6 июля 1992 г. компания SAP AG официально выпустила SAP R/3 (предшественника SAP ERP) и продолжила завоевывать мир своими решениями для бизнеса, постепенно заставляя своих клиентов и партнеров-интеграторов все глубже и глубже разбираться в вопросах защиты бизнес-приложений, построенных на базе технологической платформы SAP NetWeaver Application Server (AS).

Глобальный рост решений на базе SAP NetWeaver AS, сложные и масштабные по своим размерам ландшафты SAP-систем, сотни миллионов строк кастомизируемого программного кода (ABAP/4, Java) у клиентов заставили нас пересмотреть подходы к защите этих систем.

Задачи защиты

Чтобы создать защищенную SAP-систему и обеспечить ее безопасное функционирование на всех этапах жизненного цикла, необходимо решить ряд задач на всех уровнях и для всех компонентов создаваемой системы.

К таким задачам можно отнести следующие. Размещение компонентов по сегментам (зонам безопасности) в соответствии с выбранной архитектурой и существующей инфраструктурой компании. Комплексная защита пользовательских рабочих мест и серверных компонентов. Обеспечение безопасности сетевого взаимодействия, включающее защиту удаленного доступа диалоговых пользователей и межсистемного взаимодействия. Управление учетными записями пользователей и их доступом. Реализация концепции предоставления пользователям прав, минимально необходимых для работы в SAP-системе. Безопасная настройка компонентов системы, включая технологическую платформу SAP NetWeaver AS: контроль или отключение небезопасных (недоверенных) соединений, блокирование необязательного функционала, доступного по умолчанию, настройка аудита и др. Систематическое обновление (из доверенных источников) общесистемного и прикладного программного обеспечения и многие другие задачи.

Важно отметить, что все усилия по защите технологической платформы SAP NetWeaver AS, включая системно-техническую инфраструктуру, в которой она функционирует, могут быть сведены к нулю, если сама система содержит уязвимости. И тут проблемы не только в стандартном коде, поставляемом SAP AG. Внедрение SAP-систем сопровождается масштабными разработками, призванными адаптировать стандартные функциональные модули под нужды конкретного заказчика. Разработки ведутся, как правило, на проприетарном языке компании SAP AG — ABAP/4, и их качество напрямую зависит от квалификации разработчика.

Таким образом, комплексный подход к вопросам защиты SAP-систем должен включать целый пакет услуг и программных средств защиты информации с учетом разделения систем на несколько уровней или блоков задач. Уровень системно-технической инфраструктуры: защита рабочих мест пользователей и сетевого (межсистемного) взаимодействия, удаленного доступа пользователей, безопасность платформ виртуализации и общесистемного ПО, резервное копирование и восстановление критически важных данных. Уровень платформы (Basis) — уровень технологической платформы SAP NetWeaver AS: управление обновлениями, безопасная настройка серверов приложений, отключение анонимных и других небезопасных сервисов, настройка аудита событий безопасности, продуманная политика управления учетными записями пользователей и их привилегиями. Прикладной уровень — уровень функциональных модулей, включающих как стандартный код SAP-систем, так и программный код, реализуемый функциональными разработчиками этих систем (ABAP), вопросы разделения полномочий бизнес-пользователей (GRC, SoD), вопросы применения криптографических методов защиты информации, в т.ч. с использованием сертифицированных средств (шифрование, электронная подпись).

Безопасность против функциональности

Так как же защитить SAP-систему, если она стоит в основе автоматизации основных бизнес-процессов компании? Как упредить наступление ущерба от возможной реализации недекларируемых функций в программном коде системы или ошибок программирования? Как убедиться в том, что система не подвергнута несанкционированным воздействиям, все производимые изменения санкционированы и система штатно функционирует в защищенном исполнении?

Для повышения уровня защищенности систем и получения квалифицированного подтверждения о соответствии создаваемого программного кода заданным критериям и лучшим практикам компания «Газинформсервис» оказывает услуги по анализу кода на предмет содержащихся в нем уязвимостей и консультирует по вопросам их устранения.

Исправленный по результатам анализа программный код подлежит фиксации и контролю на неизменность. Любое внесение изменений в кастомизируемый код, также как и в настройки SAP-системы, должно быть санкционировано и подлежать постоянному контролю со стороны лиц, ответственных за вопросы информационной безопасности компании.

Для решения таких задач компанией «Газинформсервис» был разработан программный комплекс SafeERP, автоматизирующий процесс управления безопасностью в SAP-системах за счет предоставления полной картины о состоянии защищенности контролируемых им систем.

Основу комплекса составляют сервер управления и агенты, устанавливаемые в SAP-системы компании. Единая консоль информационной безопасности отображает настройки безопасности всех контролируемых SAP систем. Настройка работы комплекса происходит на сервере управления с использованием консоли администратора, где выбираются необходимые политики безопасности и задаются параметры сбора информации с агентов. Комплекс позволяет быстро проанализировать SAP-систему на соответствие разработанным профилям безопасности, поставить на контроль критичные ABAP-разработки и осуществлять непрерывный мониторинг штатного функционирования этих систем.

Для оценки защищенности контролируемых SAP-систем на их стороне устанавливается клиентская часть SafeERP, которая осуществляет контроль соответствия текущих настроек системы настройкам, заданным в соответствии с требованиями по безопасности. Данные требования, как правило, разрабатываются для каждого клиента отдельно с учетом индивидуальных особенностей. Настройку SafeERP упрощает наличие предустановленных шаблонов профилей безопасности, разработанных компанией «Газинформсервис» на основе полученного опыта и лучших практик по защите SAP-систем. Тратить много времени на создание нового профиля (перечня критериев оценки) для своей системы не нужно — можно воспользоваться нашими наработками.

Для контроля наиболее важных информационных ресурсов SAP-системы необходимо выявить критичные ABAP-разработки и поставить их на контроль. Процедура постановки занимает несколько минут и включает в себя вычисление контрольных сумм объектов репозиториев для последующего их надежного хранения в качестве эталонного значения. Любое внесение изменение в программный код должно сопровождаться вычислением нового значения контрольной суммы. Данный механизм позволяет контролировать изменения программного кода, произведенные как стандартным способом (с помощью транспортной системы), так и прямым изменением кода в таблицах СУБД.

SafeERP, в отличие от большинства существующих систем управления инцидентами (Security Information and Event Management, SIEM), при соответствующей настройке позволяет отслеживать доступ к информации ограниченного доступа, обрабатываемой контролируемой SAP-системой. В дополнении к этому SafeERP имеет программный интерфейс для интеграции (передачи событий) в другие SIEM-системы.

Таким образом, применение программного комплекса SafeERP, наряду с другими решениями по защите SAP-систем, позволяет всесторонне подойти к вопросу обеспечения информационной безопасности в компании и получить уверенность в том, что защищаемые активы не модифицированы, а системы функционируют в защищенном режиме.