SAP 安全 - 网络通信


安全网络通信 (SNC)还可用于使用安全身份验证方法登录到应用程序服务器。您可以通过 Windows 版 SAP GUI 或使用 RFC 连接使用 SNC 进行用户身份验证。

SNC 使用外部安全产品来执行通信伙伴之间的身份验证。您可以使用公钥基础设施 PKI 等安全措施以及生成和分发密钥对的过程。

您应该定义可以消除威胁并防止网络攻击的网络拓扑。当用户无法登录应用程序或数据库层时,攻击者无法访问SAP系统或数据库系统来访问关键信息。

定义明确的网络拓扑不允许入侵者连接到公司的 LAN,因此无法访问网络服务或 SAP 系统上的安全漏洞。

SAP 系统中的网络拓扑

您的物理网络架构完全取决于 SAP 系统的大小。SAP 系统通常采用客户端-服务器架构来实现,每个系统通常分为以下三层 -

  • 数据库层
  • 应用层
  • 表示层

当您的 SAP 系统较小时,它可能没有单独的应用程序和数据库服务器。然而,在大型系统中,许多应用程序服务器与数据库服务器和多个前端进行通信。这定义了系统的网络拓扑从简单到复杂,您在组织网络拓扑时应考虑不同的场景。

在大型组织中,建议您将应用程序和数据库服务器安装在不同的计算机上,并与前端系统放置在单独的 LAN 中。

在下图中,您可以看到 SAP 系统的首选网络拓扑 -

首选网络拓扑

当您将数据库和应用程序服务器放置在与前端 VLAN 不同的 VLAN 中时,您可以改进访问控制系统,从而提高 SAP 系统的安全性。前端系统位于不同的 VLAN 中,因此不容易进入服务器 VLAN 并绕过 SAP 系统的安全性。

SAP 网络服务

在您的 SAP 系统中,启用了各种服务,但运行 SAP 系统只需要很少的服务。在 SAP 系统中,景观数据库应用服务器是最常见的网络攻击目标。您的环境中正在运行许多网络服务,允许访问这些服务器,并且应该仔细监视这些服务。

在 Window/UNIX 计算机中,这些服务维护在/etc/services中。您可以通过以下路径在 Windows 计算机中打开此文件 -

system32/驱动程序/etc/服务

Windows机

您可以在记事本中打开此文件并查看服务器中所有激活的服务 -

服务记事本

建议您禁用横向服务器上所有不需要的服务。有时,这些服务包含一些错误,入侵者可以利用这些错误来获得未经授权的访问。禁用这些服务后,您的网络遭受攻击的机会就会减少。

为了获得高级别安全性,还建议在 SAP 环境中使用静态密码文件。

私钥

SNC 使用外部安全产品来执行通信伙伴之间的身份验证。您可以使用公钥基础设施 (PKI)等安全措施和其他程序来生成和分发密钥对,并确保用户的私钥得到正确保护。

有不同的方法来保护网络授权的私钥 -

  • 硬件方案
  • 软件解决方案

现在让我们详细讨论它们。

硬件方案

您可以使用向个人用户颁发智能卡的硬件解决方案来保护用户的私钥。所有密钥都存储在智能卡中,用户应使用指纹或 PIN 密码通过生物识别技术对其智能卡进行身份验证。

每个用户都应该保护这些智能卡免遭盗窃或丢失,并且用户可以使用该卡来加密文档。

用户不得共享智能卡或将其交给其他用户。

软件解决方案

还可以使用软件解决方案来存储个人用户的私钥。与硬件解决方案相比,软件解决方案是更便宜的解决方案,但它们的安全性也较低。

存储私钥的硬件解决方案

当用户将私钥存储在文件和用户详细信息中时,需要保护这些文件以防止未经授权的访问。