Upload
ngothuan
View
223
Download
1
Embed Size (px)
Citation preview
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 1
Infoday for Public Sector
Přehled řešení SAP pro oblast bezpečnosti
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 2
IT Aplikační bezpečnost
Řešení SAP pro zabezpečení aplikací
Řízení přístupů a identity (IAM)
Správa identit, oprávnění,
rolí a administrace
Zabezpečené používání
SAP a eliminace rizik
plynoucích z konfliktních
oprávnění
Autentizace a
Single Sign-On
SAP Identity
Management
SAP GRC
Access
Control
SAP
Single
Sign-On
SAP
Cloud
Identity
(HCP)
SAP NW AS
add-on for
code
vulnerability
analysis
Útoky a hrozbyZabezpečení
kódu
SAP Enterprise
Threat Detection
SAP Read
Access
Logging
Logování
Hledání
bezp. děr v
ABAP kódu
Detekce
kybernetických
útoků
Monitorování
systémů SAP,
non-SAP,
infrastrukturních
komponent
Kdo, kdy,
jaká data,
jakou
transakcí
nebo uživat.
rozhraním
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 3
Agenda
Řízení přístupů a identit
• Identity Management
• Single Sign On
• Access Control
Prevence a detekce útoků
• Read Access Logging
• SAP NW code vulnerability analysis
• Enterprise Threat Detection
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 4
© SAP AG
Požadavky na
auditovatelnost
Zvyšování
operativních
nákladů
Proč potřebujete Identity Management
Obhospodařování mnoha zdrojů dat o identitách.
Manuální administrace uživatelů administrátory zdržuje
nástupy/výpovědi pracovníků i jejich přeřazování.
Schvalování přístupů přes pracné postupy založené na
papírových formulářích.
Závislost uživatelů na odezvách helpdesků.
Měnící se
firemní
procesy
Procesy fungující přes více organizací s aktivní participací
partnerských organizací.
Specifické požadavky na správu identit pro různá odvětví
Nekonsistentní a neřízené rozrůstání procesů.
Žádný záznam o tom, kdo a kdy přistupoval ke konkrétnímu IT
zdroji
Nemožnost zrušit oprávnění v okamžiku výpovědi.
Poskytnout auditorovi kompletní auditní stopu
Zabránit neautorizovaným přístupům v prostředí sdíleném více
organizacemi.
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 5
Identity Lifecycle
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 6
SAP NetWeaver Identity Management
Holistic Approach
e.g. on-boarding
SAP NetWeaver
Identity Management
Password management
Provisioning to SAP and non-SAP systemsReporting
Rule-based assignment of business roles
Identity virtualization and identity as service Approval
workflows
Central Identity StoreSAP
BusinessObjects
Access Control
(GRC)
Compliance checks through GRC
SAP Business Suite Integration
© SAP AG
Web-basedSingle Sign-On & Identity Federation
© 2014 SAP SE or an SAP affiliate company. All rights reserved. 7 7© 2014 SAP SE or an SAP affiliate company. All rights reserved.
© SAP AG
Role Definition and Provisioning
Role Definition (design, one-time task)
Read system access information (roles,
groups, authorizations, etc.) from target
systems
Define a business role hierarchy
Assign technical roles to business roles
Develop rules for role assignments
Provisioning (regularly)
Assign or remove roles to/from people
Through request/approval workflow
Manually (administrator)
Automatically, e.g. HR-driven
Automatic adjustment of master data and
assignments of technical authorizations in
target systems
End user(Portal role)
Accounting(ABAP role)
HR manager(ABAP role)
SAP HRActive
Directory SAP FI
System
SAP
Portal
E-mailAD
user
Business Roles
Technical Roles
Manager
Employee
Accounting
© 2012 SAP AG. All rights reserved. 8
Compliant, Business-Driven
Identity Management
HCM SAP NetWeaver
Identity Management
SAP BusinessObjects
Access Control
Line Manager Landscape
Yes
No
Calculate entitlements
based on positionCompliance check
Remediation
Approve
assignments
New Hire
Reduce TCO by simplifying assignment of roles
and privileges to users, triggered by HCM events
Reduce risk through compliance checks and
remediation
Automate manual processes through integration
with SAP Business Suite
Create user
Assign roles
Create User
Assign roles
Requirement:
Provide automated, position-based role
management while ensuring compliance
Create User
Assign privileges
© SAP AG
© 2012 SAP AG. All rights reserved. 9
Reporting with Lumira
Customer-specific
reposts/analyses for
identity management
Rich graphical capabilities for
visualizing and utilizing
reported data
Low integration
and maintenance
efforts
Easy extension
© 2012 SAP AG. All rights reserved. 10
© SAP AG
SAP NetWeaver Identity Management Connectivity –
Overview
Directory
Servers
Applications SAP Business Suite
SAP BusinessObjects
Access Control (GRC)
Lotus Domino / Notes
Microsoft Exchange
RSA ClearTrust
RSA SecurID
Other SAP Application Server
Microsoft Windows NT
Unix/Linux
Shell execute
Custom Java connector API
Script-based connector API
Databases Microsoft SQL Server
Microsoft Access
Oracle database
IBM UDB (DB2)
MySQL
Sybase
SAP HANA
Technical SPML (Services Provisioning
Markup Language)
LDAP
ODBC / JDBC / OLE-DB
RFC
LDIF files
XML files
CSV files
Directory Servers
Microsoft Active Directory
IBM Tivoli Directory
Novell eDirectory
SunONE Java Directory
Oracle Internet Directory
Microsoft Active Directory Application
Mode (ADAM)
Siemens DirX
OpenLDAP
eB2Bcom View500 Directory Server
CA eTrust Directory
SAP NetWeaver IDM Virtual
Directory Server
Any LDAP v3 compliant directory server
SAP Single Sign-on
© 2012 SAP AG. All rights reserved. 12
SAP Single Sign-On – o čem to je?
Jediná autentizace a následný přístup k SAP i non-
SAP aplikacím se zachováním bezpečného a
uživatelsky přátelského prostředí.
Dodržení firemních i legislativních požadavků.
Vylepšení bezpečnostních standardů a tím zvýšení
ochrany organizace.
© 2012 SAP AG. All rights reserved. 13
SAP Single Sign-On – Product Description
SAP Single Sign-On provides a simple and secure access to IT applications for
business users, encrypts company
data and provides optionally advanced security to protect important business
applications.
Simple and secure access
Web and mobile single sign-on
Single sign-on for native SAP clients
Supports on-cloud and on-premise landscapes
Secure data communication
Encryption of data communication for SAP GUI
Digital signatures
FIPS certification of security functions
Advanced security capabilities
2-factor authentication
Risk based authentication using access policies
RFID based authentication
Hardware security module support
© 2012 SAP AG. All rights reserved. 14
Two-Factor Authentication with SAP Authenticator
Authentication with One-Time Passwords
Recommended for increased security scenarios
Authentication requires two means of
identificationKnowledge of regular password
Possession of mobile device that generates the
one-time password
Based on SAP Authenticator Mobile AppOne-time password generated by app
Available for iOS and Android
RFC 6238 compatible
Usage ScenariosAvailable as additional protection level for single
sign-on scenarios
based on X.509 certificates and SAML
Integrated with Secure Login Server and Identity
Provider
SAP GRC Access Control
© 2012 SAP AG. All rights reserved. 16
Přístup do systémuNejčastější problém je kvalitní oddělení pravomocí
Tvorba
dodavatele
Platba
dodavateli
V průměrně velkém systému ERP je mezi 50,000 a 100,000 kombinací
autorizací, které vedou k potenciálnímu problému konfliktu pravomocí.
Tvorba
dodavatele
Platba
dodavateli
© 2012 SAP AG. All rights reserved. 17
Monitoring a práva
Přístupová práva nouzového přístupu
Certifikace přístupů
Správa podnikových rolí
Zabránění vzniku konfliktů
Nepřetržité řízení
přístupových práv
Pro SAP i non-SAP systémy
Identifikace rizik a nápravnáopatření
Odstranění konfliktů
Kompenzační kontroly
SAP GRC Access ControlŘízení přístupových oprávnění v souladu s SoD
SAP_ALL
X
Legacy
© 2012 SAP AG. All rights reserved. 18
SAP GRC Access ControlZabezpečené používání SAP a eliminace rizik plynoucích z konfliktních oprávnění
Celopodniková knihovna vzorových pravidel pro oddělení pravomocí
Bezchybné přidělení
přístupových práv
Prevence narušení
SoD v reálném čase
Správa přístupových
práv superuživatelů
Řešení zásadního
problému auditu –
Dočasné přístupy
Periodická kontrola a
audit přístupů
Řešení problémů v
rámci opakovaných
auditů
(Ucelený přehled)(Zabránění vzniku neshod)
Analýza rizik, nápravné a preventivní služby
Správa podnikových
rolí
Dosažení SoD již při
zavádění řešení.
Identifikace rizik a
nápravná opatření
Rychlé, efektivní a
komplexní řešení
iniciální nedostatků
(Odstranění neshod)
Minimální čas
k dosažení shody
Nepřetržité řízení
přístupových práv
Efektivní řízení
dohledu a auditu
* SoD – Segregation of Duties
SAP NW Read Access
Logging
© 2012 SAP AG. All rights reserved. 20
Požadavky zákazníků na přístup k datům
Soulad s legislativou ochrany citlivých údajů
Soulad s odvětvovými standardy (např. Zákon o ochraně osobních údajů)
Monitoruje přístup do specificky klasifikovaných, nebo citlivých dat (např. platy)
Monitoruje pouze ty akce uživatele, které je nutno monitorovat. Citlivé údaje
neloguje, nebo je následně odmazává.
SAP poskytuje řešení, které umožňuje logovat přístup (čtení) k citlivým datům:
Read Access Logging
© 2012 SAP AG. All rights reserved. 21
Features
Read access logging (RAL) umožňuje sledovat přístup k datům:
Kdo nahlížel na data
Na která data nahlížel
Kdy bylo přistupováno k datům
Jakým způsobem bylo k datům přistupováno (transakce nebo uživatelský
intreface)
Detail logování je nastavitelný a záleží na:
Uživatelském interface použitém k přístupu k datům
Operace provedená na vzdáleném API
Uživatel užívající zdálené API / uživatelský interface
Konkrétní vstupy a jejich obsah
© 2012 SAP AG. All rights reserved. 22
The Way it Works
© 2012 SAP AG. All rights reserved. 23
Analyzing Logged Data (Big Picture)
© 2012 SAP AG. All rights reserved. 24
Recording and Configuration for UI Channels
© 2012 SAP AG. All rights reserved. 25
Availability
NW 7.40 SP4 - Development Code line
NW 7.31 SP9
NW 7.30 SP11
NW 7.11 SP13
NW 7.02 SP15
NW 7.01 SP15
For legacy releases, you can use the UI logging solution from SAP
Custom Development services
SAP NW Code Vulnerability
analysis
© 2012 SAP AG. All rights reserved. 27
SAP NW Code Vulnerability analysis – o co jde?
Jedná se o nový plug-in do vývojového prostředí v ABAP
Zabezpečuje kontroly kódu z pohledu bezpečnosti
Je k dispozici pro NW 7.0, EhP2, SP14, NW 7.3, EhP1, SP09 a NW 7.40, SP05
Jedná se o samostatně licencovaný
produkt
Funkcionalita je integrována
do transakce SLIN, nebo
do ABAP Test Cockpit (ATC)
© 2012 SAP AG. All rights reserved. 28
SAP NW Code Vulnerability analysis – použití
Příklad:
DATA(cond) = `country = 'DE' AND name = '` && name && `'`.
by mělo být nahrazeno:
DATA(cond) = `country = 'DE' AND name = '` &&
cl_abap_dyn_prg=>escape_quotes( name ) && `'`.
Bližší dokumentace je k dispozici na:
http://help.sap.com/abapdocu_740/en/index.htm?url=abenabap_security.htm
SAP Enterprise Threat
Detection
© 2014 SAP AG. All rights reserved. 30
SAP Enteprise Threat Detection
Účel řešení
• Automaticky detekuje podezřelé aktivity
• Včasná detekce kybernetických útoků
• Umožňuje analýzu hrozeb v reálném čase
Jak to funguje?
• Uchovává bezpečnostní události v centrální databázi
• Obohacuje události o informace o kontextu
• Automaticky vyhodnocuje vzorce potenciálních útoků a
generuje upozornění. Dodaný obsah pro vyhodnocení od
SAP může být obohacován dle přání zákazníka.
Audience
• CIO, CEO
• Ředitel bezpečnosti
• Ředitel IT oddělení
• Tým oddělení bezpečnosti
Architektura
Vliv na IT infrastrukturu
• SAP Enterprise Threat Detection je provozován na SAP
HANA platformě.
• Monitorované SAP systémy mohou být provozovány na
jakékoliv databázi. Extraktor logů je k dispozici na základě
SAP Note a service pack.
• Integrace non-SAP dat je založená na definovaném SAP
API
© 2014 SAP AG. All rights reserved. 31
How the solution works?
© 2014 SAP AG. All rights reserved. 32
… Log
Data model of SAP Enterprise Threat Detection
Normalization of log data
Information content of the
source is not reduced
Unified representation of time
stamps, user identities, …
Maintenance of additional
information
Data model is generic
enough to cover
customer-specific
scenarios
HTTP Log
Security
Audit Log
System
Log
User
Change
Log
Business
Transactio
n Log
Read
Access
Log
Customer-
specific
Log
Unified Log
© 2014 SAP AG. All rights reserved. 33
Identify attack patterns
© 2014 SAP AG. All rights reserved. 34
Architektura SAP ETD
RAL
Non-SAP
Systems
Děkujeme za pozornost!
Tomáš Hladík
Solution Architect
Consulting
SAP ČR, spol. s r.o.
Budova BBC Beta
Vyskočilova 1481/4
140 00 Praha,
M +420 606 729 602
© 2015 SAP SE or an SAP affiliate company. All rights reserved. 36Public
© 2015 SAP SE or an SAP affiliate company.
All rights reserved.
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an
SAP affiliate company.
SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE
(or an SAP affiliate company) in Germany and other countries. Please see http://global12.sap.com/corporate-en/legal/copyright/index.epx for additional
trademark information and notices.
Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors.
National product specifications may vary.
These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind,
and SAP SE or its affiliated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or
SAP affiliate company products and services are those that are set forth in the express warranty statements accompanying such products and
services, if any. Nothing herein should be construed as constituting an additional warranty.
In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related
presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated
companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be
changed by SAP SE or its affiliated companies at any time for any reason without notice. The information in this document is not a commitment,
promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties
that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking
statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.