Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fa parte della serie di articoli "SAP estendi e innova la sicurezza: Best Practice".
- Sicurezza del database DI SQL Server per SAP in Azure
- Microsoft Sentinel per SAP in Azure
- Operazioni di sicurezza per SAP in Azure
Questo articolo fornisce considerazioni sulla sicurezza e consigli per SAP in Azure in esecuzione in un database di SQL Server.
Proteggere i dati a riposo
Sql Server Transparent Data Encryption (TDE) crittografa i file di dati e di log per i database utente e i database di sistema di SQL Server. Dopo la crittografia, le copie dei file di dati e di log o dei file di backup non possono essere ripristinate e usate senza i certificati associati. Questo processo viene chiamato protezione dei dati fermi. Si tratta di una tecnologia trasparente per il sistema SAP, supportata dalla nota SAP 1380493 - SQL Server TDE. Per informazioni sulla procedura TDE, vedere Crittografia di SQL Server.
Tutte le pagine di dati che vengono lette o scritte su disco devono essere crittografate o decrittografate, quindi TDE ha una penalizzazione sulle prestazioni della CPU. Quando TDE viene applicato a un database utente, l'utilizzo della CPU aumenta tra il 3% e l'8%. Le applicazioni che usano molto TempDB di SQL Server o eseguono analisi di grandi dimensioni su tabelle di grandi dimensioni sono più interessate. Quando almeno un database utente nell'istanza di SQL Server viene crittografato con TDE, vengono crittografati anche i database di sistema, ad esempio TempDB. SAP Business Warehouse (SAP BW) è un esempio di questo tipo di applicazione.
Nota
Se le chiavi di crittografia o i certificati vengono persi, i dati nel database crittografato andranno persi. È importante stabilire processi e passaggi completi per proteggere i backup dei certificati.
Un'implementazione TDE efficace richiede test completi e processi ben progettati per gestire i certificati e i backup dei certificati.
Funzionalità di SQL Server non supportate
SQL Server offre anche altre funzionalità per la protezione dei dati. Questi metodi consentono la crittografia parziale o la maschera sulla granularità delle colonne del database:
- Crittografia della colonna di SQL Server
- Maschera dati dinamica di SQL Server
- SQL Server sempre crittografato
In base alle restrizioni di questi tre metodi e alle modifiche richieste in molte aree dei componenti SAP NetWeaver, queste funzionalità non sono supportate da SAP.
La replica in tempo reale tra un database abilitato per TDE in SQL Server e SAP HANA non è supportata. Per altre informazioni, vedere la nota SAP OSS 2812637 - la replica in tempo reale non è supportata per il database MSSQL Server abilitato per TDE.
Crittografia dei backup
La crittografia del backup si verifica quando si crittografa il file di backup durante l'esecuzione del backup. Crittografa tutte le pagine di dati nel file di backup e crea un certificato o un requisito di chiave asimmetrica per ripristinare il file di backup, che impedisce un ripristino non autorizzato.
Se il database non è crittografato con TDE prima dell'esecuzione del backup crittografato, non viene comunque crittografato dopo il ripristino. Vengono crittografati solo i file di backup. Il file di database e il relativo contenuto non vengono modificati.
È possibile usare la crittografia di backup con TDE, ma non è utile perché i dati sono già crittografati nei file di database e nei file di backup. Quando si usa la crittografia di backup e TDE insieme, il database crittografato con il certificato TDE o le pagine di dati crittografate tramite chiave vengono crittografate di nuovo con il certificato o la chiave di backup. Questo metodo prolungare il processo di backup e aggiunge un carico di CPU aggiuntivo al sistema durante l'esecuzione del processo di backup.
Proteggere SQL Server e il sistema SAP
La protezione avanzata a livello di server e sistema operativo è essenziale per un sistema in esecuzione sicuro.
Attenersi alle raccomandazioni seguenti per proteggere SQL Server e il sistema SAP. Per altre informazioni, vedere la nota SAP OSS 2417205.
SQL Server si basa sull'implementazione di Windows del protocollo Transport Layer Security (TLS) e del protocollo SSL (Secure Sockets Layer) tramite il provider di supporto per la sicurezza SCHANNEL.
È possibile disabilitare il protocollo SSL perché TLS è ampiamente usato e supportato. La maggior parte del supporto tecnico di SQL Server e SAP usa il protocollo TLS 1.2 .
È possibile controllare la maggior parte delle impostazioni di sicurezza per SSP SCHANNEL tramite le modifiche del Registro di sistema nel ramo SCHANNEL corrispondente. Con queste impostazioni, è possibile controllare:
- Quali protocolli, ad esempio SSL e TLS, sono abilitati per la parte client e server della finestra di dialogo.
- Le crittografie, ad esempio RC2, RC4, Triple DES e AES, abilitate e l'ordine in cui sono abilitate.
- Algoritmi hash, ad esempio MD5 e SHA.
- Algoritmi di scambio delle chiavi, ad esempio Diffie-Hellman ed ECDH.
Le varie combinazioni di queste parti, ad esempio il protocollo, la crittografia e l'algoritmo di scambio di chiavi e hash, sono rappresentate in suite di crittografia. Quando si disabilita una di queste parti, ad esempio il protocollo SSL 2.0, tutte le suite di crittografia che contengono questa parte non sono utilizzabili per il sistema.
Nota
Quando si combinano più modifiche, il client, ad esempio il sistema SAP e il server, ad esempio SQL Server, potrebbero non essere in grado di usare una suite di crittografia per comunicare e il sistema SAP potrebbe non essere avviato.
È anche possibile controllare la priorità e la disponibilità dei pacchetti di crittografia nel sistema nell'editor criteri di gruppo locale.
- Passare a Criteri del computer locale, Configurazione del computer, Modelli Amministrativi, Rete, Impostazioni di configurazione SSL.
- Definire un ordine personalizzato della suite di crittografia SSL.
Questo ordine di elenco definisce la priorità usata dal sistema per i pacchetti di crittografia. Se si rimuove una suite di crittografia dall'elenco, non è più utilizzabile nel sistema. L'impostazione dei criteri di gruppo ha la priorità rispetto all'impostazione del registro SCHANNEL. Il reparto sicurezza controlla in genere questa impostazione in base ai criteri di gruppo. Tuttavia, il gruppo di amministrazione del database SAP Basis o SQL Server gestisce i problemi di connessione risultanti.
Prendere in considerazione l'uso dello strumento SAP, SCoTT, per analizzare i problemi relativi a protocolli o pacchetti di crittografia disabilitati. Lo strumento può analizzare i problemi di connessione tra il sistema SAP, ad esempio ABAP e Java, e SQL Server in esecuzione in Linux o Windows. Per altre informazioni, vedere la nota SAP 2846170.
Autenticazione
Ecco alcune considerazioni per l'autenticazione con SAP in Azure.
SAP NetWeaver in SQL Server ha requisiti specifici per gli account di avvio di SAP e SQL Server, l'autenticazione per l'istanza di SQL Server, il database SAP e l'accesso DBA. Per altre informazioni, vedere la nota SAP 1645041 - Account di accesso di SQL Server e il relativo utilizzo in ambienti SAP.
Il sistema SAP ABAP NetWeaver non richiede account di accesso di SQL Server perché tutte le connessioni usano autenticazione di Windows. Ad esempio, per l'utente
SAPService<SID>o<SID>administrator, è possibile disabilitare la funzionalità di autenticazione di SQL Server.Il sistema SAP JAVA NetWeaver richiede la funzionalità di autenticazione di SQL Server perché usa un accesso a SQL Server, ad esempio
SAP<SID>DB, per la connessione.Per SAP in SQL Server, è possibile disabilitare l'account amministratore di sistema di SQL Server perché i sistemi SAP in SQL Server non usano l'account. Assicurarsi che un altro utente con diritti di amministratore di sistema possa accedere al server prima di disabilitare l'account amministratore di sistema originale.
Un sistema a disponibilità elevata che usa SQL Server AlwaysOn ha requisiti specifici per account di accesso, utenti e processi. Tutti i server connessi al sistema devono avere esattamente gli stessi account di accesso e utenti, in modo che il sistema SAP possa connettersi anche se si verifica un failover in un altro nodo. Tutti i processi di SQL Server correlati a SAP devono avere lo stesso proprietario in tutti i nodi AlwaysOn. Per altre informazioni, vedere Sincronizzare account di accesso, processi e oggetti SAP.
SQL injection si verifica quando il codice dannoso viene unito in istruzioni SQL eseguite in SQL Server. Quando un report viene eseguito nel sistema SAP, genera istruzioni SQL generiche dal codice ABAP del report. Le istruzioni vengono inviate allo strato di database SAP e trasformate per SQL Server.
Questo livello di database è integrato nel processo di lavoro SAP e non è accessibile dall'esterno. Dopo la trasformazione in istruzioni specifiche di SQL Server, vengono inviate al database ed eseguite. Il risultato viene restituito al report chiamante. Queste istruzioni possono essere modificate solo a livello di database tra il sistema SAP e l'istanza di SQL Server, il che costituisce un attacco man-in-the-middle.
Nel sistema SAP usare connessioni crittografate tra il processo di lavoro e il database di SQL Server per evitare questi attacchi. La
DBACockpittransazione ha una finestra di comando SQL rudimentale per eseguire istruzioni SQL di base. Per altre informazioni, vedere la nota SAP 1027512 - MSSQL: cockpit DBA per la versione base 7.00 e versioni successive.
Controllo
Disabilita
xp_cmdshell. La funzionalitàxp_cmdshellSQL Server abilita una shell dei comandi del sistema operativo interno di SQL Server. Si tratta di un rischio potenziale nei controlli di sicurezza.Questa funzionalità è attiva quando si installa SAP. Raccoglie e visualizza i dati del sistema operativo nella transazione
DBACockpit. Se si disabilita l'impostazione, alcuni dati di monitoraggio non sono disponibili nella transazioneDBACockpite nella finestra delDBACockpitmessaggio viene visualizzato un messaggio di avviso. Per altre informazioni, nota SAP 3019299 - Domande di controllo della sicurezza o personalizzazione della sicurezza nei sistemi NetWeaver e SQL Server.Configurare correttamente gli scanner di virus. SAP supporta gli scanner di virus per la protezione da virus e altri malware, ma uno scanner di virus non configurato correttamente può causare problemi di prestazioni o persino danneggiamento del database. Per configurare e configurare uno scanner antivirus nel sistema operativo per un sistema SAP NetWeaver, vedere la nota SAP 106267 - Software antivirus in Windows. Per un database di SQL Server, impostare le configurazioni appropriate per evitare problemi di prestazioni e danneggiamento. Per configurazioni dettagliate, vedere Come scegliere il software antivirus da eseguire nei computer che eseguono SQL Server.