Sap-security-network-communication
SAPセキュリティ-ネットワーク通信
- Secure Network Communication(SNC)*は、安全な認証方法を使用してアプリケーションサーバーにログインするためにも使用できます。 Windows用のSAP GUIを介して、またはRFC接続を使用して、ユーザー認証にSNCを使用できます。
SNCは外部セキュリティ製品を使用して、通信パートナー間の認証を実行します。 公開キーインフラストラクチャPKIなどのセキュリティ対策、およびキーペアを生成および配布する手順を使用できます。
脅威を排除し、ネットワーク攻撃を防ぐことができるネットワークトポロジを定義する必要があります。 ユーザーがアプリケーションまたはデータベースレイヤーにログインできない場合、攻撃者はSAPシステムまたはデータベースシステムにアクセスして重要な情報にアクセスできません。
明確に定義されたネットワークトポロジでは、侵入者が会社のLANに接続できないため、ネットワークサービスまたはSAPシステムのセキュリティループホールにアクセスできません。
SAPシステムのネットワークトポロジ
物理ネットワークアーキテクチャは、SAPシステムのサイズに完全に依存します。 SAPシステムは一般にクライアント/サーバーアーキテクチャで実装され、各システムは一般に次の3つの層に分割されます-
- データベース層
- アプリケーション層
- プレゼンテーション層
SAPシステムが小さい場合、アプリケーションとデータベースサーバーが別々にならない場合があります。 ただし、大規模なシステムでは、多くのアプリケーションサーバーがデータベースサーバーおよび複数のフロントエンドと通信します。 これにより、システムのネットワークトポロジが単純なものから複雑なものまで定義され、ネットワークトポロジを整理する際にさまざまなシナリオを検討する必要があります。
大規模な組織では、アプリケーションとデータベースサーバーを異なるマシンにインストールし、フロントエンドシステムとは別のLANに配置することをお勧めします。
次の図では、SAPシステムの優先ネットワークトポロジを確認できます-
データベースとアプリケーションサーバーをフロントエンドVLANとは別のVLANに配置すると、アクセス制御システムを改善できるため、SAPシステムのセキュリティが向上します。 フロントエンドシステムは異なるVLANにあるため、サーバーVLANにアクセスしてSAPシステムのセキュリティをバイパスすることは簡単ではありません。
SAPネットワークサービス
SAPシステムにはさまざまなサービスが有効になっていますが、SAPシステムの実行に必要なサービスはごくわずかです。 SAPシステムでは、 Landscape 、 Database 、および Application Servers がネットワーク攻撃の最も一般的な標的です。 これらのサーバーへのアクセスを許可する多くのネットワークサービスがランドスケープで実行されており、これらのサービスは慎重に監視する必要があります。
Window/UNIXマシンでは、これらのサービスは /etc/services で維持されます。 次のパスに移動することにより、Windowsマシンでこのファイルを開くことができます-
*system32/drivers/etc/services*
このファイルをメモ帳で開き、サーバーでアクティブになっているすべてのサービスを確認できます-
ランドスケープサーバー上の不要なサービスをすべて無効にすることをお勧めします。 これらのサービスには、不正なアクセスを取得するために侵入者が使用できるいくつかのエラーが含まれることがあります。 これらのサービスを無効にすると、ネットワークが攻撃される可能性が低くなります。
高レベルのセキュリティを確保するには、SAP環境で静的パスワードファイルを使用することもお勧めします。
秘密鍵
SNCは外部セキュリティ製品を使用して、通信パートナー間の認証を実行します。 *公開キーインフラストラクチャ(PKI)*などのセキュリティ対策やその他の手順を使用して、キーペアを生成および配布し、ユーザーの秘密キーが適切に保護されるようにします。
ネットワーク認証のために秘密鍵を保護するさまざまな方法があります-
- ハードウェアソリューション
- ソフトウェアソリューション
それらについて詳しく説明しましょう。
ハードウェアソリューション
個々のユーザーにスマートカードを発行するハードウェアソリューションを使用して、ユーザーの秘密キーを保護できます。 すべてのキーはスマートカードに保存され、ユーザーは指紋またはPINパスワードを使用して、生体認証を介してスマートカードに対して認証する必要があります。
これらのスマートカードは、個々のユーザーごとに盗難や紛失から保護する必要があり、ユーザーはそのカードを使用してドキュメントを暗号化できます。
ユーザーは、スマートカードを共有したり、他のユーザーに提供したりすることはできません。
ソフトウェアソリューション
ソフトウェアソリューションを使用して、個々のユーザーの秘密キーを保存することもできます。 ソフトウェアソリューションは、ハードウェアソリューションと比較して安価なソリューションですが、安全性も劣ります。
ユーザーがファイルおよびユーザーの詳細に秘密鍵を保存する場合、不正アクセスのためにそれらのファイルを保護する必要があります。