SQL Server zabezpečení databáze pro SAP v Azure

Tento článek je součástí série článků SAP Rozšíření a inovace zabezpečení: Osvědčené postupy.

• SQL Server zabezpečení databáze pro SAP v Azure
• Microsoft Sentinel pro SAP v Azure
• Operace zabezpečení pro SAP v Azure

Tento článek obsahuje důležité informace o zabezpečení a doporučení pro SAP v Azure, který běží na SQL Server databázi.

Zabezpečení neaktivních uložených dat

SQL Server transparentní šifrování dat (TDE) šifruje data a soubory protokolů uživatelských databází a SQL Server systémových databází. Po zašifrování nebude možné bez přidružených certifikátů obnovit a použít kopie dat a souborů protokolů nebo záložních souborů. Tento proces se nazývá zabezpečení neaktivních uložených dat. Je to transparentní technologie pro systém SAP, takže ji podporuje SAP note 1380493 – SQL Server transparentní šifrování dat. Informace o postupu transparentního šifrování dat najdete v tématu SQL Server šifrování.

Všechny datové stránky, které se čtou nebo zapisují na disk, musí být zašifrované nebo dešifrované, aby transparentní šifrování dat mělo penalizaci procesoru. Při použití transparentního šifrování dat u uživatelské databáze se využití procesoru zvýší mezi 3 % a 8 %. Aplikace, které intenzivně využívají databázi TempDB SQL Server nebo provádějí rozsáhlé kontroly u velkých tabulek, jsou ovlivněny více. Pokud je alespoň jedna uživatelská databáze v instanci SQL Server zašifrovaná pomocí transparentního šifrování dat, šifrují se také systémové databáze, jako je databáze TempDB. Příkladem tohoto typu aplikace je SAP Business Warehouse (SAP BW).

Poznámka

Pokud dojde ke ztrátě šifrovacích klíčů nebo certifikátů, dojde ke ztrátě dat v šifrované databázi. Je důležité vytvořit rozsáhlé procesy a kroky pro zabezpečení záloh certifikátů.

Úspěšná implementace transparentního šifrování dat vyžaduje dobré a důkladné testování a dobře navržené procesy pro zpracování certifikátů a záloh certifikátů.

Nepodporované funkce SQL Server

SQL Server nabízí také další funkce pro ochranu dat. Tyto metody umožňují částečné šifrování nebo maskování členitosti sloupců databáze:

• SQL Server šifrování sloupců
• SQL Server dynamického maskování dat
• SQL Server always encrypted

Na základě omezení těchto tří metod a změn, které vyžadují v mnoha oblastech komponent SAP NetWeaver, sap tyto funkce nepodporuje.

Replikace v reálném čase mezi databází s povoleným transparentním šifrováním dat v SQL Server a SAP HANA se nepodporuje. Další informace najdete v tématu SAP OSS poznámka 2812637 – Replikace v reálném čase se nepodporuje pro databázi serveru MSSQL s povoleným transparentním šifrováním dat.

Šifrování záloh

Šifrování zálohování probíhá při šifrování záložního souboru během zálohování. Zašifruje všechny datové stránky v záložním souboru a vytvoří požadavek na certifikát nebo asymetrický klíč k obnovení záložního souboru, což zabrání neoprávněnému obnovení.

Pokud databáze není před provedením šifrované zálohy zašifrovaná pomocí transparentního šifrování dat, stále se nešifruje i po obnovení. Šifrují se jenom záložní soubory. Soubor databáze a jeho obsah se nezmění.

Můžete použít šifrování záloh s transparentním šifrováním dat, ale není to výhodné, protože data jsou už zašifrovaná v databázových souborech a v záložních souborech. Při společném použití šifrování záloh a transparentního šifrování dat se šifrovaná databáze s certifikátem TDE nebo datovými stránkami šifrovanými klíčem znovu zašifrují pomocí záložního certifikátu nebo klíče. Tato metoda prodlužuje proces zálohování a přidává do systému další zatížení procesoru, zatímco proces zálohování běží.

Zabezpečený SQL Server a systém SAP

Posílení zabezpečení na úrovni serveru a operačního systému je nezbytné pro zabezpečený běh systému.

Při zabezpečení SQL Server a systému SAP dodržujte následující doporučení. Další informace najdete v tématu sap OSS note 2417205.

SQL Server je založená na implementaci protokolu TLS (Transport Layer Security) a protokolu SSL (Secure Sockets Layer) systému Windows prostřednictvím zprostředkovatele SCHANNEL Security Support Provider (SSP).

Protokol SSL můžete zakázat, protože protokol TLS se běžně používá a podporuje. Většina SQL Server a podpory produktů SAP používá protokol TLS 1.2.

Většinu nastavení zabezpečení pro zprostředkovatele zabezpečení SCHANNEL můžete řídit prostřednictvím změn registru v odpovídající větvi SCHANNEL. Pomocí těchto nastavení můžete řídit:

• Které protokoly, jako je SSL a TLS, jsou povolené pro klientskou a serverovou část dialogového okna.
• Povolené šifry, například RC2, RC4, Triple DES a AES, a pořadí, ve kterém jsou povolené.
• Hashovací algoritmy, například MD5 a SHA.
• Algoritmy výměny klíčů, například Diffie-Hellman a ECDH.

Různé kombinace těchto částí, jako je protokol, šifra a algoritmus hash a algoritmus výměny klíčů, jsou reprezentovány v šifrovacích sadách. Zakázáním jedné z těchto částí, například protokolu SSL 2.0, jsou všechny šifrovací sady, které obsahují tuto část, nepoužitelné pro systém.

Poznámka

Když zkombinujete více změn, klient(například systém SAP) a server (například SQL Server) nemusí být schopni použít šifrovací sadu ke komunikaci a systém SAP se nemusí spustit.

V editoru místních zásad skupiny můžete také řídit prioritu a dostupnost šifrovacích sad v systému.

1. Přejděte na Zásady > místního počítače Konfigurace > počítače Šablony pro > správu Nastavení konfigurace protokolu SSL sítě > .
2. Definujte vlastní pořadí šifrovacích sad SSL.

Toto pořadí seznamů definuje prioritu, kterou systém používá šifrovací sady. Pokud ze seznamu odeberete šifrovací sadu, nebude už v systému použitelná. Nastavení zásad skupiny má přednost před nastavením registru SCHANNEL. Toto nastavení obvykle řídí oddělení zabezpečení na základě zásad skupiny. Výsledné problémy s připojením ale řeší skupina pro správu databáze SAP Basis nebo SQL Server.

Zvažte použití nástroje SAP SCoTT k analýze problémů se zakázanými protokoly nebo šifrovacími sadami. Nástroj může analyzovat problémy s připojením mezi systémem SAP, jako je ABAP a Java, a SQL Server, které běží na Linuxu nebo Windows. Další informace najdete v tématu sap note 2846170.

Authentication

Tady jsou některé důležité informace o ověřování pomocí SAP v Azure.

• SAP NetWeaver na SQL Server má specifické požadavky na spouštěcí účty SAP a SQL Server, ověřování v instanci SQL Server, databázi SAP a přístup správce databáze. Další informace najdete v tématu Poznámky k SAP 1645041 – SQL Server přihlášení a jejich využití v prostředích SAP.

• Systém SAP ABAP NetWeaver nevyžaduje SQL Server přihlášení, protože všechna připojení používají ověřování Windows. Například pro uživatele SAPService<SID> nebo <SID>administratormůžete zakázat funkci ověřování SQL Server.

• Systém SAP JAVA NetWeaver vyžaduje funkci ověřování SQL Server, protože pro připojení používá SQL Server přihlášení, například SAP<SID>DB.

• Pro SAP v SQL Server můžete účet správce systému SQL Server zakázat, protože systémy SAP v SQL Server účet nepoužívají. Před zakázáním původního účtu správce systému se ujistěte, že jiný uživatel s oprávněními správce systému má přístup k serveru.

• Systém s vysokou dostupností, který používá SQL Server AlwaysOn, má specifické požadavky na přihlášení, uživatele a úlohy. Všechny servery, které jsou připojené k systému, musí mít přesně stejná přihlášení a uživatele, aby se systém SAP mohl připojit i v případě, že dojde k převzetí služeb při selhání do jiného uzlu. Všechny úlohy SQL Server související se SAP musí mít stejného vlastníka na všech uzlech AlwaysOn. Další informace najdete v tématu Synchronizace přihlášení, úloh a objektů SAP.

• K injektáži SQL dochází, když se škodlivý kód sloučí do příkazů SQL, které běží na SQL Server. Když se sestava spustí v systému SAP, vygeneruje obecné příkazy SQL z kódu ABAP sestavy. Příkazy se odesílají do databázové vrstvy SAP a transformují je pro SQL Server.

  Tato databázová vrstva je integrovaná do pracovního procesu SAP a není přístupná z vnějšku. Po transformaci na příkazy specifické pro SQL Server se odešlou do databáze a spustí se. Výsledek se vrátí do volající sestavy. S těmito příkazy je možné manipulovat pouze mezi databázovou vrstvou systému SAP a instancí SQL Server, která se nazývá útok man-in-the-middle.

  V systému SAP použijte šifrovaná připojení mezi pracovním procesem a databází SQL Server, abyste těmto útokům zabránili. Transakce DBACockpit má základní příkazové okno SQL pro spouštění základních příkazů SQL. Další informace najdete v tématu SAP note 1027512 – MSSQL: DBA kokpit pro základní verzi 7.00 a novější.

Auditování

• Zakažte xp_cmdshell. Funkce xp_cmdshell SQL Server umožňuje SQL Server interní příkazové prostředí operačního systému. Jedná se o potenciální riziko v auditech zabezpečení.

  Tato funkce je zapnutá při instalaci SAP. Shromažďuje a zobrazuje data operačního systému v transakci DBACockpit. Pokud toto nastavení zakážete, některá data monitorování nebudou v transakci DBACockpit k dispozici a v okně zprávy se zobrazí zpráva upozornění DBACockpit . Další informace najdete v tématech SAP KBA 2283909 – Vedlejší efekt v monitorování a poznámky SAP 3019299 – Otázky k auditu zabezpečení nebo přizpůsobení zabezpečení v systémech NetWeaver a SQL Server.

• Správně nakonfigurujte antivirové skenery. SAP podporuje antivirové skenery pro ochranu před viry a jiným malwarem, ale špatně nakonfigurovaný antivirový skener může způsobit problémy s výkonem nebo dokonce poškození databáze. Informace o nastavení a konfiguraci antivirového skeneru v operačním systému pro systém SAP NetWeaver najdete v tématu Poznámky k SAP 106267 – Software pro kontrolu virů ve Windows. Pro SQL Server databázi nastavte správné konfigurace, abyste se vyhnuli problémům s výkonem a poškozením. Podrobné konfigurace najdete v tématu Jak zvolit antivirový software pro spuštění na počítačích, na kterých běží SQL Server.

Další kroky

• Sentinel pro SAP