W dynamicznie zmieniającym się świecie technologii, utrzymanie wysokiego poziomu bezpieczeństwa systemów IT jest nie tylko wyzwaniem, ale przede wszystkim koniecznością. SAP, świadomy tych wyzwań, regularnie aktualizuje swoje standardy bezpieczeństwa, co ostatnio zaowocowało wydaniem SAP Security Baseline 2.5. Ta aktualizacja nie tylko wzmacnia ogólną architekturę bezpieczeństwa, ale również wprowadza kluczowe ulepszenia, szczególnie w zakresie bezpieczeństwa sieci, konfiguracji zaufania (trust management) pomiędzy systemami oraz domyślnych ustawień bezpieczeństwa dla S/4HANA 2023 i BW/4HANA 2023.
Zmiany w nowej wersji SAP Security Baseline 2.5
2.1.2 Bezpieczeństwo systemów operacyjnych i baz danych
- Uprawnienia użytkowników OS w systemie Windows: Zgodnie z zaleceniami SAP, kluczowe jest stosowanie określonych konfiguracji dla użytkowników systemów Windows. Użytkownicy z prawami administracyjnymi powinni posiadać właściwy zakres uprawnień, podczas gdy konta serwisowe nie powinny dysponować większymi uprawnieniami, niż jest to konieczne do zapewnienia bezpieczeństwa operacyjnego. Ograniczenie to ma za zadanie zredukować ryzyko związane z nadmiernymi uprawnieniami, które mogą prowadzić do nieuprawnionego dostępu i innych zagrożeń dla systemu.
- Uprawnienia użytkowników OS na systemach Unix/Linux: Dla systemów Unix/Linux, SAP rekomenduje dokładne kontrolowanie uprawnień użytkowników. Ważne jest, aby administratorzy systemowi nie posiadali nieograniczonego dostępu, co jest kluczowe dla zapobiegania potencjalnym ryzykom bezpieczeństwa. Utrzymanie uprawnień na minimalnym niezbędnym poziomie jest istotne dla ochrony przed nieautoryzowanym dostępem i innymi rodzajami ataków.
- Uprawnienia użytkowników OS w Windows – zabezpieczanie udziałów plikowych i przechowywania danych sieciowych: SAP sugeruje, aby odpowiednio zabezpieczyć udziały plikowe i pamięci sieciowe, co gwarantuje, że tylko upoważnieni użytkownicy i administratorzy systemu mają dostęp, wzmacniając w ten sposób ochronę współdzielonych zasobów. Zapewnienie bezpieczeństwa takim zasobom jest kluczowe dla zachowania integralności i poufności danych, minimalizując tym samym możliwość dostępu dla nieuprawnionych osób.
2.2.1.2.2 DISCL-H: Ujawnienie Informacji – SAP HANA
- Szyfrowanie danych w spoczynku: W najnowszej wersji SAP Security Baseline, udoskonalenia dla środowisk HANA skupiają się na dwóch kluczowych aspektach zabezpieczania danych. Po pierwsze, zaleca się włączenie funkcji szyfrowania danych na platformie HANA (HANA Data at Rest Encryption), co stanowi fundamentalne zabezpieczenie przed dostępem do danych przez nieuprawnione osoby. Po drugie, niezmiernie ważne jest również odpowiednie zabezpieczenie kluczy do tego szyfrowania, co zapewnia, że nawet w przypadku uzyskania dostępu do fizycznych nośników danych, bez odpowiedniego klucza dane pozostają bezużyteczne dla potencjalnych intruzów.
2.2.1.4.1 Bezpieczeństwo serwera wiadomości
- Monitorowanie serwera wiadomości z przeglądarki: Najnowsza aktualizacja SAP Security Baseline wprowadza nową wytyczną, która zakazuje nieuwierzytelnionego monitorowania Message Server-a z poziomu przeglądarki. Obejmuje to między innymi brak ustawiania parametru profilu ms/server_port_ oraz zapewnienie, że wszelkie zmiany są ściśle monitorowane przy użyciu transakcji konfiguracji systemu i monitorowania SAP. Działanie to zwiększa bezpieczeństwo, zapobiegając nieautoryzowanemu dostępowi do procesu SAP Message Server.
2.3.1.4.1 Dozwolone zestawy znaków dla nazw użytkowników w ABAP
- Zakaz używania „szerokich” spacji w nazwach użytkowników: Nowy rozdział został dodany specjalnie do adresowania dozwolonych zestawów znaków dla nazw użytkowników w systemach ABAP. Rozdział ten wprowadza standard, który zabrania używania w nazwach użytkowników „szerokich” spacji. Jest to kontrolowane przez ustawienie parametru BNAME_RESTRICT = XXX w tabeli PRGN_CUST. Więcej szczegółów można znaleźć w nocie SAP numer 1731549.
2.3.2.2 Polityka haseł
- Polityka haseł – ABAP: W aktualizacji z wersji 2.4.1 do 2.5 SAP Security Baseline, zalecenie dotyczące parametru login/password_max_idle_initial zostało usunięte. Parametr ten wcześniej wymuszał na użytkownikach zmianę początkowych haseł w ciągu od 1 do 14 dni.
- Polityka haseł – HANA: W nowej wersji wprowadzono dodatkowe parametry bezpieczeństwa do polityki haseł dla platformy SAP HANA, które poprawiają zarządzanie dostępem użytkowników i bezpieczeństwo haseł. Te nowe parametry określają limit nieudanych prób logowania przed zablokowaniem użytkownika, określają czas blokady oraz definiują minimalny czas życia hasła i czas ostrzeżenia przed wygaśnięciem hasła. Ponadto zawierają opcję zwolnienia użytkownika SYSTEM z automatycznego blokowania, co pozwala na bardziej precyzyjne zarządzanie kluczowymi kontami użytkowników.
2.3.2.1.1 Szyfrowanie połączeń sieciowych – ABAP
- Klasyfikacja parametru została zaktualizowana do krytycznej: Poprzednio sklasyfikowana jako standardowa, teraz jest oznaczona jako krytyczna. Ta zmiana podkreśla znaczenie parametru profilu system/secure_communication = ON dla zabezpieczania komunikacji sieciowej w systemach ABAP. Szczegóły zostały opisane w notach SAP 2040644 i 2362078.
2.3.2.4.1 Zaufane relacje i zaufane miejsca docelowe – ABAP
- Zabezpieczanie „Trust Management” w systemach ABAP dla RFC i HTTP: Kluczowe wytyczne obejmują:
- Definiowanie tylko niezbędnych zaufanych połączeń i RFC, a także usuwanie nieużywanych, aby zmniejszać potencjalne ryzyka,
- Aktualizacja wszystkich zaufanych relacji zgodnie z najnowszymi metodami bezpieczeństwa opisanymi w nocie SAP 3157268,
- Używanie Secure Network Communications (SNC) lub TLS również dla zaufanych połączeń,
- Ścisłe zarządzanie autoryzacjami w kontekście zarządzania zaufanymi połączeniami, ograniczenie zarządzania zaufanymi relacjami do niewielu administratorów i ściśle kontrolujące uprawnienia, z krytycznymi ustawieniami dla obiektów autoryzacji, takich jak S_RFC_ADM_TT.
2.3.3.1.1 Krytyczne Autoryzacje – ABAP
- Autoryzacja do debugowania/zastępowania: W Security Baseline ujęto obiekt autoryzacji S_DBG z działaniem 02 dla ABAP Platform 2022 opartym na SAP_BASIS 7.57 lub wyższym. To uprawnienie umożliwia użytkownikom debugowanie, co jest kluczowe dla zachowania integralności i bezpieczeństwa kodu w środowisku produkcyjnym.
- Autoryzacja do tworzenia/zmiany/usuwania użytkowników: W Security Baseline ujęto obiekt autoryzacji S_USER_GRP z działaniami 01, 02 lub 06. Te uprawnienia pozwalają na zarządzanie kontami użytkowników, co jest krytyczne dla utrzymania kontroli nad dostępem do systemu i jego bezpieczeństwa.
2.3.3.2.1 Przypisanie Autoryzacji – ABAP
- Kontrola przypisania ról w transporcie ABAP: Podczas transportowania ról w systemach ABAP, bezpośrednie przypisywanie użytkowników jest zabronione, aby zapobiegać niezamierzonym zmianom. Kontrola ta jest realizowana przez ustawienia w tabeli PRGN_CUST. Aby to zachować, to w przypadku eksportu transportów, należy ustawić parametr US_ASGM_TRANSPORT na „No”, a dla importowania transportów parametr USER_REL_IMPORT powinien również być ustawiony na NIE. Dodatkowe szczegóły można znaleźć w notach SAP nr 1723881 i 571276.
2.4.3.1.3 Ustawienia audytu – HANA
- Lista najlepszych praktyk związanych z konfiguracją została wprowadzona: Zasady audytu powinny zostać zdefiniowane zgodne:
- Najlepsze praktyki wynikające z dokumentacji dostarczanej przez SAP
- Nota SAP 3016478
Rola SNOK w kontekście nowej aktualizacji SAP Security Baseline 2.5
Jako certyfikowany złoty partner SAP, SNOK odgrywa kluczową rolę w implementacji i dostosowaniu nowych zaleceń bezpieczeństwa określonych w SAP Security Baseline 2.5. Dzięki głębokiej wiedzy i doświadczeniu w technologiach SAP oraz cyberbezpieczeństwie, SNOK wspiera swoich klientów w optymalizacji ich systemów IT zgodnie z najnowszymi standardami bezpieczeństwa. Pracując ściśle z SAP, SNOK oferuje usługi konsultingowe i techniczne, które nie tylko zapewniają zgodność zawsze z najnowszymi wersjami SAP Security Baseline, ale również przyczyniają się do zwiększenia wydajności operacyjnej i minimalizacji ryzyka cybernetycznego w skomplikowanych środowiskach korporacyjnych. SNOK, korzystając ze swojego doświadczenia, umożliwia przedsiębiorstwom skuteczne zarządzanie zmianami w implementacji i konfiguracji bezpieczeństwa, zapewniając tym samym, że wszystkie aspekty bezpieczeństwa są prawidłowo adresowane i wdrożone.
Podsumowanie
Nowa aktualizacja SAP Security Baseline 2.5 stanowi ważny krok w kierunku poprawy bezpieczeństwa systemów SAP, wprowadzając kluczowe zmiany w obszarze zarządzania uprawnieniami użytkowników, bezpieczeństwa danych oraz komunikacji wewnątrz systemów. Bądźcie na bieżąco, aby dowiedzieć się więcej i skutecznie zabezpieczyć swoje środowisko SAP!