Безпека рішень SAP
20.01.2014
Компанія SAP AG активно завойовує ринок бізнес-рішень. І захищеність її рішень - завдання першої необхідності. Фахівці часто приділяють більше уваги функціональності, ніж безпеки. Програмний комплекс SafeERP від «Газинформсервиса» дозволяє автоматизувати процес управління безпекою і надає повну картину про стан захищеності всіх SAP-систем.
6 липня 1992 р. компанія SAP AG офіційно випустила SAP R/3 (попередника SAP ERP) і продовжила завойовувати світ своїми рішеннями для бізнесу, поступово змушуючи своїх клієнтів і партнерів-інтеграторів все глибше і глибше розбиратися в питаннях захисту бізнес-додатків, побудованих на базі технологічної платформи SAP NetWeaver Application Server (AS).
Глобальне зростання рішень на базі SAP NetWeaver AS, складні і масштабні за своїм розмірам ландшафти SAP-систем, сотні мільйонів рядків кастомизируемого програмного коду (ABAP/4, Java) у клієнтів змусили нас переглянути підходи до захисту цих систем.
Завдання захисту
Щоб створити захищену SAP-систему і забезпечити її безпечне функціонування на всіх етапах життєвого циклу, необхідно вирішити ряд завдань на всіх рівнях і для всіх компонентів створюваної системи.
До таких завдань можна віднести наступні. Розміщення компонентів за сегментами (зони безпеки) відповідно до обраної архітектурою і наявною інфраструктурою компанії. Комплексний захист робочих місць і серверних компонентів. Забезпечення безпеки мережевої взаємодії, що включає захист віддаленого доступу діалогових користувачів і міжсистемної взаємодії. Управління обліковими записами користувачів та їх доступом. Реалізація концепції надання користувачам прав, мінімально необхідних для роботи в SAP-системи. Безпечна настройка компонентів системи, включаючи технологічну платформу SAP NetWeaver AS: контроль або відключення небезпечних (недовірених) з'єднань, блокування додаткового функціоналу, доступного за замовчуванням, настройка аудиту та ін. Систематичне оновлення (з довірених джерел) загальносистемного та прикладного програмного забезпечення і багато інші завдання.
Важливо відзначити, що всі зусилля по захисту технологічної платформи SAP NetWeaver AS, включаючи системно-технічну інфраструктуру, в якій вона функціонує, можуть бути зведені до нуля, якщо сама система містить уразливості. І тут проблеми не тільки в стандартному коді, що постачається SAP AG. Впровадження SAP-систем супроводжується масштабними розробками, покликаними адаптувати стандартні функціональні модулі під потреби конкретного замовника. Розробки ведуться, як правило, на проприетарном мові компанії SAP AG - ABAP/4, і їх якість напряму залежить від кваліфікації розробника.
Таким чином, комплексний підхід до питань захисту SAP-систем повинен включати цілий пакет послуг та програмних засобів захисту інформації з урахуванням поділу систем на кілька рівнів або блоків завдань. Рівень системно-технічної інфраструктури: захист робочих місць користувачів і мережевого (міжсистемної взаємодії, віддаленого доступу користувачів, безпека платформ віртуалізації і загальносистемного ПЗ, резервне копіювання і відновлення критично важливих даних. Рівень платформи (Basis) - рівень технологічної платформи SAP NetWeaver AS: управління оновленнями, безпечна настройка серверів додатків, відключення анонімних та інших небезпечних сервісів, настройка аудиту подій безпеки, продумана політика управління обліковими записами користувачів і їх привілеями. Прикладний рівень - рівень функціональних модулів, що включають як стандартний код SAP-систем, так і програмний код, реалізований функціональними розробниками цих систем (ABAP), питання розподілу повноважень бізнес-користувачів (GRC, SoD), питання застосування криптографічних методів захисту інформації, в т.ч. з використанням сертифікованих засобів (шифрування, електронний підпис).
Безпека проти функціональності
Так як же захистити SAP-систему, якщо вона стоїть в основі автоматизації основних бізнес-процесів компанії? Як попередити настання збитків від можливої реалізації недекларований функцій у програмному коді системи або помилок програмування? Як переконатися в тому, що система не піддана несанкціонованим діям, всі вироблені зміни санкціоновані і система штатно функціонує в захищеному виконанні?
Для підвищення рівня захищеності систем і отримання кваліфікованого підтвердження про відповідність створюваного програмного коду заданим критеріям та кращим практикам компанія «Газинформсервис» надає послуги з аналізу коду на предмет містяться в ньому вразливостей і консультує з питань їх усунення.
Виправлений за результатами аналізу програмний код підлягає фіксації і контролю на незмінність. Будь-яке внесення змін у кастомизируемый код, також як і в налаштування SAP-системи, повинно бути санкціоновано і підлягати постійному контролю з боку осіб, відповідальних за питання інформаційної безпеки компанії.
Для вирішення таких завдань компанією «Газинформсервис» був розроблений програмний комплекс SafeERP, що автоматизує процес управління безпекою в SAP-системах за рахунок надання повної картини про стан захищеності контрольованих систем.
Основу комплексу становлять сервер управління і агенти, що встановлюються в SAP-системи компанії. Єдина консоль інформаційної безпеки відображає налаштування безпеки всіх контрольованих SAP систем. Настройка роботи комплексу відбувається на сервері керування з використанням консолі адміністратора, де вибираються необхідні політики безпеки і задаються параметри збору інформації з агентів. Комплекс дозволяє швидко проаналізувати SAP-систему на відповідність розроблених профілів безпеки, поставити на контроль критичні ABAP-розробки і здійснювати безперервний моніторинг штатного функціонування цих систем.
Для оцінки захищеності контрольованих SAP-систем на їх стороні встановлюється клієнтська частина SafeERP, яка здійснює контроль відповідності поточних налаштувань системи параметрів, заданих у відповідності з вимогами по безпеці. Ці вимоги, як правило, розробляються для кожного клієнта окремо з урахуванням індивідуальних особливостей. Налаштування SafeERP спрощує наявність встановлених шаблонів профілів безпеки, розроблених компанією «Газинформсервис» на основі отриманого досвіду і кращих практик щодо захисту SAP-систем. Витрачати багато часу на створення нового профілю (переліку критеріїв оцінки) для своєї системи не потрібно - можна скористатися нашими напрацюваннями.
Для контролю найбільш важливих інформаційних ресурсів SAP-системи необхідно виявити критичні ABAP-розробки і поставити їх на контроль. Процедура постановки займає кілька хвилин і включає в себе обчислення контрольних сум об'єктів репозиторіїв для подальшого їх надійного зберігання у якості еталонного значення. Будь внесення зміни в програмний код повинно супроводжуватися обчисленням нового значення контрольної суми. Даний механізм дозволяє контролювати зміни програмного коду, вироблені як стандартним способом (з допомогою транспортної системи), так і прямим зміною коду в таблицях СУБД.
SafeERP, на відміну від більшості існуючих систем управління інцидентами (Security Information and Event Management, SIEM), при відповідній настройці дозволяє відстежувати доступ до інформації обмеженого доступу, оброблюваної контрольованої SAP-системою. У доповненні до цього SafeERP має програмний інтерфейс для інтеграції (передачі подій) в інші SIEM-системи.
Таким чином, застосування програмного комплексу SafeERP, поряд з іншими рішеннями щодо захисту SAP-систем, дозволяє всебічно підійти до питання забезпечення інформаційної безпеки в компанії і отримати впевненість у тому, що захищаються активи не модифіковані, а системи функціонують в захищеному режимі.