SQL Server adatbázis-biztonság az Azure-beli SAP-hez

  • Cikk

Ez a cikk az "SAP kiterjesztése és innovációja biztonság: ajánlott eljárások" című cikksorozat része.

Ez a cikk biztonsági szempontokat és javaslatokat tartalmaz az Azure-beli SAP-hoz, amely egy SQL Server adatbázison fut.

Inaktív adatok védelme

A SQL Server transzparens adattitkosítás (TDE) titkosítja a felhasználói adatbázisok és SQL Server rendszeradatbázisok adatait és naplófájljait. A titkosítás után az adatok és naplófájlok vagy biztonsági mentési fájlok másolatai nem állíthatók vissza és nem használhatók fel a társított tanúsítványok nélkül. Ezt a folyamatot az inaktív adatok védelmének nevezzük. Ez egy transzparens technológia az SAP-rendszer számára, ezért az SAP note 1380493 támogatja – SQL Server TDE. A TDE-eljárással kapcsolatos információkért lásd: SQL Server titkosítás.

A lemezre olvasott vagy írt összes adatoldalt titkosítva vagy visszafejtve kell lennie, így a TDE processzorhasználati büntetést von maga után. Ha A TDE egy felhasználói adatbázisra van alkalmazva, a processzorhasználat 3% és 8% között nő. Azokat az alkalmazásokat, amelyek nagymértékben használják SQL Server TempDB-t, vagy nagy méretű táblákon végeznek nagy vizsgálatokat, nagyobb hatással vannak. Ha a SQL Server-példány legalább egy felhasználói adatbázisa TDE-vel van titkosítva, a rendszeradatbázisok, például a TempDB is titkosítva vannak. Az SAP Business Warehouse (SAP BW) egy példa erre az alkalmazástípusra.

Megjegyzés

Ha a titkosítási kulcsok vagy tanúsítványok elvesznek, a titkosított adatbázisban lévő adatok elvesznek. Fontos, hogy átfogó folyamatokat és lépéseket hozzon létre a tanúsítvány biztonsági mentésének biztonságossá tételéhez.

A TDE sikeres implementációja jó és alapos tesztelést és jól megtervezett folyamatokat igényel a tanúsítványok és a tanúsítványok biztonsági mentésének kezeléséhez.

Nem támogatott SQL Server funkciók

SQL Server más adatvédelmi funkciókat is kínál. Ezek a módszerek lehetővé teszik a részleges titkosítást vagy maszkolást az adatbázisoszlopok részletességén:

A három módszer korlátozásai és az SAP NetWeaver-összetevők számos területén szükséges módosítások alapján ezeket a funkciókat az SAP nem támogatja.

A TDE-kompatibilis adatbázisok közötti valós idejű replikáció nem támogatott a SQL Server és az SAP HANA között. További információ: SAP OSS megjegyzés 2812637 – A valós idejű replikáció nem támogatott a TDE-kompatibilis MSSQL Server-adatbázishoz.

Biztonsági másolat titkosítása

A biztonsági mentés titkosítása akkor történik, ha a biztonsági mentés során titkosítja a biztonsági mentési fájlt. Titkosítja a biztonsági mentési fájl összes adatoldalát, és létrehoz egy tanúsítványt vagy aszimmetrikus kulcskövetelményt a biztonsági mentési fájl visszaállításához, ami megakadályozza a jogosulatlan visszaállítást.

Ha az adatbázis nincs TDE-vel titkosítva a titkosított biztonsági mentés előtt, a visszaállítás után sem lesz titkosítva. Csak a biztonsági mentési fájlok lesznek titkosítva. Az adatbázisfájl és tartalma nem módosul.

Használhat biztonsági mentési titkosítást a TDE-vel, de ez nem előnyös, mert az adatok már titkosítva lesznek az adatbázisfájlokban és a biztonsági mentési fájlokban. Ha együtt használja a biztonsági mentés titkosítását és a TDE-t, a TDE-tanúsítvánnyal vagy kulcssal titkosított adatoldalakkal rendelkező titkosított adatbázis újra titkosítva lesz a biztonsági mentési tanúsítvánnyal vagy kulccsal. Ez a módszer meghosszabbítja a biztonsági mentési folyamatot, és további processzorterhelést ad a rendszerhez a biztonsági mentési folyamat futtatása közben.

Biztonságos SQL Server és SAP-rendszer

A kiszolgáló- és operációsrendszer-szintű megerősítés elengedhetetlen a biztonságos futó rendszerekhez.

A SQL Server és az SAP-rendszer biztonságossá tételéhez kövesse az alábbi javaslatokat. További információ: SAP OSS megjegyzés 2417205.

SQL Server a Transport Layer Security (TLS) protokoll Windows-implementációján és a Secure Sockets Layer (SSL) protokollon alapul az SCHANNEL biztonsági támogatási szolgáltatón (SSP) keresztül.

Letilthatja az SSL protokollt, mert a TLS széles körben használatos és támogatott. A SQL Server és az SAP-terméktámogatások többsége a TLS 1.2 protokollt használja.

Az SCHANNEL SSP biztonsági beállításainak többségét a megfelelő SCHANNEL ág beállításjegyzék-módosításaival szabályozhatja. Az alábbi beállításokkal szabályozhatja a következő beállításokat:

  • Mely protokollok( például AZ SSL és a TLS) vannak engedélyezve a párbeszédpanel ügyfél- és kiszolgálói részén.
  • A titkosítók( például RC2, RC4, Triple DES és AES), amelyek engedélyezve vannak, és az engedélyezett sorrendjük.
  • A kivonatoló algoritmusok, például az MD5 és az SHA.
  • A kulcscsere algoritmusai, például Diffie-Hellman és ECDH.

Ezen részek különböző kombinációi, például a protokoll, a titkosítás, a kivonat és a kulcscsere algoritmus, titkosítócsomagokban jelennek meg. Az egyik ilyen rész, például az SSL 2.0 protokoll letiltásával az ezt a részt tartalmazó titkosítási csomagok nem használhatók a rendszer számára.

Megjegyzés

Ha több módosítást kombinál, előfordulhat, hogy az ügyfél, például az SAP-rendszer és a kiszolgáló (például SQL Server) nem tud titkosítócsomagot használni a kommunikációhoz, és előfordulhat, hogy az SAP-rendszer nem indul el.

A titkosítási csomagok prioritását és rendelkezésre állását a helyi csoportházirend-szerkesztőben is szabályozhatja a rendszeren.

  1. Lépjen a Helyi számítógépházirend > számítógép konfigurációja > Felügyeleti sablonok > hálózati > SSL-konfigurációs beállítások területre.
  2. Egyéni SSL titkosítócsomag-sorrend definiálása.

Képernyőkép az SSL-konfigurációról.

Ez a listarend határozza meg azt a prioritást, amelyet a rendszer titkosítócsomagokat használ. Ha eltávolít egy titkosítócsomagot a listáról, az már nem használható a rendszerben. A csoportházirend-beállítás elsőbbséget élvez az SCHANNEL beállításjegyzék-beállítással szemben. Ezt a beállítást általában a biztonsági részleg szabályozza a csoportházirendek alapján. Az SAP Basis vagy SQL Server adatbázis-felügyeleti csoport azonban kezeli az ebből eredő csatlakozási problémákat.

Fontolja meg az SAP eszköz, az SCoTT használatát a letiltott protokollokkal vagy titkosítási csomagokkal kapcsolatos problémák elemzéséhez. Az eszköz képes elemezni az SAP-rendszer( például az ABAP és a Java) és a Linuxon vagy Windowson futó SQL Server közötti kapcsolati problémákat. További információ: SAP-megjegyzés 2846170.

Hitelesítés

Íme néhány szempont az SAP-val való hitelesítéshez az Azure-ban.

  • Az SAP NetWeaver az SQL Server-on speciális követelményekkel rendelkezik az SAP- és SQL Server indítási fiókokra, a SQL Server-példány hitelesítésére, az SAP-adatbázisra és a DBA-hozzáférésre. További információ: SAP note 1645041 – SQL Server bejelentkezések és azok használata SAP-környezetekben.

  • Az SAP ABAP NetWeaver rendszernek nincs szüksége SQL Server bejelentkezésre, mert minden kapcsolat Windows-hitelesítést használ. Például a felhasználó SAPService<SID> vagy <SID>administratora esetében letilthatja a SQL Server hitelesítési funkciót.

  • Az SAP JAVA NetWeaver rendszernek szüksége van a SQL Server hitelesítési funkcióra, mert egy SQL Server bejelentkezést használ, például SAP<SID>DBa kapcsolatot.

  • Az SAP SQL Server esetén letilthatja a SQL Server rendszergazdai fiókot, mert a SQL Server SAP-rendszerei nem használják a fiókot. Az eredeti rendszergazdai fiók letiltása előtt győződjön meg arról, hogy egy másik rendszergazdai jogosultsággal rendelkező felhasználó hozzáférhet a kiszolgálóhoz.

  • A SQL Server AlwaysOnt használó magas rendelkezésre állású rendszerek speciális követelményeket támasztanak a bejelentkezésekre, a felhasználókra és a feladatokra vonatkozóan. A rendszerhez csatlakoztatott kiszolgálóknak pontosan ugyanazokkal a bejelentkezésekkel és felhasználókkal kell rendelkezniük, így az SAP-rendszer akkor is csatlakozhat, ha feladatátvétel történik egy másik csomópontra. Minden SAP-jal kapcsolatos SQL Server feladatnak ugyanazzal a tulajdonossal kell rendelkeznie az összes AlwaysOn-csomóponton. További információ: SAP-bejelentkezések, feladatok és objektumok szinkronizálása.

  • Az SQL-injektálás akkor történik, ha a rosszindulatú kód SQL Server futó SQL-utasításokba egyesül. Amikor egy jelentés fut az SAP-rendszerben, a jelentés ABAP-kódjából generál általános SQL-utasításokat. Az utasításokat az SAP adatbázisrétege küldi el és alakítja át SQL Server.

    Ez az adatbázisréteg integrálva van az SAP munkafolyamatába, és kívülről nem érhető el. A SQL Server-specifikus utasításokká való átalakítás után a rendszer elküldi őket az adatbázisba, és futtatja őket. Az eredmény visszakerül a hívási jelentésbe. Ezek az utasítások csak az SAP-rendszer adatbázisrétege és a SQL Server példány között kezelhetők, amelyet ember-in-the-middle támadásnak neveznek.

    Az SAP rendszerben titkosított kapcsolatokat használjon a munkafolyamat és a SQL Server adatbázis között a támadások megelőzése érdekében. A DBACockpit tranzakciónak van egy alapszintű SQL-parancsablaka az alapszintű SQL-utasítások futtatásához. További információ: SAP note 1027512 – MSSQL: DBA cockpit for basis release 7.00 és újabb.

Naplózás

Következő lépések