безопасность базы данных SQL Server для SAP в Azure

Эта статья входит в серию статей SAP "Расширение и внедрение инноваций в систему безопасности: рекомендации".

• безопасность базы данных SQL Server для SAP в Azure
• Microsoft Sentinel для SAP в Azure
• Операции безопасности для SAP в Azure

В этой статье приведены рекомендации по безопасности и рекомендации для SAP в Azure, работающей в базе данных SQL Server.

Защита неактивных данных

Прозрачное шифрование данных (TDE) SQL Server шифрует файлы данных и журналов для пользовательских баз данных и SQL Server системных баз данных. После шифрования копии файлов данных и журналов или резервных копий невозможно восстановить и использовать без связанных сертификатов. Этот процесс называется защитой неактивных данных. Это прозрачная технология для системы SAP, поэтому она поддерживается заметкой SAP 1380493 — SQL Server TDE. Дополнительные сведения о процедуре TDE см. в разделе шифрование SQL Server.

Все страницы данных, которые считываются или записываются на диск, должны быть зашифрованы или расшифрованы, поэтому TDE имеет штраф за ЦП. При применении прозрачного шифрования данных к пользовательской базе данных загрузка ЦП увеличивается на 3–8 %. Приложения, которые в значительной степени используют TempDB SQL Server или выполняют большие проверки больших таблиц, в большей степени затрагиваются. Если хотя бы одна пользовательская база данных в экземпляре SQL Server шифруется с помощью TDE, системные базы данных, такие как TempDB, также шифруются. Sap Business Warehouse (SAP BW) является примером такого типа приложения.

Примечание

При потере ключей шифрования или сертификатов данные в зашифрованной базе данных теряются. Важно установить обширные процессы и шаги для защиты резервных копий сертификатов.

Успешная реализация TDE требует хорошего и тщательного тестирования и хорошо спроектированных процессов для обработки сертификатов и резервных копий сертификатов.

Неподдерживаемые функции SQL Server

SQL Server также предлагает другие функции для защиты данных. Эти методы позволяют частичное шифрование или маскирование для детализации столбцов базы данных:

• шифрование столбцов SQL Server
• SQL Server динамическое маскирование данных
• SQL Server всегда зашифровано

С учетом ограничений этих трех методов и изменений, которые они требуют во многих областях компонентов SAP NetWeaver, sap не поддерживает эти функции.

Репликация в реальном времени между базой данных с поддержкой TDE в SQL Server и SAP HANA не поддерживается. Дополнительные сведения см. в примечании SAP OSS 2812637 . Репликация в режиме реального времени не поддерживается для базы данных MSSQL Server с поддержкой TDE.

Шифрование резервной копии

Шифрование резервных копий — это шифрование файла резервной копии во время создания резервной копии. Он шифрует все страницы данных в файле резервной копии и создает сертификат или требование асимметричного ключа для восстановления файла резервной копии, что предотвращает несанкционированное восстановление.

Если база данных не шифруется с помощью TDE до создания зашифрованной резервной копии, она по-прежнему не шифруется после восстановления. Шифруются только файлы резервных копий. Файл базы данных и его содержимое не изменяются.

Вы можете использовать шифрование резервных копий с TDE, но это не полезно, так как данные уже зашифрованы в файлах базы данных и в файлах резервных копий. При совместном использовании шифрования резервных копий и TDE зашифрованная база данных с сертификатом TDE или страницы данных, зашифрованные ключом, снова шифруются с помощью сертификата или ключа резервной копии. Этот метод продлевает процесс резервного копирования и добавляет дополнительную нагрузку на ЦП в систему во время выполнения процесса резервного копирования.

Защита SQL Server и системы SAP

Усиление защиты на уровне сервера и операционной системы имеет важное значение для безопасной работающей системы.

Соблюдайте следующие рекомендации по защите SQL Server и системы SAP. Дополнительные сведения см. в примечании к SAP OSS 2417205.

SQL Server основана на реализации протокола TLS в Windows и ПРОТОКОЛА SSL через поставщик поддержки безопасности (SSP) SCHANNEL.

Протокол SSL можно отключить, так как протокол TLS широко используется и поддерживается. Большинство SQL Server и поддержки продуктов SAP используют протокол TLS 1.2.

Вы можете управлять большинством параметров безопасности для SCHANNEL SSP с помощью изменений реестра в соответствующей ветви SCHANNEL. С помощью этих параметров можно управлять следующими параметрами:

• Какие протоколы, такие как SSL и TLS, включены для клиентской и серверной части диалогового окна.
• Включенные шифры, например RC2, RC4, Triple DES и AES, а также порядок их включения.
• Хэш-алгоритмы, например MD5 и SHA.
• Алгоритмы обмена ключами, например Diffie-Hellman и ECDH.

Различные сочетания этих частей, такие как протокол, шифр, хэш-алгоритм и алгоритм обмена ключами, представлены в комплектах шифров. Если отключить одну из этих частей, например протокол SSL 2.0, все комплекты шифров, содержащие эту часть, непригодны для использования в системе.

Примечание

При объединении нескольких изменений клиент, например система SAP, и сервер, например SQL Server, могут не использовать набор шифров для обмена данными, а система SAP может не запуститься.

Вы также можете управлять приоритетом и доступностью комплектов шифров в системе в локальном редакторе групповых политик.

1. Перейдите в раздел Политика > локального компьютера Конфигурация > компьютера Административные шаблоны > Параметры конфигурации SSL сети > .
2. Определите пользовательский порядок набора шифров SSL.

Этот порядок списка определяет приоритет использования системой комплектов шифров. Если удалить набор шифров из списка, он больше не будет использоваться в системе. Параметр групповой политики имеет приоритет над параметром реестра SCHANNEL. Этот параметр обычно контролируется отделом безопасности на основе групповых политик. Но группа администрирования базы данных SAP Basis или SQL Server базы данных обрабатывает возникшие проблемы с подключением.

Рассмотрите возможность использования средства SAP SCoTT для анализа проблем с отключенными протоколами или комплектами шифров. Средство может анализировать проблемы с подключением между системой SAP, например ABAP и Java, а также SQL Server, работающей в Linux или Windows. Дополнительные сведения см. в примечании SAP 2846170.

Аутентификация

Ниже приведены некоторые рекомендации по проверке подлинности с помощью SAP в Azure.

• SAP NetWeaver на SQL Server предъявляет особые требования к учетным записям запуска SAP и SQL Server, проверке подлинности в экземпляре SQL Server, базе данных SAP и доступу к DBA. Дополнительные сведения см. в примечании SAP 1645041 — SQL Server имена входа и их использование в средах SAP.

• Системе SAP ABAP NetWeaver не требуются SQL Server имена входа, так как все подключения используют проверка подлинности Windows. Например, для пользователя SAPService<SID> или <SID>administratorможно отключить функцию проверки подлинности SQL Server.

• Системе SAP JAVA NetWeaver требуется функция проверки подлинности SQL Server, так как для подключения используется имя входа SQL Server, например SAP<SID>DB.

• Для SAP на SQL Server можно отключить учетную запись системного администратора SQL Server, так как системы SAP на SQL Server не используют эту учетную запись. Прежде чем отключить исходную учетную запись системного администратора, убедитесь, что другой пользователь с правами системного администратора может получить доступ к серверу.

• Система с высоким уровнем доступности, использующая SQL Server AlwaysOn, предъявляет особые требования к именам входа, пользователям и заданиям. Все серверы, подключенные к системе, должны иметь одинаковые имена входа и пользователей, чтобы система SAP смогла подключаться, даже если происходит отработка отказа на другой узел. Все задания SQL Server, связанные с SAP, должны иметь одного владельца на всех узлах AlwaysOn. Дополнительные сведения см. в статье Синхронизация имен входа, заданий и объектов SAP.

• Внедрение кода SQL — это когда вредоносный код объединяется с инструкциями SQL, которые выполняются на SQL Server. При запуске отчета в системе SAP он создает универсальные инструкции SQL из кода ABAP отчета. Инструкции отправляются и преобразуются на уровне базы данных SAP для SQL Server.

  Этот уровень базы данных интегрирован в рабочий процесс SAP и недоступен извне. После преобразования в SQL Server инструкции они отправляются в базу данных и выполняются. Результат возвращается в вызывающий отчет. Этими инструкциями можно управлять только между уровнем базы данных системы SAP и экземпляром SQL Server, который называется атакой "злоумышленник в середине".

  В системе SAP используйте зашифрованные подключения между рабочим процессом и базой данных SQL Server, чтобы предотвратить эти атаки. Транзакция DBACockpit имеет рудиментарное командное окно SQL для выполнения базовых инструкций SQL. Дополнительные сведения см. в примечании SAP 1027512 — MSSQL: кабина DBA для базисного выпуска 7.00 и более поздних версий.

Аудит

• Отключите xp_cmdshell. Функция xp_cmdshell SQL Server включает командную оболочку SQL Server внутренней операционной системы. Это потенциальный риск при аудите безопасности.

  Эта функция включена при установке SAP. Он собирает и отображает данные операционной системы в транзакции DBACockpit. Если этот параметр отключен, некоторые данные мониторинга недоступны в транзакции DBACockpit , а в DBACockpit окне сообщения появится предупреждающее сообщение. Дополнительные сведения см. в статьях SAP KBA 2283909 — побочный эффект в мониторинге и Заметка SAP 3019299 . Вопросы аудита безопасности или настройка безопасности в netWeaver и SQL Server системах.

• Правильная настройка антивирусных сканеров. SAP поддерживает сканеры вирусов для защиты от вирусов и других вредоносных программ, но плохо настроенный сканер вирусов может вызвать проблемы с производительностью или даже повреждение базы данных. Сведения о том, как настроить средство проверки вирусов в операционной системе SAP NetWeaver, см. в примечании SAP 106267 — программное обеспечение сканера вирусов в Windows. Для базы данных SQL Server задайте правильные конфигурации, чтобы избежать проблем с производительностью и повреждениями. Подробные сведения о конфигурациях см. в статье Выбор антивирусного программного обеспечения для запуска на компьютерах под управлением SQL Server.

Дальнейшие действия

• Sentinel для SAP