SAP HANA DB Sicherheit

3

Wie in anderen Bereichen der SAP Welt, wird auch im Feld SAP HANA DB Sicherheit groß geschrieben. Rollen und Berechtigungen spielen dabei eine zentrale Rolle. Die SAP HANA DB (High Performance Analytic Appliance) ist eine Datenbank, die über die In-Memory-Technologie verfügt und dadurch für das Big Data Umfeld geeignet ist. Es werden sämtliche Daten im Arbeitsspeicher vorgehalten, was die Datenbank dazu befähigt, Analysen und Berechnungen in Echtzeit zu machen.

Die SAP HANA DB Sicherheit

Mit SAP HANA DB Sicherheit werden wichtige Daten vor unbefugtem Zugriff geschützt und sichergestellt, dass die Standards und Compliance als vom Unternehmen angenommener Sicherheitsstandard eingehalten werden. Zudem bietet SAP HANA eine Einrichtung, eine Multitenant-Datenbank, in der mehrere Datenbanken auf einem einzelnen SAP HANA System erstellt werden können. Diese wird als Datenbankcontainer mit mehreren Mandanten bezeichnet. Daher bietet SAP HANA sicherheitsrelevante Funktionen für alle Datenbankcontainer mit mehreren Mandanten.

Zu den sicherheitsrelevanten Funktionen gehören:

  • Benutzer- und Rollenverwaltung
  • Genehmigung
  • Authentifizierung
  • Verschlüsselung von Daten in der Persistenzschicht
  • Verschlüsselung von Daten in der Netzwerkschicht

Die SAP HANA DB kann ausschließlich auf bestimmten Unix-Derivaten installiert werden. Der SSFS (Secure Store in the File System) wird im Dateisystem  abgelegt, in dem z.B. die root keys für die Verschlüsselungen gespeichert werden. Die persistenten Daten werden im Dateisystem gespeichert. Außerdem speichert HANA in regelmäßigen Abständen (Savepoints) Abbilder der Datenbank auf der Festplatte des HANA-Servers (persistenter Speicher), um eine Wiederherstellung zu ermöglichen. Normalerweise werden die persistenten Daten unverschlüsselt auf die Festplatte geschrieben. Diese Verschlüsselung muss explizit aktiviert werden. In der Standardinstallation erfolgt auch die Kommunikation unverschlüsselt. Um die interne und externe Kommunikation zu verschlüsseln, kann das Transport-Layer-Security-(TLS-)/Secure-Sockets-Layer-(SSL-)Protokoll genutzt werden. Standardmäßig werden auch unverschlüsselte Verbindungen werden akzeptiert. Dazu ist die Konfiguration der sicherheitsrelevanten Systemparameter für die Systemsicherheit substanziell. Zudem werden diese auch in Textdateien im Unix gespeichert. Sie steuern Komponenten wie die Authentifizierung, die Verschlüsselung und die Protokollierung.

Kostenloses E-Book
Unser E-Book zum Thema SAP Security & Berechtigungen

Benutzer und Rollen

Im Bezug auf die Benutzer- und Rollenverwaltung im SAP HANA gibt es zwei verschiedene Architekturen:

Die dreistufige Architektur

SAP HANA kann als relationale Datenbank in einer 3-Tier-Architektur verwendet werden. In dieser Architektur werden Sicherheitsfunktionen (Autorisierung, Authentifizierung, Verschlüsselung und Überwachung) auf Anwendungsserverebenen installiert. Die SAP Anwendung (ERP, BW, usw.) stellt nur mithilfe eines technischen Benutzer- oder Datenbankadministrators eine Verbindung zur Datenbank her. Der Endbenutzer kann nicht direkt auf die Datenbank oder den Datenbankserver zugreifen.

Die zweistufige Architektur

Die erweiterten Anwendungsservices von SAP HANA (SAP HANA XS) basieren auf der 2-Tier-Architektur, in der Anwendungsserver, Webserver und Entwicklungsumgebung in ein einziges System eingebettet sind.

Authentifizierung

Sicherheit mit der SAP HANA DB wird u.a. mit verschiedene Authentifizierungsmethoden sichergestellt. Dazu zählen:

  • Kerberos:Kerberos kann entweder direkt vom JDBC- und ODBC-Client (SAP HANA Studio) oder wenn HTTP für den Zugriff auf SAP HANA XS verwendet wird, angewendet werden.
  • Benutzername und Passwort: Wenn der Benutzer den Benutzernamen und das Kennwort der Datenbank eingibt, authentifiziert die SAP-HANA-Datenbank den Benutzer.
  • Security Assertion Markup Language (SAML): Mit SAML kann der SAP HANA Benutzer authentifiziert werden, der direkt über ODBC / JDBC auf die SAP-HANA-Datenbank zugreift. Hierbei handelt es sich um einen Vorgang, bei dem die externe Benutzeridentität dem internen Datenbankbenutzer zugeordnet wird, sodass sich der Benutzer mit der externen Benutzer-ID in der SAP-Datenbank anmelden kann.
  • SAP-Anmelde- und Assertions-Tickets: Der Benutzer kann durch Anmelde- oder Assertion-Tickets authentifiziert werden, die für das Erstellen eines Tickets konfiguriert und an den Benutzer ausgegeben werden.
  • X.509-Client-Zertifikate: Bei SAP HANA XS Access by HTTP können von einer vertrauenswürdigen Zertifizierungsstelle (CA) signierte Clientzertifikate zur Authentifizierung des Benutzers verwendet werden.

Autorisierung und Berechtigungen

Die SAP-HANA-Autorisierung ist erforderlich, wenn ein Benutzer die Client-Schnittstelle (JDBC, ODBC oder HTTP) verwendet, um auf die SAP-HANA-Datenbank zuzugreifen. Abhängig von der Berechtigung, die dem Benutzer zur Verfügung gestellt wird, kann er Datenbankoperationen für das Datenbankobjekt ausführen. Diese Berechtigung wird “Privilegien” genannt. Die Berechtigungen können dem Benutzer direkt oder indirekt (über Rollen) erteilt werden. Alle den Benutzern zugewiesenen Berechtigungen werden zu einer Einheit zusammengefasst. Wenn ein Benutzer versucht, auf ein SAP-HANA-Datenbankobjekt zuzugreifen, führt das SAP HANA System eine Berechtigungsprüfung für den Benutzer über Benutzerrollen durch und erteilt die Berechtigungen direkt. Wird die angeforderte Berechtigungen gefunden, überspringt das SAP HANA System weitere Prüfungen und gewährt Zugriff auf Anforderungsdatenbankobjekte.

Typen von Berechtigungen

Systemprivilegien

Die Systemprivilegien steuern die normale Systemaktivität und ihr Einsatz ist charakteristisch für:

  • das Anlegen und Löschen von Schema in SAP HANA DB
  • die Verwaltung von Benutzer und Rolle in der SAP HANA DB
  • SAP HANA Datenbank überwachen und nachverfolgen
  • Durchführung von Datensicherheit
  • Lizenzverwaltung
  • Versionsverwaltung
  • Auditverwaltung
  • Import und Export von Inhalten
  • Pflege von Liefereinheiten

Objektprivilegien

Mit Objektberechtigungen, die SQL Berechtigungen sind, werden Berechtigungen zum Lesen und Ändern von Datenobjekten erteilt. Um auf Datenbankobjekte zugreifen zu können, benötigt der Benutzer Objektberechtigungen für Datenbankobjekte oder für das Schema, in dem sich das Datenbankobjekt befindet. Objektprivilegien können Katalogobjekten (Tabellen, Ansichten, usw.) oder Nichtkatalogobjekten (Entwicklungsobjekten) gewährt werden.

Analytische Berechtigungen

Analyseberechtigungen werden verwendet, um den Lesezugriff auf Daten des SAP HANA Informationsmodells (Attributansicht, Analyseansicht, Berechnungsansicht) zu ermöglichen.

  • Dieses Privileg wird während der Abfrageverarbeitung ausgewertet.
  • Analytic Privileges gewährt unterschiedlichen Benutzern Zugriff auf verschiedene Datenbereiche in die gleiche Informationssicht basierend auf der Benutzerrolle.
  • Analyseberechtigungen werden in der SAP HANA Datenbank verwendet, um Daten auf Zeilenebene bereitzustellen.

Die Steuerung zum Anzeigen der Daten für den einzelnen Benutzer erfolgt in derselben Ansicht.

Paketprivilegien

Paketprivilegien werden verwendet, um die Berechtigung für Aktionen für einzelne Pakete im SAP HANA Repository bereitzustellen.

Anwendungsprivilegien

Für die Zugriffsanwendung sind in SAP HANA Extended Application Services (SAP HANA XS) Anwendungsprivilegien erforderlich.

Anwendungsprivilegien werden über die Prozeduren GRANT_APPLICATION_PRIVILEGE und REVOKE_APPLICATION_PRIVILEGE im Schema _SYS_REPO vergeben und entzogen.

Privilegien für den Benutzer

Es handelt sich dabei um eine SQL-Berechtigung, die der Benutzer auf eigenen Benutzer vergeben kann. Dabei ist ATTACH DEBUGGER ist das einzige Privileg, das einem Benutzer erteilt werden kann.

Workshop: SAP HANA Roadmap - Ihr Schritt zur Digitalisierung

Wir helfen Ihnen bei der Einführung, Ihrer SAP HANA Roadmap. Von der ersten Analyse bis zur Migration. Jetzt Infos holen!

SAP HANA-Benutzerverwaltung und Rollenverwaltung

Für den Zugriff auf und die Sicherheit mit der SAP HANA DB werden Benutzer benötigt. Abhängig von der unterschiedlichen Sicherheitsrichtlinie gibt es in SAP HANA zwei Arten von Benutzern:

Technischer Benutzer (DBA-Benutzer): Es handelt sich um einen Benutzer, der direkt mit der SAP HANA DB mit den erforderlichen Berechtigungen arbeitet. Normalerweise werden diese Benutzer nicht aus der Datenbank gelöscht. Diese Benutzer werden für eine administrative Aufgabe wie das Erstellen eines Objekts und die Vergabe von Privilegien für das Datenbankobjekt oder die Anwendung angelegt. Das SAP HANA Datenbanksystem stellt standardmäßig folgende Benutzer als Standardbenutzer zur Verfügung:

  • SYSTEM
  • SYS
  • _SYS_REPO

Datenbank oder realer Benutzer: Jeder Benutzer, der an einer SAP HANA Datenbank arbeiten möchte, benötigt einen Datenbankbenutzer. Datenbankbenutzer sind echte Personen, die an SAP HANA arbeiten.Es gibt zwei Arten von Datenbankbenutzern:

Standardbenutzer: Dieser Benutzer kann Objekte in einem eigenen Schema anlegen und Daten in Systemsichten lesen. Standardbenutzer, der mit der Anweisung “CREATE USER” angelegt wurde.

Eingeschränkter Benutzer: Der eingeschränkter Benutzer hat keinen vollständigen SQL-Zugriff über eine SQL-Konsole und wurde mit der Anweisung “CREATE RESTRICTED USER” erstellt. Wenn Privilegien für die Nutzung einer Anwendung erforderlich sind, werden sie über die Rolle bereitgestellt. Eingeschränkter Benutzer kann keine Datenbankobjekte erstellen. Dieser Benutzer kann keine Daten in der Datenbank anzeigen lassen,
sich mit der Datenbank nur über HTTP verbinden und der ODBC/JDBC-Zugriff für die Client-Verbindung muss in diesem Fall mit der SQL-Anweisung aktiviert werden.

Der SAP HANA User Administrator hat Zugriff auf folgende Aktivitäten:

  • Benutzer anlegen/löschen.
  • Rolle definieren und anlegen.
  • Gewährt dem Benutzer eine Rolle.
  • Benutzerpasswort zurücksetzen.
  • Benutzer je nach Bedarf reaktivieren/deaktivieren.
Kostenloses E-Book
Unser E-Book zum Thema SAP Security & Berechtigungen

SAP HANA Netzwerk- und Kommunikationssicherheit

In der SAP-HANA-Landschaft sind für die Sicherung der Netzwerkkommunikation verschiedene Mechanismen möglich. Außerdem unterstützt SAP HANA die verschlüsselte Kommunikation für Netzwerkkommunikationskanäle. Es ist empfehlenswert, verschlüsselte Kanäle in allen Fällen zu verwenden, in denen das Netzwerk nicht durch andere Sicherheitsmaßnahmen gegen Angriffe geschützt ist, wenn auf Ihr Netzwerk von öffentlichen Netzwerken aus zugegriffen wird. Alternativ können auch VPN-Tunnel (Virtual Private Network) verwendet werden, um verschlüsselte Informationen zu übertragen. SAP HANA unterstützt die verschlüsselte Kommunikation für die Client-Server-Kommunikation (extern) und die interne Kommunikation.

Um SAP HANA sicher in die Netzwerkumgebung zu integrieren, gelten mehrere allgemeine Empfehlungen. Über verschiedene Netzwerkkommunikationskanäle kommunizieren die Komponenten einer SAP-HANA-Landschaft miteinander. Es ist empfehlenswert, eine gut definierte Netzwerktopologie zu besitzen, damit man den Netzwerkzugriff auf SAP HANA nur auf die für das Szenario erforderlichen Kommunikationskanäle steuern und beschränken kann. Falls es notwendig ist, kann man so auch geeignete zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung anwenden. Durch verschiedene Mittel wie separate Netzwerkzonen und Netzwerkfirewalls sowie durch die von SAP HANA bereitgestellten Konfigurationsoptionen (z. B. Verschlüsselung) kann dies erreicht werden.

Artikel, die Ihnen auch gefallen könnten:


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support