Защита систем SAP от кибератак с помощью функциональности SAP Configuration Validation
В статье рассматриваются возможности защиты систем SAP от кибератак с использованием функциональности SAP Configuration Validation.
Основная идея
Функциональность проверки конфигурации Configuration Validation (CV) – стандартный диагностический инструмент, доступный в SAP Solution Manager, начиная с версии 7.0. В числе прочего, он позволяет проводить проверку на предмет наличия уязвимостей и выявлять и устранять слабые места в безопасности систем SAP. Проверка включает в себя такие области, как параметры профиля, связанные с обеспечением безопасности, стандартные службы Internet Communication Framework (ICF), политику в отношении паролей, RFC-адреса, отсутствующие в управляемых системах SAP-ноты, связанные с безопасностью.
Вы прочитали рекламные проспекты по существующим инструментам, призванным обеспечить безопасность систем SAP. Вы выслушали презентации представителей компаний, предлагающих эти инструменты. Вы даже посмотрели демо-версии. Однако прежде чем создать заказ на закупку, задайте себе один вопрос: а есть ли альтернатива?
С 2014 года ответ на этот вопрос – да. Причиной стало изменение стандартных компонентов SAP, которые могут выявлять некорректную конфигурацию, представляющую риск безопасности. Самый важный из таких компонентов – Configuration Validation (CV), доступный в SAP Solution Manager с версии 7.0 по стандартному лицензионному соглашению (рис. 1).
Рис. 1. Функциональность Configuration Validation в SAP Solution Manager
CV выполняет запланированное сканирование управляемых систем в Solution Manager и автоматически проверяет их на предмет уязвимостей, из-за которых системы могут подвергнуться кибератакам. Инструмент интегрирован с системой уведомлений End-to-End (E2E) Alerting и в случае обнаружения проблем с высокой степенью риска отправляет email-сообщения и SMS, а также выводит на инструментальные панели информацию о соответствии систем политикам безопасности.
Инструмент CV является одним из компонентов функциональности сквозной диагностики (E2E Diagnostics), найти его можно в рабочих центрах «Change Management» и «Root Cause Analysis» (RCA) в Solution Manager 7.1 (рис. 2). Для использования компонента стандартной настройки Solution Manager будет практически достаточно. Потребуется установка и конфигурация адаптеров и плагинов для управляемых систем (ST-PI, ST-AP/I и агенты диагностики). Данные конфигурации из управляемых систем должны быть доступны в базе данных конфигурации и изменений (Configuration and Change Database, CCDB), а выгруженные данные должны быть доступны в инфо-кубе 0SMD_CA02 для анализа в BW. В SAP Note 1483508 (для просмотра требуются данные для входа в систему) приведена вся информация относительно требований для использования функциональности RCA для разных версий и уровней пакетов поддержки Solution Manager.
Рис. 2.Рабочее место «Root Cause Analysis» в SAP Solution Manager
CCDB является источником данных для CV. Технически это не база данных в привычном смысле этого слова, а скорее совокупность таблиц в базе данных Solution Manager, в которых хранятся данные конфигурации из управляемых систем. Сюда включается не только информация по безопасности, но ещё множество других тем, которые позволяют, в числе прочего, осуществлять мониторинг и выявлять проблемы с производительностью в системах SAP. Таким образом, CV применимо не только в сфере обеспечения безопасности, однако в рамках данной статьи будет рассматриваться исключительно аспект использования CV для управления уязвимостями.
Данные конфигурации, включая параметры, значения, историю изменений, хранятся в т.н. контейнерах в CCDB, известных как «config store». Эти хранилища конфигурации обновляются ежечасно или ежедневно с использованием экстракторов – Extractor Framework. Экстракторы регистрируют только изменения контейнеров config store для минимизации занимаемой памяти. Содержимое config stores можно посмотреть напрямую в Solution Manager или проанализировать в детальных отчётах SAP Business Warehouse с помощью соответствующих инфо-кубов. На рис. 3 представлен обзор потока данных.
Рис. 3. Поток данных в SAP Configuration Validation
Оформите подписку sappro и получите полный доступ к материалам SAPPRO
Оформить подпискуУ вас уже есть подписка?
Войти