Infoday for Public Sector Přehled řešení SAP pro oblast bezpečnosti
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
1
IT Aplikační bezpečnost Řešení SAP pro zabezpečení aplikací Řízení přístupů a identity (IAM)
Zabezpečení kódu
Správa identit, oprávnění, rolí a administrace Zabezpečené používání SAP a eliminace rizik plynoucích z konfliktních oprávnění
SAP Identity Management
SAP GRC Access Control
Autentizace a Single Sign-On
SAP Single Sign-On
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
SAP Cloud Identity (HCP)
Hledání bezp. děr v ABAP kódu
SAP NW AS add-on for code vulnerability analysis
Útoky a hrozby
Detekce kybernetických útoků Monitorování systémů SAP, non-SAP, infrastrukturních komponent
SAP Enterprise Threat Detection
Logování
Kdo, kdy, jaká data, jakou transakcí nebo uživat. rozhraním
SAP Read Access Logging
2
Agenda
Řízení přístupů a identit • Identity Management • Single Sign On
• Access Control
Prevence a detekce útoků • Read Access Logging • SAP NW code vulnerability analysis
• Enterprise Threat Detection
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
3
Proč potřebujete Identity Management Zvyšování operativních nákladů
Obhospodařování mnoha zdrojů dat o identitách. Manuální administrace uživatelů administrátory zdržuje nástupy/výpovědi pracovníků i jejich přeřazování. Schvalování přístupů přes pracné postupy založené na papírových formulářích. Závislost uživatelů na odezvách helpdesků.
Měnící se firemní procesy
Procesy fungující přes více organizací s aktivní participací partnerských organizací. Specifické požadavky na správu identit pro různá odvětví Nekonsistentní a neřízené rozrůstání procesů.
Požadavky na auditovatelnost
Žádný záznam o tom, kdo a kdy přistupoval ke konkrétnímu IT zdroji Nemožnost zrušit oprávnění v okamžiku výpovědi. Poskytnout auditorovi kompletní auditní stopu Zabránit neautorizovaným přístupům v prostředí sdíleném více organizacemi.
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
4
Identity Lifecycle
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
5
SAP NetWeaver Identity Management Holistic Approach Identity virtualization and identity as service
e.g. on-boarding
Compliance checks through GRC
Reporting
SAP Business Suite Integration
SAP BusinessObjects Access Control (GRC) Rule-based assignment of business roles
© 2014 SAP SE or an SAP affiliate company. All rights reserved.
SAP NetWeaver Identity Management Password management
Web-based Single Sign-On & Identity Federation
Approval workflows Central Identity Store
Provisioning to SAP and non-SAP systems
6
Role Definition and Provisioning Role Definition (design, one-time task) Read system access information (roles, groups, authorizations, etc.) from target systems
Business Roles
Define a business role hierarchy
Manager
Assign technical roles to business roles Accounting
Develop rules for role assignments Employee
Provisioning (regularly)
Assign or remove roles to/from people Through request/approval workflow Manually (administrator) Automatically, e.g. HR-driven
Automatic adjustment of master data and assignments of technical authorizations in target systems ©©2014 2014SAP SAPSE SEororananSAP SAPaffiliate affiliatecompany. company.AllAllrights rightsreserved. reserved.
Technical Roles E-mail
AD user
E-Mail System
Active Directory
End user
Accounting
HR manager
(Portal role)
(ABAP role)
(ABAP role)
SAP Portal
SAP FI
SAP HR
77
Compliant, Business-Driven Identity Management Requirement: Provide automated, position-based role management while ensuring compliance
Reduce TCO by simplifying assignment of roles and privileges to users, triggered by HCM events Reduce risk through compliance checks and remediation Automate manual processes through integration with SAP Business Suite
New Hire
Calculate entitlements based on position
Compliance check Remediation
Create user Assign roles
Approve assignments Yes
Create User Assign roles No Create User Assign privileges
HCM
SAP NetWeaver Identity Management
© 2012 SAP AG. All rights reserved.
SAP BusinessObjects Access Control
Line Manager
Landscape
8
Reporting with Lumira
Customer-specific reposts/analyses for identity management Rich graphical capabilities for
visualizing and utilizing reported data Low integration and maintenance efforts Easy extension
© 2012 SAP AG. All rights reserved.
9
SAP NetWeaver Identity Management Connectivity – Overview Other
Applications
SAP Application Server Microsoft Windows NT Directory Unix/Linux Servers Shell execute Custom Java connector API Script-based connector API
SAP Business Suite SAP BusinessObjects Access Control (GRC) Lotus Domino / Notes Microsoft Exchange RSA ClearTrust RSA SecurID
Databases
Technical
SPML (Services Provisioning Markup Language) LDAP ODBC / JDBC / OLE-DB RFC LDIF files XML files CSV files
Microsoft SQL Server Microsoft Access Oracle database IBM UDB (DB2) MySQL Sybase SAP HANA
Directory Servers
Microsoft Active Directory IBM Tivoli Directory Novell eDirectory SunONE Java Directory © 2012 SAP AG. All rights reserved.
Oracle Internet Directory Microsoft Active Directory Application Mode (ADAM) Siemens DirX OpenLDAP
eB2Bcom View500 Directory Server CA eTrust Directory SAP NetWeaver IDM Virtual Directory Server Any LDAP v3 compliant directory server 10
SAP Single Sign-on
SAP Single Sign-On – o čem to je?
Jediná autentizace a následný přístup k SAP i nonSAP aplikacím se zachováním bezpečného a uživatelsky přátelského prostředí. Dodržení firemních i legislativních požadavků. Vylepšení bezpečnostních standardů a tím zvýšení
ochrany organizace.
© 2012 SAP AG. All rights reserved.
12
SAP Single Sign-On – Product Description SAP Single Sign-On provides a simple and secure access to IT applications for business users, encrypts company data and provides optionally advanced security to protect important business applications. Simple and secure access Web and mobile single sign-on Single sign-on for native SAP clients Supports on-cloud and on-premise landscapes Secure data communication Encryption of data communication for SAP GUI Digital signatures FIPS certification of security functions Advanced security capabilities 2-factor authentication Risk based authentication using access policies RFID based authentication Hardware security module support © 2012 SAP AG. All rights reserved.
13
Two-Factor Authentication with SAP Authenticator Authentication with One-Time Passwords Recommended for increased security scenarios Authentication requires two means of identification Knowledge of regular password Possession of mobile device that generates the one-time password
Based on SAP Authenticator Mobile App One-time password generated by app Available for iOS and Android RFC 6238 compatible
Usage Scenarios Available as additional protection level for single sign-on scenarios based on X.509 certificates and SAML Integrated with Secure Login Server and Identity Provider © 2012 SAP AG. All rights reserved.
14
SAP GRC Access Control
Přístup do systému Nejčastější problém je kvalitní oddělení pravomocí
Tvorba dodavatele
Platba dodavateli
Tvorba dodavatele
Platba dodavateli
V průměrně velkém systému ERP je mezi 50,000 a 100,000 kombinací autorizací, které vedou k potenciálnímu problému konfliktu pravomocí. © 2012 SAP AG. All rights reserved.
16
SAP GRC Access Control Řízení přístupových oprávnění v souladu s SoD
Monitoring a práva
X
Identifikace rizik a nápravná opatření
SAP_ALL
Přístupová práva nouzového přístupu
Odstranění konfliktů Kompenzační kontroly
Certifikace přístupů Nepřetržité řízení Legacy
přístupových práv Pro SAP i non-SAP systémy
Správa podnikových rolí Zabránění vzniku konfliktů
© 2012 SAP AG. All rights reserved.
17
SAP GRC Access Control Zabezpečené používání SAP a eliminace rizik plynoucích z konfliktních oprávnění
Minimální čas k dosažení shody
Nepřetržité řízení přístupových práv
Efektivní řízení dohledu a auditu
(Odstranění neshod)
(Zabránění vzniku neshod)
(Ucelený přehled)
Identifikace rizik a nápravná opatření
Správa podnikových rolí
Bezchybné přidělení přístupových práv
Správa přístupových práv superuživatelů
Periodická kontrola a audit přístupů
Rychlé, efektivní a komplexní řešení iniciální nedostatků
Dosažení SoD již při zavádění řešení.
Prevence narušení SoD v reálném čase
Řešení zásadního problému auditu – Dočasné přístupy
Řešení problémů v rámci opakovaných auditů
Analýza rizik, nápravné a preventivní služby Celopodniková knihovna vzorových pravidel pro oddělení pravomocí
* SoD – Segregation of Duties
© 2012 SAP AG. All rights reserved.
18
SAP NW Read Access Logging
Požadavky zákazníků na přístup k datům
Soulad s legislativou ochrany citlivých údajů Soulad s odvětvovými standardy (např. Zákon o ochraně osobních údajů) Monitoruje přístup do specificky klasifikovaných, nebo citlivých dat (např. platy) Monitoruje pouze ty akce uživatele, které je nutno monitorovat. Citlivé údaje neloguje, nebo je následně odmazává.
SAP poskytuje řešení, které umožňuje logovat přístup (čtení) k citlivým datům:
Read Access Logging
© 2012 SAP AG. All rights reserved.
20
Features Read access logging (RAL) umožňuje sledovat přístup k datům: Kdo nahlížel na data Na která data nahlížel Kdy bylo přistupováno k datům Jakým způsobem bylo k datům přistupováno (transakce nebo uživatelský intreface) Detail logování je nastavitelný a záleží na:
Uživatelském interface použitém k přístupu k datům Operace provedená na vzdáleném API Uživatel užívající zdálené API / uživatelský interface
Konkrétní vstupy a jejich obsah © 2012 SAP AG. All rights reserved.
21
The Way it Works
© 2012 SAP AG. All rights reserved.
22
Analyzing Logged Data (Big Picture)
© 2012 SAP AG. All rights reserved.
23
Recording and Configuration for UI Channels
© 2012 SAP AG. All rights reserved.
24
Availability
NW 7.40 SP4 - Development Code line NW 7.31 SP9 NW 7.30 SP11 NW 7.11 SP13 NW 7.02 SP15 NW 7.01 SP15 For legacy releases, you can use the UI logging solution from SAP Custom Development services
© 2012 SAP AG. All rights reserved.
25
SAP NW Code Vulnerability analysis
SAP NW Code Vulnerability analysis – o co jde? Jedná se o nový plug-in do vývojového prostředí v ABAP Zabezpečuje kontroly kódu z pohledu bezpečnosti Je k dispozici pro NW 7.0, EhP2, SP14, NW 7.3, EhP1, SP09 a NW 7.40, SP05 Jedná se o samostatně licencovaný produkt Funkcionalita je integrována do transakce SLIN, nebo do ABAP Test Cockpit (ATC)
© 2012 SAP AG. All rights reserved.
27
SAP NW Code Vulnerability analysis – použití
Příklad:
DATA(cond) = `country = 'DE' AND name = '` && name && `'`. by mělo být nahrazeno: DATA(cond) = `country = 'DE' AND name = '` &&
cl_abap_dyn_prg=>escape_quotes( name ) && `'`.
Bližší dokumentace je k dispozici na: http://help.sap.com/abapdocu_740/en/index.htm?url=abenabap_security.htm
© 2012 SAP AG. All rights reserved.
28
SAP Enterprise Threat Detection
SAP Enteprise Threat Detection Účel řešení
Architektura
• Automaticky detekuje podezřelé aktivity • Včasná detekce kybernetických útoků • Umožňuje analýzu hrozeb v reálném čase Jak to funguje? • Uchovává bezpečnostní události v centrální databázi • Obohacuje události o informace o kontextu • Automaticky vyhodnocuje vzorce potenciálních útoků a generuje upozornění. Dodaný obsah pro vyhodnocení od SAP může být obohacován dle přání zákazníka. Audience
• • • •
CIO, CEO Ředitel bezpečnosti Ředitel IT oddělení Tým oddělení bezpečnosti
Vliv na IT infrastrukturu
• SAP Enterprise Threat Detection je provozován na SAP • •
HANA platformě. Monitorované SAP systémy mohou být provozovány na jakékoliv databázi. Extraktor logů je k dispozici na základě SAP Note a service pack. Integrace non-SAP dat je založená na definovaném SAP API © 2014 SAP AG. All rights reserved.
30
How the solution works?
© 2014 SAP AG. All rights reserved.
31
Data model of SAP Enterprise Threat Detection
Normalization of log data Information content of the source is not reduced Unified representation of time stamps, user identities, … Maintenance of additional information
Data model is generic enough to cover customer-specific scenarios
Security Audit Log
User Change Log
… LogBusiness Transactio HTTP Log n Log Read Access Log
System Log
Unified Log
Customerspecific Log
© 2014 SAP AG. All rights reserved.
32
Identify attack patterns
© 2014 SAP AG. All rights reserved.
33
Architektura SAP ETD
Non-SAP Systems
RAL
© 2014 SAP AG. All rights reserved.
34
Děkujeme za pozornost!
Tomáš Hladík Solution Architect Consulting SAP ČR, spol. s r.o. Budova BBC Beta Vyskočilova 1481/4 140 00 Praha, M +420 606 729 602 E
[email protected]
© 2015 SAP SE or an SAP affiliate company. All rights reserved. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company. SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company) in Germany and other countries. Please see http://global12.sap.com/corporate-en/legal/copyright/index.epx for additional trademark information and notices. Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors. National product specifications may vary. These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP SE or its affiliated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or SAP affiliate company products and services are those that are set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty. In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.
© 2015 SAP SE or an SAP affiliate company. All rights reserved.
Public
36