Sap-hana-security-overview
SAP HANA-セキュリティの概要
セキュリティとは、会社の重要なデータを不正なアクセスや使用から保護し、会社のポリシーに従ってコンプライアンスと基準が満たされるようにすることです。 SAP HANAにより、お客様はさまざまなセキュリティポリシーと手順を実装し、会社のコンプライアンス要件を満たすことができます。
SAP HANAは、単一のHANAシステムで複数のデータベースをサポートします。これは、マルチテナントデータベースコンテナーと呼ばれます。 HANAシステムには、複数のマルチテナントデータベースコンテナを含めることもできます。 複数コンテナシステムには、常に1つのシステムデータベースと任意の数のマルチテナントデータベースコンテナがあります。 この環境にインストールされるSAP HANAシステムは、単一のシステムID(SID)によって識別されます。 HANAシステムのデータベースコンテナは、SIDとデータベース名によって識別されます。 HANAスタジオとして知られるSAP HANAクライアントは、特定のデータベースに接続します。
SAP HANAは、認証、承認、暗号化、監査などのすべてのセキュリティ関連機能、および他のマルチテナントデータベースではサポートされていないアドオン機能を提供します。
以下は、SAP HANAが提供するセキュリティ関連機能のリストです-
- ユーザーおよびロール管理
- 認証とSSO
- 承認
- ネットワークでのデータ通信の暗号化
- 永続層でのデータの暗号化
マルチテナントHANAデータベースの追加機能-
- データベースの分離-オペレーティングシステムメカニズムによるクロステナント攻撃の防止が含まれます
- 構成変更ブラックリスト-テナントデータベース管理者が特定のシステムプロパティを変更できないようにする
- 制限された機能-ファイルシステム、ネットワーク、または他のリソースへの直接アクセスを提供する特定のデータベース機能を無効にします。
SAP HANAユーザーおよびロール管理
SAP HANAユーザーおよびロール管理の構成は、HANAシステムのアーキテクチャに依存します。
- SAP HANAがBIプラットフォームツールと統合され、レポートデータベースとして機能する場合、エンドユーザーとロールはアプリケーションサーバーで管理されます。
- エンドユーザーがSAP HANAデータベースに直接接続する場合、HANAシステムのデータベース層のユーザーとロールは、エンドユーザーと管理者の両方に必要です。
HANAデータベースを使用するすべてのユーザーには、必要な特権を持つデータベースユーザーが必要です。 HANAシステムにアクセスするユーザーは、アクセス要件に応じて技術ユーザーまたはエンドユーザーのいずれかになります。 システムへのログオンに成功すると、必要な操作を実行するためのユーザーの承認が検証されます。 その操作の実行は、ユーザーに付与された特権に依存します。 これらの特権は、HANA Securityのロールを使用して付与できます。 HANA Studioは、HANAデータベースシステムのユーザーとロールを管理する強力なツールの1つです。
ユーザータイプ
ユーザーの種類は、セキュリティポリシーとユーザープロファイルに割り当てられたさまざまな特権によって異なります。 ユーザータイプは、技術的なデータベースユーザーでも、エンドユーザーがレポート目的またはデータ操作のためにHANAシステムにアクセスする必要がある場合もあります。
標準ユーザー
標準ユーザーは、独自のスキーマでオブジェクトを作成でき、システム情報モデルで読み取りアクセス権を持つユーザーです。 読み取りアクセスは、すべての標準ユーザーに割り当てられているPUBLICロールによって提供されます。
制限されたユーザー
制限付きユーザーとは、一部のアプリケーションでHANAシステムにアクセスするユーザーであり、HANAシステムに対するSQL特権を持たないユーザーです。 これらのユーザーが作成されると、最初はアクセスできません。
制限付きユーザーと標準ユーザーを比較する場合-
- 制限されたユーザーは、HANAデータベースまたは独自のスキーマにオブジェクトを作成できません。
- 標準ユーザーのようなプロファイルに追加された一般的なパブリックロールがないため、データベースのデータを表示するアクセス権はありません。
- HTTP/HTTPSを使用してのみ、HANAデータベースに接続できます。