Infoday for Public Sector

Infoday for Public Sector Přehled řešení SAP pro oblast bezpečnosti

© 2014 SAP SE or an SAP affiliate company. All rights reserved.

1

IT Aplikační bezpečnost Řešení SAP pro zabezpečení aplikací Řízení přístupů a identity (IAM)

Zabezpečení kódu

Správa identit, oprávnění, rolí a administrace Zabezpečené používání SAP a eliminace rizik plynoucích z konfliktních oprávnění

SAP Identity Management

SAP GRC Access Control

Autentizace a Single Sign-On

SAP Single Sign-On


SAP Cloud Identity (HCP)

Hledání bezp. děr v ABAP kódu

SAP NW AS add-on for code vulnerability analysis

Útoky a hrozby

Detekce kybernetických útoků Monitorování systémů SAP, non-SAP, infrastrukturních komponent

SAP Enterprise Threat Detection

Logování

Kdo, kdy, jaká data, jakou transakcí nebo uživat. rozhraním

SAP Read Access Logging

2

Agenda



Řízení přístupů a identit • Identity Management • Single Sign On

• Access Control



Prevence a detekce útoků • Read Access Logging • SAP NW code vulnerability analysis

• Enterprise Threat Detection


3

Proč potřebujete Identity Management Zvyšování operativních nákladů

 Obhospodařování mnoha zdrojů dat o identitách.  Manuální administrace uživatelů administrátory zdržuje nástupy/výpovědi pracovníků i jejich přeřazování.  Schvalování přístupů přes pracné postupy založené na papírových formulářích.  Závislost uživatelů na odezvách helpdesků.

Měnící se firemní procesy

 Procesy fungující přes více organizací s aktivní participací partnerských organizací.  Specifické požadavky na správu identit pro různá odvětví  Nekonsistentní a neřízené rozrůstání procesů.

Požadavky na auditovatelnost

 Žádný záznam o tom, kdo a kdy přistupoval ke konkrétnímu IT zdroji  Nemožnost zrušit oprávnění v okamžiku výpovědi.  Poskytnout auditorovi kompletní auditní stopu  Zabránit neautorizovaným přístupům v prostředí sdíleném více organizacemi.


4

Identity Lifecycle


5

SAP NetWeaver Identity Management Holistic Approach Identity virtualization and identity as service

e.g. on-boarding

Compliance checks through GRC

Reporting

SAP Business Suite Integration

SAP BusinessObjects Access Control (GRC) Rule-based assignment of business roles


SAP NetWeaver Identity Management Password management

Web-based Single Sign-On & Identity Federation

Approval workflows Central Identity Store

Provisioning to SAP and non-SAP systems

6

Role Definition and Provisioning Role Definition (design, one-time task) Read system access information (roles, groups, authorizations, etc.) from target systems

Business Roles

Define a business role hierarchy

Manager

Assign technical roles to business roles Accounting

Develop rules for role assignments Employee

Provisioning (regularly)

Assign or remove roles to/from people  Through request/approval workflow  Manually (administrator)  Automatically, e.g. HR-driven

Automatic adjustment of master data and assignments of technical authorizations in target systems ©©2014 2014SAP SAPSE SEororananSAP SAPaffiliate affiliatecompany. company.AllAllrights rightsreserved. reserved.

Technical Roles E-mail

AD user

E-Mail System

Active Directory

End user

Accounting

HR manager

(Portal role)

(ABAP role)

(ABAP role)

SAP Portal

SAP FI

SAP HR

77

Compliant, Business-Driven Identity Management Requirement: Provide automated, position-based role management while ensuring compliance

 Reduce TCO by simplifying assignment of roles and privileges to users, triggered by HCM events  Reduce risk through compliance checks and remediation  Automate manual processes through integration with SAP Business Suite

New Hire

Calculate entitlements based on position

Compliance check Remediation

Create user Assign roles

Approve assignments Yes

Create User Assign roles No Create User Assign privileges

HCM

SAP NetWeaver Identity Management

© 2012 SAP AG. All rights reserved.

SAP BusinessObjects Access Control

Line Manager

Landscape

8

Reporting with Lumira

Customer-specific reposts/analyses for identity management Rich graphical capabilities for

visualizing and utilizing reported data Low integration and maintenance efforts Easy extension


9

SAP NetWeaver Identity Management Connectivity – Overview Other

Applications

 SAP Application Server  Microsoft Windows NT Directory  Unix/Linux Servers  Shell execute  Custom Java connector API  Script-based connector API

 SAP Business Suite  SAP BusinessObjects Access Control (GRC)  Lotus Domino / Notes  Microsoft Exchange  RSA ClearTrust  RSA SecurID

Databases

Technical

      

 SPML (Services Provisioning Markup Language)  LDAP  ODBC / JDBC / OLE-DB  RFC  LDIF files  XML files  CSV files

Microsoft SQL Server Microsoft Access Oracle database IBM UDB (DB2) MySQL Sybase SAP HANA

Directory Servers    

Microsoft Active Directory IBM Tivoli Directory Novell eDirectory SunONE Java Directory © 2012 SAP AG. All rights reserved.

 Oracle Internet Directory  Microsoft Active Directory Application Mode (ADAM)  Siemens DirX  OpenLDAP

 eB2Bcom View500 Directory Server  CA eTrust Directory  SAP NetWeaver IDM Virtual Directory Server  Any LDAP v3 compliant directory server 10

SAP Single Sign-on

SAP Single Sign-On – o čem to je?

Jediná autentizace a následný přístup k SAP i nonSAP aplikacím se zachováním bezpečného a uživatelsky přátelského prostředí. Dodržení firemních i legislativních požadavků. Vylepšení bezpečnostních standardů a tím zvýšení

ochrany organizace.


12

SAP Single Sign-On – Product Description SAP Single Sign-On provides a simple and secure access to IT applications for business users, encrypts company data and provides optionally advanced security to protect important business applications. Simple and secure access Web and mobile single sign-on Single sign-on for native SAP clients Supports on-cloud and on-premise landscapes Secure data communication Encryption of data communication for SAP GUI Digital signatures FIPS certification of security functions Advanced security capabilities 2-factor authentication Risk based authentication using access policies RFID based authentication Hardware security module support © 2012 SAP AG. All rights reserved.

13

Two-Factor Authentication with SAP Authenticator Authentication with One-Time Passwords Recommended for increased security scenarios Authentication requires two means of identification Knowledge of regular password Possession of mobile device that generates the one-time password

Based on SAP Authenticator Mobile App One-time password generated by app Available for iOS and Android RFC 6238 compatible

Usage Scenarios Available as additional protection level for single sign-on scenarios based on X.509 certificates and SAML Integrated with Secure Login Server and Identity Provider © 2012 SAP AG. All rights reserved.

14

SAP GRC Access Control

Přístup do systému Nejčastější problém je kvalitní oddělení pravomocí

Tvorba dodavatele

Platba dodavateli

Tvorba dodavatele

Platba dodavateli

V průměrně velkém systému ERP je mezi 50,000 a 100,000 kombinací autorizací, které vedou k potenciálnímu problému konfliktu pravomocí. © 2012 SAP AG. All rights reserved.

16

SAP GRC Access Control Řízení přístupových oprávnění v souladu s SoD

Monitoring a práva

X

Identifikace rizik a nápravná opatření

SAP_ALL

Přístupová práva nouzového přístupu

Odstranění konfliktů Kompenzační kontroly

Certifikace přístupů Nepřetržité řízení Legacy

přístupových práv Pro SAP i non-SAP systémy

Správa podnikových rolí Zabránění vzniku konfliktů


17

SAP GRC Access Control Zabezpečené používání SAP a eliminace rizik plynoucích z konfliktních oprávnění

Minimální čas k dosažení shody

Nepřetržité řízení přístupových práv

Efektivní řízení dohledu a auditu

(Odstranění neshod)

(Zabránění vzniku neshod)

(Ucelený přehled)

Identifikace rizik a nápravná opatření

Správa podnikových rolí

Bezchybné přidělení přístupových práv

Správa přístupových práv superuživatelů

Periodická kontrola a audit přístupů

Rychlé, efektivní a komplexní řešení iniciální nedostatků

Dosažení SoD již při zavádění řešení.

Prevence narušení SoD v reálném čase

Řešení zásadního problému auditu – Dočasné přístupy

Řešení problémů v rámci opakovaných auditů

Analýza rizik, nápravné a preventivní služby Celopodniková knihovna vzorových pravidel pro oddělení pravomocí

* SoD – Segregation of Duties


18

SAP NW Read Access Logging

Požadavky zákazníků na přístup k datům

Soulad s legislativou ochrany citlivých údajů Soulad s odvětvovými standardy (např. Zákon o ochraně osobních údajů) Monitoruje přístup do specificky klasifikovaných, nebo citlivých dat (např. platy) Monitoruje pouze ty akce uživatele, které je nutno monitorovat. Citlivé údaje neloguje, nebo je následně odmazává.

SAP poskytuje řešení, které umožňuje logovat přístup (čtení) k citlivým datům:

Read Access Logging


20

Features Read access logging (RAL) umožňuje sledovat přístup k datům: Kdo nahlížel na data Na která data nahlížel Kdy bylo přistupováno k datům Jakým způsobem bylo k datům přistupováno (transakce nebo uživatelský intreface) Detail logování je nastavitelný a záleží na:

Uživatelském interface použitém k přístupu k datům Operace provedená na vzdáleném API Uživatel užívající zdálené API / uživatelský interface

Konkrétní vstupy a jejich obsah © 2012 SAP AG. All rights reserved.

21

The Way it Works


22

Analyzing Logged Data (Big Picture)


23

Recording and Configuration for UI Channels


24

Availability

NW 7.40 SP4 - Development Code line  NW 7.31 SP9  NW 7.30 SP11  NW 7.11 SP13  NW 7.02 SP15  NW 7.01 SP15 For legacy releases, you can use the UI logging solution from SAP Custom Development services


25

SAP NW Code Vulnerability analysis

SAP NW Code Vulnerability analysis – o co jde? Jedná se o nový plug-in do vývojového prostředí v ABAP Zabezpečuje kontroly kódu z pohledu bezpečnosti Je k dispozici pro NW 7.0, EhP2, SP14, NW 7.3, EhP1, SP09 a NW 7.40, SP05 Jedná se o samostatně licencovaný produkt Funkcionalita je integrována do transakce SLIN, nebo do ABAP Test Cockpit (ATC)


27

SAP NW Code Vulnerability analysis – použití

Příklad:

DATA(cond) = `country = 'DE' AND name = '` && name && `'`. by mělo být nahrazeno: DATA(cond) = `country = 'DE' AND name = '` &&

cl_abap_dyn_prg=>escape_quotes( name ) && `'`.

Bližší dokumentace je k dispozici na: http://help.sap.com/abapdocu_740/en/index.htm?url=abenabap_security.htm


28

SAP Enterprise Threat Detection

SAP Enteprise Threat Detection Účel řešení

Architektura

• Automaticky detekuje podezřelé aktivity • Včasná detekce kybernetických útoků • Umožňuje analýzu hrozeb v reálném čase Jak to funguje? • Uchovává bezpečnostní události v centrální databázi • Obohacuje události o informace o kontextu • Automaticky vyhodnocuje vzorce potenciálních útoků a generuje upozornění. Dodaný obsah pro vyhodnocení od SAP může být obohacován dle přání zákazníka. Audience

• • • •

CIO, CEO Ředitel bezpečnosti Ředitel IT oddělení Tým oddělení bezpečnosti

Vliv na IT infrastrukturu

• SAP Enterprise Threat Detection je provozován na SAP • •

HANA platformě. Monitorované SAP systémy mohou být provozovány na jakékoliv databázi. Extraktor logů je k dispozici na základě SAP Note a service pack. Integrace non-SAP dat je založená na definovaném SAP API © 2014 SAP AG. All rights reserved.

30

How the solution works?


31

Data model of SAP Enterprise Threat Detection

Normalization of log data  Information content of the source is not reduced  Unified representation of time stamps, user identities, …  Maintenance of additional information

Data model is generic enough to cover customer-specific scenarios

Security Audit Log

User Change Log

… LogBusiness Transactio HTTP Log n Log Read Access Log

System Log

Unified Log

Customerspecific Log


32

Identify attack patterns


33

Architektura SAP ETD

Non-SAP Systems

RAL


34

Děkujeme za pozornost!

Tomáš Hladík Solution Architect Consulting SAP ČR, spol. s r.o. Budova BBC Beta Vyskočilova 1481/4 140 00 Praha, M +420 606 729 602 E [email protected]

© 2015 SAP SE or an SAP affiliate company. All rights reserved. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company. SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company) in Germany and other countries. Please see http://global12.sap.com/corporate-en/legal/copyright/index.epx for additional trademark information and notices. Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors. National product specifications may vary. These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP SE or its affiliated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or SAP affiliate company products and services are those that are set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty. In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.


Public

36

Infoday for Public Sector

Recommend Documents