, den SAP HANA Database Explorer, das SAP HANA Studio, die SAP HANA Web-based Development Workbench, das Programm hdbsql und das DBA Cockpit in SAP ABAP. Des Weiteren gehe ich auf die Entwicklungsumgebung des SAP HANA XSA (SAP HANA Extended Application Services, Advanced Model) ein. Auch die Besonderheiten beim Einsatz von SAP S/4HANA oder SAP ERP zeige ich auf. Im letzten Abschnitt stelle ich Ihnen die Leitfäden zu SAP HANA vor, die Sie für weitere Informationen zu den jeweiligen SAP-HANA-Release-Ständen nutzen können.
Kapitel 2, »Netzwerk- und Betriebssystemsicherheit«, zeigt die Sicherheit der Betriebssystemebene Unix für SAP HANA auf. Da hier viele sicherheitsrelevante Daten gespeichert werden (u .a. die persistenten Daten, die Systemparameter und die Root Keys für die Verschlüsselungen), ist es in die Sicherheitsbetrachtung mit einzubeziehen. Hier erfahren Sie, wie Sie die Standardbenutzer absichern, die Dateien und Verzeichnisse schützen und wo die Log-Dateien von Unix gespeichert werden. Außerdem zeige ich Ihnen auf, wie Sie vom SAP NetWeaver aus auf die Betriebssystemebene zugreifen und diese Zugriffe absichern können.
In Kapitel 3, »Systemsicherheit in SAP HANA«, werden dann grundsätzliche Aspekte der Systemsicherheit behandelt. Dies beginnt mit der Lizenzierung von SAP HANA und der Verwaltung der Systemparameter. Ein wesentlicher Sicherheitsaspekt ist natürlich die Verschlüsselung der Daten und der Kommunikation, auf die ich hier eingehe. Dazu gehören auch die Schnittstellen, die Remote Sources, und deren Absicherung. Für die Prüfung der Sicherheitseinstellungen stellt SAP zwei Skripte zur Verfügung, auf die ich hier eingehe. Im letzten Abschnitt stelle ich Ihnen vor, wie Sie mit Alerts in SAP HANA umgehen und welche sicherheitsrelevanten Alerts existieren.
SAP-HANA-Datenbanken sind Multi-Tenant-Datenbanken. Auf deren Sicherheitsaspekte gehe ich in Kapitel 4, »Sicherheit in Multi-Tenant-Datenbanken«, ein. Hier erfahren Sie, wie Sie tenant-übergreifende Zugriffe einrichten bzw. absichern können. Um die tenant-spezifischen Daten auf der Betriebssystemebene abzusichern, kann das Isolation Level »high« eingerichtet werden. Wie dies installiert wird, zeige ich hier ebenfalls auf.
Die Absicherung des Anmeldevorgangs stellt eines der wesentlichen Elemente für die Sicherheit eines jeden IT-Systems dar. In SAP HANA können Sie verschiedene Authentifizierungsmethoden nutzen, die ich Ihnen in Kapitel 5, »Authentifizierung in SAP HANA«, vorstelle. Des Weiteren können Kennwortrichtlinien eingerichtet werden, sowohl tenant-weit gültig als auch benutzergruppenspezifisch.
Ein zentrales Thema der SAP-Sicherheit ist die Benutzerverwaltung, die in Kapitel 6, »Benutzerverwaltung in SAP HANA«, behandelt wird. Dort gehe ich in den ersten Abschnitten auf die Benutzerstammsätze in SAP HANA und SAP HANA XSA ein. Ein weiterer Schwerpunkt liegt auf der Absicherung der Standardbenutzer. Außerdem erfahren Sie hier, wie Sie Remote-Benutzer für tenant-übergreifende Zugriffe nutzen und absichern können. Im letzten Abschnitt gehe ich auf die Nutzung der Benutzergruppen ein.
Die Beschreibung und Analyse des SAP-HANA-Berechtigungskonzepts habe ich aufgrund der Komplexität auf drei Kapitel aufgeteilt. In Kapitel 7, »Das Berechtigungskonzept von SAP HANA«, beschreibe ich das Konzept der SAP-HANA-Berechtigungen und stelle die verschiedenen Privileges vor. Auch auf die Funktionalitäten der Weitergabe von Berechtigungen, der Maskierung von Daten und der Möglichkeiten (und Einschränkungen) des Kopierens von Berechtigungen gehe ich ein. Weitere sehr wesentliche Funktionen sind die Analyse von Berechtigungsfehlern und der Berechtigungs-Trace, der in SAP HANA natürlich auch verfügbar ist. Ein weiterer Schwerpunkt liegt auf den Berechtigungen in SAP HANA XSA. Im letzten Abschnitt erläutere ich die Protokollierung der Berechtigungsverwaltung.
Im ersten Abschnitt von Kapitel 8, »Das Rollenkonzept von SAP HANA«, finden Sie u. a. einen Vorschlag für eine Namenskonvention der Rollen. In den weiteren Abschnitten stelle ich Ihnen die drei verschiedenen Arten von Rollen vor, die Runtime-Katalogrollen, die Design-Time-Repository-Rollen (XSC) und die Design-Time-HANA-DI-Rollen (XSA). Der letzte Abschnitt beschreibt einige SAP-HANA-Standardrollen sowie die Protokollierung der Zuordnung dieser Rollen.
In Kapitel 9, »Das SAP-HANA-Berechtigungskonzept analysieren«, beschreibe ich, wie SAP-HANA-Berechtigungen analysiert werden können. Dies ist mit verschiedenen Views oder auch mit einem Skript möglich. Danach liste ich wesentliche Fragestellungen für Berechtigungsanalysen auf. Im letzten Abschnitt zeige ich Ihnen, wie SAP-HANA-Berechtigungen mit SAP Access Control analysiert werden können.
Im Gegensatz zu SAP ERP bzw. SAP S/4HANA, wo wesentliche Protokollierungen bereits fest implementiert sind, muss in SAP HANA die Protokollierung system- und unternehmensspezifisch grundlegend konfiguriert werden. Dies beschreibe ich in Kapitel 10, »Auditing in SAP HANA«. Die ersten Abschnitte erläutern die Konfiguration und die Auswertungsmöglichkeiten des SAP-HANA-Auditings. Beim Einsatz von SAP HANA XSA kommen teilweise andere Protokolle zum Einsatz, worauf ich ebenfalls eingehe. In den letzten beiden Abschnitt gehe ich auf die SAP-Standard Policies ein, und Sie erhalten Best-Practice-Empfehlungen zur Einrichtung der Protokollierung in SAP HANA.
Die SAP HANA Cloud ist eine cloudbasierte Lösung, die auf der SAP Business Technology Platform (SAP BTP) bereitgestellt wird. Die Sicherheitskonfiguration und die Berechtigungen entsprechen im Wesentlichen denen der On-Premise-SAP-HANA-Datenbank. Einige Unterschiede gibt es allerdings. Auf diese gehe ich in Kapitel 11, »Sicherheit und Berechtigungen in SAP HANA Cloud« ein. Ich zeige Ihnen auf, welche Unterschiede es in der Systemsicherheit, der Benutzerverwaltung, dem Berechtigungskonzept und dem Auditing gibt. Kapitel 12 ist eine umfassende Checkliste für die Analyse der Sicherheit von SAP HANA. Zu jedem Punkt sind die Risiken sowie die praktische Vorgehensweise zur Analyse beschrieben. Dies erlaubt es auch Personen, die nicht täglich mit SAP HANA arbeiten, die jeweiligen Analyseschritte sofort auszuführen und die Ergebnisse zu interpretieren.
Danksagung
Ich bedanke mich bei allen, die mir im Umfeld der Fertigstellung dieses Buchs geholfen haben:
-
beim Rheinwerk Verlag, der mir die Möglichkeit für eine zweite Auflage dieses Buchs gegeben hat
-
bei Eva Wigger für das geduldige und sehr gute Lektorat
-
bei der IBS Schreiber GmbH für die Nutzung der SAP-HANA-Systeme für Recherchen und Screenshots
-
bei allen Kunden, deren Systeme ich im Rahmen der Recherchen für dieses Buch analysieren durfte
-
bei meiner Frau Kristin für ihr Verständnis und ihre Geduld, insbesondere, da ich an zwei Buchprojekten parallel gearbeitet habe. Während dieser intensiven Schreibphase sind viele gemeinsame Aktivitäten ausgefallen, und sie hat sich zusätzlich intensiv um unseren Hund Thorin gekümmert, der in dieser Zeit zu uns kam. Dafür bin ich ihr sehr dankbar.
...
