Einsatz des Memory Inspectors
Abstimmung der Filterkonfiguration auf das Kundensystem
Die Sprache ist eine Quelle für Missverständnisse – dies gilt in extremem Maße für den Bereich der SAP-Speicherverwaltung: So werden dieselben Begriffe auf der Ebene des Betriebssystems und auf der Ebene des SAP-Systems für unterschiedliche Dinge verwendet: Wir unterscheiden Betriebssystem-Paging und SAP-Paging, Kontextwechsel auf Betriebssystemebene und Kontextwechsel auf SAP-Ebene etc. Auch der Begriff »Heap« wird doppelt verwendet: Auf Betriebssystemebene ist damit der lokale Speicher gemeint, der von einem Betriebssystemprozess allokiert wird. Auf SAP-Ebene bezeichnet er dagegen einen speziellen lokalen Speicherbereich, d. h., der SAP Heap Memory ist nur ein Teilbereich dessen, was auf Betriebssystemebene als »Heap« bezeichnet wird. Um die Verwirrung in Grenzen zu halten, kennzeichnen wir hier die SAP-Begriffe explizit mit dem Präfix SAP, wie z. B. SAP Heap Memory oder SAP Paging Memory, um sie von den Betriebssystembegriffen abzugrenzen. Wenn Sie Sekundärliteratur oder Hinweise im SAP Support Portal lesen, vergewissern Sie sich anhand des Kontextes, ob sich der Autor auf den SAP-Systembegriff oder den Betriebssystembegriff bezieht.
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
SAP Security im Wandel – SAP HANA Berechtigungen
Um Innovation im Unternehmen voranzutreiben, ist es notwendig, ein eigenes Team oder einige Experten zu etablieren, deren anerkannte Aufgabe es ist, Forschungsprojekte und PoCs voranzutreiben, sich diesbezüglich permanent weiterzubilden, Innovationsvorschläge zu erarbeiten und diese in die Gremien einzubringen. Sie sind daher vom operativen Betrieb weitestgehend ausgenommen. AUFBAU EINES TESTLABORATORIUMS Fortführend ist es notwendig, neben den Ressourcen auch die Rahmenbedingungen zur Durchführung der Forschungs- und Pilotprojekte zu schaffen. Hierzu wird empfohlen, ein Testlaboratorium mit möglichst wenigen Einschränkungen hinsichtlich Unternehmensstandards einzurichten. Diese sind oftmals so massiv, dass ein schnelles und brauchbares Umsetzen von Pilotprojekten stark behindert oder komplett unterbunden wird.
Die SAP-Basis Beratung kann schon bei der generellen Beratung zum SAP-Einsatz und der Installation und Konfiguration starten. Außerdem kann die SAP-Beratung übergehen in eine externe Übernahme von Updates und Upgrades von SAP-Komponenten oder sogar die komplette Übernahme der Administration des SAP-Systems.
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Diese Analyse ist zum einen nützlich als Konsistenzcheck zu den Daten, die der Betriebssystemmonitor liefert.
Abbildung 3.7 zeigt einen Einzelsatz, bei dem für 19 selektierte Sätze (im Bereich Sequential read) 14.177 ms benötigt werden, d. h., die mittlere Lesezeit liegt bei 746,2ms pro Satz.