Virtualisierung Ihrer SAP-Systemlandschaft
Datenbankanalyse
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, zB durch die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind sogenannte Access-Control- Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen können, um Ihr SAP System noch besser zu schützen. Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACLDateien wie die secinfo und reginfo-Dateien. Was ist eine ACL? Access-Control-Lists sind Dateien in denen erlaubte oder verbotene Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden Programm, wird es blockiert. Netzwerkbasierte ACL Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische Clients.
Permanente und proaktive technische Betreuung im SAP Basisbereich gewährleistet eine stabile, sichere und performante Umgebung. Unser internationales Team aus erfahrenen und zertifizierten Basisberatern unterstützt unsere Kunden in allen Phasen mit einem breiten Spektrum an Dienstleistungen, sowohl Nearshore als auch vor Ort bzw. Remote.
PROLOGUE
Ein gut gepflegtes Nofallbenutzerkonzept ermöglicht die revisionssichere Vergabe von erweiterten Berechtigungen in Kombination mit der Sicherstellung des täglichen Betriebs in Ihrem Unternehmen. In diesem Artikel wird zuerst auf die grundlegende Problematik, welche ein Notfallbenutzerkonzept erforderlich macht, eingegangen. Anschließend wird kurz erklärt, wie ein solches Konzept generell funktioniert und wie wir dieses umsetzen. Ein Notfallbenutzer wird im Normalfall verwendet, wenn vorübergehend Aufgaben außerhalb des ursprünglichen Tätigkeitsfeldes übernommen werden. Die verschiedenen Szenarien, wann ein solcher Nutzer zum Einsatz kommen kann und wie damit umzugehen ist, habe ich in diesem Blogbeitrag für Sie beschrieben. Warum ist ein Notfallbenutzerkonzept wichtig? Es gibt mehrere Szenarien, in welchen die Verwendung eines Notfallbenutzers mit erweiterten Rechten sinnvoll ist: In dringenden Fällen ist es häufig erforderlich, schnell Änderungen am System durchführen zu können welche außerhalb des eigentlichen Tätigkeitsfeldes des Benutzers liegen. Ein Key-User, welcher die notwendigen Berechtigungen besitzt, ist im Urlaub und benötigt eine Vertretung. Derselbe Benutzer ist kurzfristig erkrankt und seine Vertretung muss seine Aufgaben übernehmen, um den Betrieb sicher zu stellen. Wir empfehlen die Entwicklung eines Konzepts zur kurzfristigen Vergabe der zusätzlichen Berechtigungen. So kann die Umsetzung der oben genannten Szenarien sichergestellt werden. Wie funktioniert ein Notfallbenutzerkonzept? Ein Notfallbenutzerkonzept in SAP funktioniert grundlegend über eine temporäre Vergabe von zusätzlichen Rechten an einen bestimmten User. Nachdem die Aufgaben erledigt worden sind, werden dem User die Rechte wieder entzogen. Die getätigten Aufgaben mit den erweiterten Berechtigungen werden protokolliert und können anschließend von einem Revisor ausgewertet werden. Hier sind jedoch einige Faktoren zu beachten: Es sollte ein Prozess definiert werden, nach welchem die Vergabe von Sonderrechten erfolgt. Es muss festgelegt sein, welche User Sonderrechte erhalten können. Der Zeitraum, für welchen die User einen Notfallbenutzer beantragen können, sollte limitiert sein.
Aus dem Tagesgeschäft in seiner Abteilung hat er bereits viele hilfreiche Informationen sammeln können: Die RFC Schnittstellen und die zugehörigen technischen RFC Benutzer kennt Johannes aus seiner Arbeit mit den Applikationen. Auch das Passwort für diverse technische RFC User hatte er schnell über den Flurfunk mitbekommen („Solange Passwörter nur per Telefon kommuniziert werden und niemals schriftlich ausgetauscht werden, sind wir sauber!“). Und dass die RFC User selbst in Produktivsystemen großzügig berechtigt sind, ist längst kein Geheimnis mehr („Lieber mehr Berechtigungen als zu wenig; die RFC Verbindungen müssen rennen, sonst gibt es Ärger aus den Fachbereichen!“). Da Johannes als Entwickler Zugriff auf die SE37 hat, ist es kein Problem sich mithilfe des Funktionsbausteins BAPI_USER_CHANGE den notwendigen Zugriff zu erschleichen - getarnt als RFC User. Kurzum ändert er durch Aufruf des Funktionsbausteins den Benutzertyp eines technischen RFC Benutzers in einem Produktivsystem von auf .
Basisadministratoren steht mit "Shortcut for SAP Systems" eine PC-Anwendung zur Verfügung, die etliche Tätigkeiten in der SAP Basis vereinfacht bzw. ermöglicht.
Um eine wiederholte Anmeldung zu vermeiden, öffnen Sie vor dem Einspielen der Queue einen zweiten Modus.
Die Syntax der Datei lässt es dabei zu, nicht nur den Namen des Programms, sondern auch den Host auf dem das Programm läuft und Hosts die das Programm verwenden und beenden können zu definieren.