SQL Server adatbázis-biztonság az Azure-beli SAP-hez
Ez a cikk az "SAP kiterjesztése és innovációja biztonság: ajánlott eljárások" című cikksorozat része.
- SQL Server adatbázis-biztonság az Azure-beli SAP-hez
- Microsoft Sentinel for SAP az Azure-ban
- Biztonsági műveletek az SAP-hez az Azure-ban
Ez a cikk biztonsági szempontokat és javaslatokat tartalmaz az Azure-beli SAP-hoz, amely egy SQL Server adatbázison fut.
Inaktív adatok védelme
A SQL Server transzparens adattitkosítás (TDE) titkosítja a felhasználói adatbázisok és SQL Server rendszeradatbázisok adatait és naplófájljait. A titkosítás után az adatok és naplófájlok vagy biztonsági mentési fájlok másolatai nem állíthatók vissza és nem használhatók fel a társított tanúsítványok nélkül. Ezt a folyamatot az inaktív adatok védelmének nevezzük. Ez egy transzparens technológia az SAP-rendszer számára, ezért az SAP note 1380493 támogatja – SQL Server TDE. A TDE-eljárással kapcsolatos információkért lásd: SQL Server titkosítás.
A lemezre olvasott vagy írt összes adatoldalt titkosítva vagy visszafejtve kell lennie, így a TDE processzorhasználati büntetést von maga után. Ha A TDE egy felhasználói adatbázisra van alkalmazva, a processzorhasználat 3% és 8% között nő. Azokat az alkalmazásokat, amelyek nagymértékben használják SQL Server TempDB-t, vagy nagy méretű táblákon végeznek nagy vizsgálatokat, nagyobb hatással vannak. Ha a SQL Server-példány legalább egy felhasználói adatbázisa TDE-vel van titkosítva, a rendszeradatbázisok, például a TempDB is titkosítva vannak. Az SAP Business Warehouse (SAP BW) egy példa erre az alkalmazástípusra.
Megjegyzés
Ha a titkosítási kulcsok vagy tanúsítványok elvesznek, a titkosított adatbázisban lévő adatok elvesznek. Fontos, hogy átfogó folyamatokat és lépéseket hozzon létre a tanúsítvány biztonsági mentésének biztonságossá tételéhez.
A TDE sikeres implementációja jó és alapos tesztelést és jól megtervezett folyamatokat igényel a tanúsítványok és a tanúsítványok biztonsági mentésének kezeléséhez.
Nem támogatott SQL Server funkciók
SQL Server más adatvédelmi funkciókat is kínál. Ezek a módszerek lehetővé teszik a részleges titkosítást vagy maszkolást az adatbázisoszlopok részletességén:
A három módszer korlátozásai és az SAP NetWeaver-összetevők számos területén szükséges módosítások alapján ezeket a funkciókat az SAP nem támogatja.
A TDE-kompatibilis adatbázisok közötti valós idejű replikáció nem támogatott a SQL Server és az SAP HANA között. További információ: SAP OSS megjegyzés 2812637 – A valós idejű replikáció nem támogatott a TDE-kompatibilis MSSQL Server-adatbázishoz.
Biztonsági másolat titkosítása
A biztonsági mentés titkosítása akkor történik, ha a biztonsági mentés során titkosítja a biztonsági mentési fájlt. Titkosítja a biztonsági mentési fájl összes adatoldalát, és létrehoz egy tanúsítványt vagy aszimmetrikus kulcskövetelményt a biztonsági mentési fájl visszaállításához, ami megakadályozza a jogosulatlan visszaállítást.
Ha az adatbázis nincs TDE-vel titkosítva a titkosított biztonsági mentés előtt, a visszaállítás után sem lesz titkosítva. Csak a biztonsági mentési fájlok lesznek titkosítva. Az adatbázisfájl és tartalma nem módosul.
Használhat biztonsági mentési titkosítást a TDE-vel, de ez nem előnyös, mert az adatok már titkosítva lesznek az adatbázisfájlokban és a biztonsági mentési fájlokban. Ha együtt használja a biztonsági mentés titkosítását és a TDE-t, a TDE-tanúsítvánnyal vagy kulcssal titkosított adatoldalakkal rendelkező titkosított adatbázis újra titkosítva lesz a biztonsági mentési tanúsítvánnyal vagy kulccsal. Ez a módszer meghosszabbítja a biztonsági mentési folyamatot, és további processzorterhelést ad a rendszerhez a biztonsági mentési folyamat futtatása közben.
Biztonságos SQL Server és SAP-rendszer
A kiszolgáló- és operációsrendszer-szintű megerősítés elengedhetetlen a biztonságos futó rendszerekhez.
A SQL Server és az SAP-rendszer biztonságossá tételéhez kövesse az alábbi javaslatokat. További információ: SAP OSS megjegyzés 2417205.
SQL Server a Transport Layer Security (TLS) protokoll Windows-implementációján és a Secure Sockets Layer (SSL) protokollon alapul az SCHANNEL biztonsági támogatási szolgáltatón (SSP) keresztül.
Letilthatja az SSL protokollt, mert a TLS széles körben használatos és támogatott. A SQL Server és az SAP-terméktámogatások többsége a TLS 1.2 protokollt használja.
Az SCHANNEL SSP biztonsági beállításainak többségét a megfelelő SCHANNEL ág beállításjegyzék-módosításaival szabályozhatja. Az alábbi beállításokkal szabályozhatja a következő beállításokat:
- Mely protokollok( például AZ SSL és a TLS) vannak engedélyezve a párbeszédpanel ügyfél- és kiszolgálói részén.
- A titkosítók( például RC2, RC4, Triple DES és AES), amelyek engedélyezve vannak, és az engedélyezett sorrendjük.
- A kivonatoló algoritmusok, például az MD5 és az SHA.
- A kulcscsere algoritmusai, például Diffie-Hellman és ECDH.
Ezen részek különböző kombinációi, például a protokoll, a titkosítás, a kivonat és a kulcscsere algoritmus, titkosítócsomagokban jelennek meg. Az egyik ilyen rész, például az SSL 2.0 protokoll letiltásával az ezt a részt tartalmazó titkosítási csomagok nem használhatók a rendszer számára.
Megjegyzés
Ha több módosítást kombinál, előfordulhat, hogy az ügyfél, például az SAP-rendszer és a kiszolgáló (például SQL Server) nem tud titkosítócsomagot használni a kommunikációhoz, és előfordulhat, hogy az SAP-rendszer nem indul el.
A titkosítási csomagok prioritását és rendelkezésre állását a helyi csoportházirend-szerkesztőben is szabályozhatja a rendszeren.
- Lépjen a Helyi számítógépházirend > számítógép konfigurációja > Felügyeleti sablonok > hálózati > SSL-konfigurációs beállítások területre.
- Egyéni SSL titkosítócsomag-sorrend definiálása.
Ez a listarend határozza meg azt a prioritást, amelyet a rendszer titkosítócsomagokat használ. Ha eltávolít egy titkosítócsomagot a listáról, az már nem használható a rendszerben. A csoportházirend-beállítás elsőbbséget élvez az SCHANNEL beállításjegyzék-beállítással szemben. Ezt a beállítást általában a biztonsági részleg szabályozza a csoportházirendek alapján. Az SAP Basis vagy SQL Server adatbázis-felügyeleti csoport azonban kezeli az ebből eredő csatlakozási problémákat.
Fontolja meg az SAP eszköz, az SCoTT használatát a letiltott protokollokkal vagy titkosítási csomagokkal kapcsolatos problémák elemzéséhez. Az eszköz képes elemezni az SAP-rendszer( például az ABAP és a Java) és a Linuxon vagy Windowson futó SQL Server közötti kapcsolati problémákat. További információ: SAP-megjegyzés 2846170.
Hitelesítés
Íme néhány szempont az SAP-val való hitelesítéshez az Azure-ban.
Az SAP NetWeaver az SQL Server-on speciális követelményekkel rendelkezik az SAP- és SQL Server indítási fiókokra, a SQL Server-példány hitelesítésére, az SAP-adatbázisra és a DBA-hozzáférésre. További információ: SAP note 1645041 – SQL Server bejelentkezések és azok használata SAP-környezetekben.
Az SAP ABAP NetWeaver rendszernek nincs szüksége SQL Server bejelentkezésre, mert minden kapcsolat Windows-hitelesítést használ. Például a felhasználó
SAPService<SID>
vagy<SID>administrator
a esetében letilthatja a SQL Server hitelesítési funkciót.Az SAP JAVA NetWeaver rendszernek szüksége van a SQL Server hitelesítési funkcióra, mert egy SQL Server bejelentkezést használ, például
SAP<SID>DB
a kapcsolatot.Az SAP SQL Server esetén letilthatja a SQL Server rendszergazdai fiókot, mert a SQL Server SAP-rendszerei nem használják a fiókot. Az eredeti rendszergazdai fiók letiltása előtt győződjön meg arról, hogy egy másik rendszergazdai jogosultsággal rendelkező felhasználó hozzáférhet a kiszolgálóhoz.
A SQL Server AlwaysOnt használó magas rendelkezésre állású rendszerek speciális követelményeket támasztanak a bejelentkezésekre, a felhasználókra és a feladatokra vonatkozóan. A rendszerhez csatlakoztatott kiszolgálóknak pontosan ugyanazokkal a bejelentkezésekkel és felhasználókkal kell rendelkezniük, így az SAP-rendszer akkor is csatlakozhat, ha feladatátvétel történik egy másik csomópontra. Minden SAP-jal kapcsolatos SQL Server feladatnak ugyanazzal a tulajdonossal kell rendelkeznie az összes AlwaysOn-csomóponton. További információ: SAP-bejelentkezések, feladatok és objektumok szinkronizálása.
Az SQL-injektálás akkor történik, ha a rosszindulatú kód SQL Server futó SQL-utasításokba egyesül. Amikor egy jelentés fut az SAP-rendszerben, a jelentés ABAP-kódjából generál általános SQL-utasításokat. Az utasításokat az SAP adatbázisrétege küldi el és alakítja át SQL Server.
Ez az adatbázisréteg integrálva van az SAP munkafolyamatába, és kívülről nem érhető el. A SQL Server-specifikus utasításokká való átalakítás után a rendszer elküldi őket az adatbázisba, és futtatja őket. Az eredmény visszakerül a hívási jelentésbe. Ezek az utasítások csak az SAP-rendszer adatbázisrétege és a SQL Server példány között kezelhetők, amelyet ember-in-the-middle támadásnak neveznek.
Az SAP rendszerben titkosított kapcsolatokat használjon a munkafolyamat és a SQL Server adatbázis között a támadások megelőzése érdekében. A
DBACockpit
tranzakciónak van egy alapszintű SQL-parancsablaka az alapszintű SQL-utasítások futtatásához. További információ: SAP note 1027512 – MSSQL: DBA cockpit for basis release 7.00 és újabb.
Naplózás
Tiltsa le
xp_cmdshell
a parancsot. A SQL Server funkcióxp_cmdshell
lehetővé teszi SQL Server belső operációsrendszer-parancshéj használatát. Ez potenciális kockázat a biztonsági auditokban.Ez a funkció be van kapcsolva az SAP telepítésekor. Összegyűjti és megjeleníti az operációs rendszer adatait a tranzakcióban
DBACockpit
. Ha letiltja a beállítást, egyes figyelési adatok nem érhetők el a tranzakcióbanDBACockpit
, és egy figyelmeztető üzenet jelenik meg azDBACockpit
üzenetablakban. További információ: SAP KBA 2283909 – Mellékhatás a monitorozásban és az SAP megjegyzés 3019299 – Biztonsági naplózási kérdések vagy biztonsági testreszabás a NetWeaver és SQL Server rendszerekben.Megfelelően konfigurálja a vírusolvasókat. Az SAP támogatja a vírusolvasókat a vírusok és más kártevők elleni védelem érdekében, de a rosszul konfigurált vírusolvasó teljesítményproblémákat vagy akár adatbázis-sérülést is okozhat. Az SAP NetWeaver-rendszerek operációs rendszerének víruskeresőjének beállításához és konfigurálásához lásd: SAP note 106267 – Vírusolvasó szoftver Windows rendszeren. Egy SQL Server adatbázis esetében állítsa be a megfelelő konfigurációkat a teljesítménybeli és sérülési problémák elkerülése érdekében. Részletes konfigurációkért lásd: A SQL Server futtató számítógépeken futtatandó víruskereső szoftverek kiválasztása.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: