Relatore:

Marco Cremonini Studente:

Giuseppe Restivo

Matr: 785940

Correlatore:

Dott: Massimo Manara

Dott: Andrea Cavalleri

Corso di Laurea Magistrale in: Sicurezza Informatica

SAP nel Cloud: Analisi della Sicurezza Logica e

Compliance

Obiettivi

Analisi del mercato di SAP Nel Cloud

Analisi dei costi: Cloud Vs OnPremise

Sicurezza Logica di SAP: Autorizzazioni

1/14

Cloud Computing

- Per utente comune: significa utilizzare un servizio

basato sul web, come ad esempio i servizi on-line per lo

storage, applicazioni, e-mail, elaborazioni testi.

- Per un utente tecnico: descrive un complesso di

sistemi, servizi e dispositivi collegati, che compongono

internet.

2/13

SAP nel Cloud (SLA)

SAP nel cloud significa spostare l’ambiente ERP, ovvero il proprio sistema gestionale esistente

nella piattaforma cloud.

Cloud Pubblica:

Altamente standardizzata:

- Nessun supporto di requisiti funzionali per gli utenti.

- Condivisione e istanza con altri clienti.

Mancanza di “know-how” IT.

Hosting esterno dei dati.

Soluzioni a basso costo.

Formazione degli utenti finali minima.

Soluzioni ideali per le piccole e medie imprese (PMI).

- bassa diversificazione dei processi di business.

Cloud Privata:

Altamente Customizzabile:

-Supporto di requisiti d’funzionali

Esistenza di “know-how” IT.

Hosting controllato e sicuro dei dati.

Costi elevati per le licenze.

Completa formazione degli utenti finali.

Soluzioni ideali per grandi imprese anche

multinazionali.

-Alta diversificazione dei processi di business

3/13

Benefici del modello SAP-SaaS

• Elimina i costi di capitale

• Deployment e produttività veloce

• Semplica l'uso e la Gestione

• Aumento di Flessibilità

• Affidabilità e Performance migliori

4/13

Cloud vs On-premise

Partendo da un campione di aziende intervistate[16], che hanno usato soluzioni ERP simili

nei casi cloud e on-premise è stata fatta un’analisi del TCO per un periodo di 4 anni.

Ovvero il costo totale di acquisto e di gestione di una soluzione tecnologica durante la sua

vita utile. È stato possibile osservare che: Il TCO generale Cloud è stato considerevolmente

inferiore rispetto a quello on-premise.

[16] Sanjeev Aggarwal - Laurie MacCabe "The Compellin TCO: Case for Cloud Computing in SMB and Mid-Market Enterprises”, Massachusetts

2011 5/13

SAP-ERP nel Cloud in Italia

In Italia: Mercato ancora in crescita

Criticità emerse:

- Scarsa maturità

dell’offerta.

- Cambiamento di

paradigma.

- Complessità e gestione

dei SLA.

- Banda a ” macchia di

leopardo”.

Diffusione servizi SaaS in Italia: Posta, CRM, HR, Collaborazione con i partner6/13

SAP NetWeaver

- È possibile realizzare un’architettura “service-oriented”

Componenti Integrabili:

- OpenSSO che include anche il modulo di autenticazione SAML.

- Governance and Compliance: “SAP BusinessObjects Access Control" (GRC) basato sui Web

Service che fornisce automaticamente auditing e reporting coprendo i requisiti di compliance.

7/13

Autorizzazioni SAP 1/2

• Master Record Utente

• Classi Oggetti

• Oggetti Autorizzativi

• Valori dei campi (fields)

8/13

Autorizzazioni SAP 2/2

Approccio basato sui Ruoli

• Ruolo Singolo: Contiene i dati di autorizzazione e le transazioni assegnate

al ruolo. Gli utenti assegnati al ruolo ereditano la struttura dei menu e le

transazioni.

• Ruolo Composto: raggruppa ruoli singoli.

• Ruolo Derivato: eredita la struttura dei menu e le transazioni dai ruoli

referenziati.

9/13

Il controllo autorizzativo SAP 1/2

Supponiamo di imporre un controllo di autorizzazione per la modifica delle

prenotazioni per i clienti.

1) Creare dei campi (fields)di attività “ACTVT” e “CUSTTYPE” e assegnare

un valore da controllare esempio (02 e B) rispettivamente.

2) Creare un authorization object (S_TRVL_BKS).

10/13

Il controllo autorizzativo SAP 2/2

L’AUTHORITY-CHECK: controlla se un utente ha appropriate autorizzazioni per

eseguire una particolare attività. Nel nostro caso

Quando questo accade, il sistema controlla i profili di autorizzazione nel master

record dell'utente per l’appropriato oggetto di autorizzazione (S_TRVL_BKS).

Se l'autorizzazione è trovata e contiene i valori corretti, la verifica è riuscita.

11/13

Fenomeno del Cyber-Crime

12/13

In base ai casi analizzati il Cloud porterà sicuramente dei vantaggi economici e gestionali. Però c’è

da considerare un’ aspetto importante che sta prendendo sopravvento soprattutto in quest’ultimo

periodo, ovvero il fenomeno del cyber-crime. Due sono gli aspetti da considerare:

1) Il fatto che le cloud possono fornire nuovi strumenti per il Cyber-Crime. Esempio l’attacco a Sony,

che tra l’altro era già stato documentato da un precedente studio del MIT. L’infrastruttura del

servizio Amazon EC2 permette di avviare dei server virtuali in ambiente cloud utilizzando

un’immagine personalizzata. Gli attacker hanno creato account falsi, e da li hanno attivato tante

macchine zombi al fine di perpetrare un DDoS.

1) Cyber-crime: si sta ispirando alla filosofia SaaS per distributire i propri servizi illegali.

Conclusioni

13/13