SAP HANA turvalisus: täielik õpetus

Lang L: none (table-of-contents):

Anonim
Mis on Sap Hana turvalisus?

SAP HANA Security kaitseb olulisi andmeid volitamata juurdepääsu eest ning tagab, et standardid ja vastavus vastavad ettevõtte poolt vastu võetud turvastandarditele.

SAP HANA pakub võimalust, st mitmepalgeline andmebaas, kuhu saab ühe SAP HANA süsteemiga luua mitu andmebaasi. Seda tuntakse kui mitmepalgelist andmebaasikonteinerit. Nii et SAP HANA pakub kõigi mitmemõõtmeliste andmebaasikonteinerite jaoks kõiki turvalisusega seotud funktsioone.

SAP HANA pakub järgmist turvalisusega seotud funktsiooni -

  • Kasutaja ja rollihaldus
  • Volitamine
  • Autentimine
  • Andmete krüptimine püsikihis
  • Andmete krüptimine võrgukihis

SAP HANA kasutaja ja roll

SAP HANA kasutajate ja rollihalduse konfiguratsioon sõltub allpool toodud arhitektuurist -

  1. 3-astmeline arhitektuur.

    SAP HANA-d saab kasutada relatsiooniandmebaasina kolmetasandilises arhitektuuris.

    Selles arhitektuuris on rakenduse serveri kihtidele installitud turvafunktsioonid (autoriseerimine, autentimine, krüptimine ja audit).

    SAP-rakendus (ERP, BW jne) ühendub andmebaasiga ainult tehnilise kasutaja või andmebaasi administraatori (Basis Person) abiga. Lõppkasutajal pole juurdepääsu andmebaasile ega andmebaasiserverile.

  1. 2-astmeline arhitektuur.

    SAP HANA laiendatud rakendusteenused (SAP HANA XS) põhinevad 2-astmelisel arhitektuuril, milles rakendusserver, veebiserver ja arenduskeskkond on integreeritud ühte süsteemi.

SAP HANA autentimine

Andmebaasi kasutaja tuvastab, kes pääseb juurde SAP HANA andmebaasile. Seda kontrollitakse protsessi abil, mille nimi on "Autentimine". SAP HANA toetab paljusid autentimismeetodeid. Ühekordset sisselogimist (SSO) kasutatakse mitme autentimismeetodi integreerimiseks.

SAP HANA toetab järgmist autentimismeetodit -

  • Kerberos: seda saab kasutada järgmisel juhul -
    • Otse JDBC ja ODBC kliendilt (SAP HANA Studio).
    • Kui HTTP-d kasutatakse SAP HANA XS-i juurdepääsuks.
  • Kasutajanimi Parool

    Kui kasutaja sisestab oma andmebaasi kasutajanime ja parooli, siis autentib SAP HANA andmebaas kasutaja.

  • Turvalisuse kinnitamise märgistuskeel (SAML)

    SAML-i saab kasutada SAP HANA kasutaja autentimiseks, kellel on juurdepääs SAP HANA andmebaasile otse ODBC / JDBC kaudu. See on välise kasutaja identiteedi kaardistamine sisemise andmebaasi kasutajaga, nii et kasutaja saab SAP-i andmebaasi sisse logida välise kasutaja ID-ga.

  • SAP-i sisselogimise ja kinnitamise piletid

    Kasutajat saab autentida sisselogimis- või kinnituspiletitega, mis on konfigureeritud ja väljastatud kasutajale pileti loomiseks.

  • X.509 klientide sertifikaadid

    Kui SAP HANA XS pääseb HTTP kaudu, saab kasutaja autentimiseks kasutada usaldusväärse sertifitseerimisasutuse (CA) allkirjastatud kliendi sertifikaate.

SAP HANA autoriseerimine

SAP HANA autoriseerimine on vajalik, kui kasutaja kasutab SAP HANA andmebaasile juurdepääsu kliendiliidest (JDBC, ODBC või HTTP).

Sõltuvalt kasutajale antud autoriseerimisest saab see andmebaasiobjektiga andmebaasioperatsioone teha. Seda volitust nimetatakse "privileegideks".

Eelisõigusi saab kasutajale anda otse või kaudselt (rollide kaudu). Kõik kasutajatele määratud privileegid on ühendatud ühe üksusena.

Kui kasutaja proovib juurde pääseda mis tahes SAP HANA andmebaasi objektile, kontrollib HANA süsteem kasutaja autoroolide kaudu kasutaja autoriseerimist ja annab õigused otse.

Kui nõutakse, et privileegid on leitud, jätab HANA süsteem täiendavad kontrollid vahele ja annab juurdepääsu päringu andmebaasi objektidele.

SAP HANA-s on järgmised privileegid -

Privileegide tüübid Kirjeldus
Süsteemi privileegid See kontrollib süsteemi normaalset aktiivsust. Süsteemi privileege kasutatakse peamiselt -
  • Skeemi loomine ja kustutamine SAP HANA andmebaasis
  • Kasutaja ja rolli haldamine SAP HANA andmebaasis
  • SAP HANA andmebaasi jälgimine ja jälgimine
  • Andmete varundamine
  • Litsentsi haldamine
  • Versiooni haldamine
  • Auditi juhtimine
  • Sisu importimine ja eksportimine
  • Tarneüksuste säilitamine
Objekti privileegid Objektiõigused on SQL-i õigused, mida kasutatakse andmebaasi objektide lugemiseks ja muutmiseks volituse andmiseks. Andmebaasiobjektidele juurde pääsemiseks vajab kasutaja andmebaasiobjektide või skeemi, milles andmebaasiobjekt olemas, objektiõigusi. Objektiõigusi saab anda kataloogiobjektidele (tabel, vaade jne) või kataloogivälistele objektidele (arendusobjektid). Objektiõigused on järgmised:
  • LOE KÕIK
  • UUENDAMINE, INSERT, SELECT, DELETE, DROP, ALTER, EXECUTE
  • INDEKS, TRIGGER, VEEBILE, VIITED
Analüütilised privileegid Analüütilisi õigusi kasutatakse SAP HANA teabemudeli (atribuutivaade, analüütiline vaade, arvutusvaade) andmetele juurdepääsu lugemiseks.
  • Seda õigust hinnatakse päringu töötlemise käigus.
  • Analüütilised privileegid annavad kasutajale erineva juurdepääsu erinevatele andmetele
  • Kasutaja rollil põhinev sama teabevaade.
  • Analüütilisi privileege kasutatakse SAP HANA andmebaasis rea taseme andmete esitamiseks
Üksikute kasutajate kontroll andmete nägemiseks on samas vaates.
Paketiõigused Paketiõigusi kasutatakse SAP HANA hoidlas üksikute pakettidega toimingute jaoks autoriseerimise pakkumiseks.
Rakenduse privileegid Rakenduseõigused on rakenduses SAP HANA laiendatud rakendusteenustes (SAP HANA XS) nõutavad juurdepääsuõigusi. Rakenduse õigused antakse ja tühistatakse skeemil _SYS_REPO protseduuride protseduurideGRANT_APPLICATION_PRIVILEGE ja REVOKE_APPLICATION_PRIVILEGE kaudu.
Kasutaja privileegid See on SQL privileegid, mida kasutaja saab anda oma kasutajale. ATTACH DEGUGGER on ainus privileeg, mille kasutajale anda saab.

SAP HANA kasutajate haldamine ja rollihaldus

SAP HANA andmebaasi juurde pääsemiseks on vaja kasutajaid. Sõltuvalt erinevast turbepoliitikast on SAP HANA-s kahte tüüpi kasutajaid, nagu allpool -

  1. Tehniline kasutaja (DBA kasutaja) - see on kasutaja, kes töötab otseselt SAP HANA andmebaasiga vajalike õigustega. Tavaliselt neid kasutajaid andmebaasist ei kustutata.

    Need kasutajad on loodud haldusülesande jaoks, näiteks objekti loomiseks ja õiguste andmiseks andmebaasiobjektile või rakendusele.

    SAP HANA andmebaasisüsteem pakub vaikimisi järgmist kasutajat standardse

  • SÜSTEEM
  • SYS
  • _SYS_REPO
  1. Andmebaas või tegelik kasutaja: iga kasutaja, kes soovib töötada SAP HANA andmebaasis, vajab andmebaasi kasutajat. Andmebaasi kasutaja on reaalne isik, kes töötab SAP HANA-s.

    Allpool on kahte tüüpi andmebaasi kasutajaid -

Kasutaja tüüp Kirjeldus Roll on määratud
Tavakasutaja See kasutaja saab luua objekte oma skeemis ja loeb andmeid süsteemivaadetes. Standardkasutaja loodud lause "CREATE USER" abil. PUBLIC roll määratakse loetud süsteemivaadetele.
Piiratud kasutaja Piiratud kasutajal puudub täielik SQL-i juurdepääs SQL-i konsooli kaudu ja see on loodud käsuga "CREATE RESTRICTED USER". Kui mis tahes rakenduse kasutamiseks on vaja privileege, antakse need rolli kaudu.
  • Piiratud kasutaja ei saa andmebaasi objekte luua.
  • Piiratud kasutaja ei saa andmebaasis andmeid vaadata.
  • Piiratud kasutaja loob ühenduse andmebaasiga ainult HTTP kaudu.
  • Kliendiühenduse ODBC / JDBC juurdepääs peab olema lubatud SQL-i avaldusega.
 ODBC / JDBC funktsioonide täielikuks juurdepääsuks on kasutajal vajalik roll RESTRICTED_USER_ODBC_ACCESS või RESTRICTED_USER_JDBC_ACCESS

SAP HANA kasutajaadministraatoril on juurdepääs järgmisele tegevusele -

  1. Kasutaja loomine / kustutamine.
  2. Määrake ja looge roll.
  3. Andke kasutajale roll.
  4. Kasutaja parooli lähtestamine.
  5. Kasutaja uuesti aktiveerimine / desaktiveerimine vastavalt nõudele.
  1. Kasutaja loomine SAP HANA-s - ainult ROLE ADMIN-i õigustega andmebaasi kasutaja saab luua kasutaja ja rolli SAP HANA-s.

    Samm 1) Uue kasutaja loomiseks SAP HANA Stuudios minge vahekaardile Turvalisus, nagu allpool näidatud, ja järgige järgmisi samme;

    1. Minge turvasõlme.
    2. Valige Kasutajad (paremklõps) -> Uus kasutaja.

    2. samm. Kuvatakse kasutaja loomise ekraan.

    1. Sisestage kasutajanimi.
    2. Sisestage kasutaja parool.
    3. Need on autentimismehhanismid, vaikimisi kasutatakse autentimiseks kasutajanime / parooli.

Klõpsates juurutamisnuppu, luuakse kasutaja.

2. Määratlege ja looge roll

Roll on privileegide kogum, mida saab anda teistele kasutajatele või rollile. Roll sisaldab õigusi andmebaasiobjektide ja rakenduste jaoks ning olenevalt töö olemusest.

See on privileegide andmise standardmehhanism. Eelisõigusi saab anda otse kasutajale. SAP HANA andmebaasis on saadaval palju standardseid rolle (nt MODELING, MONITORING jne).

Saame kasutada standardset rolli mallina kohandatud rolli loomisel.

Roll võib sisaldada järgmisi õigusi -

  • Süsteemi privileegid haldus- ja arendusülesande jaoks (KATALOOG LOE, AUDITI HALDAMINE jne)
  • Objektiõigused andmebaasi objektidele (SELECT, INSERT, DELETE jne)
  • Analüütilised privileegid SAP HANA teabevaates
  • Hoidla pakettide paketiõigused (REPO.READ, REPO.EDIT_NATIVE_OBJECTS jne)
  • Rakenduseõigused SAP HANA XS-i rakendustele.
  • Kasutaja privileegid (protseduuri silumiseks).

Rollide loomine

1. samm) Selles etapis

  1. Minge SAP HANA süsteemi turvasõlmesse.
  2. Valige rollisõlm (paremklõps) ja valige Uus roll.

2. samm. Kuvatakse rolli loomise ekraan.

  1. Andke rolli nimi uue rollibloki all.
  2. Valige vahekaart Määratud roll ja standardrolli või väljumisrolli lisamiseks klõpsake ikooni "+".
  3. Valige soovitud roll (nt MODELING, MONITORING jne)

SAMM 3) Selles etapis

  1. Valitud roll lisatakse vahekaardile Lubatud rollid.
  2. Eelisõigusi saab määrata kasutajale otse, valides süsteemiõigused, objektiõigused, analüütilised privileegid, pakettõigused jne.
  3. Rolli loomiseks klõpsake juurutamise ikoonil.

Märkige valik "Annetatav teistele kasutajatele ja rollidele", kui soovite selle rolli määrata teisele kasutajale ja rollile.

3. Andke kasutajale roll

SAMM 1) Selles etapis määrame rolli "MODELLING_VIEW" teisele kasutajale "ABHI_TEST".

  1. Minge jaotises Turvasõlm jaotisse Kasutaja alamsõlm ja topeltklõpsake seda. Kuvatakse kasutajaaken.
  2. Klõpsake ikooni Lubatud rollid "+".
  3. Ilmub hüpik, otsingu rolli nimi, mis määratakse kasutajale.

2. SAMM) Selles etapis lisatakse rolli alla roll "MODELLING_VIEW".

SAMM 3) Selles etapis

  1. Klõpsake nuppu Juuruta.
  2. Kuvatakse teade "Kasutaja ABHI_TEST" muudetud.

4. Kasutaja parooli lähtestamine

Kui kasutaja parool tuleb lähtestada, minge jaotises Turvasõlm jaotisse Kasutaja alamsõlm ja topeltklõpsake sellel. Kuvatakse kasutajaaken.

SAMM 1) Selles etapis

  1. Sisestage uus parool.
  2. Sisestage parooli kinnitamine.

SAMM 2) Selles etapis

  1. Klõpsake nuppu Juuruta.
  2. Kuvatakse teade "Kasutaja ABHI_TEST" muudetud.

5. Kasutaja uuesti aktiveerimine / desaktiveerimine

Minge jaotises Turvasõlm jaotisse Kasutaja alamsõlm ja topeltklõpsake seda. Kuvatakse kasutajaaken.

Seal on ikoon Kustuta kasutaja. Klõpsake seda

Ilmub kinnituskiri "Hüpikaken". Klõpsake nuppu Jah.

Kuvatakse teade "Kasutaja ABHI_TEST 'deaktiveeritud". Ikoon Deaktiveeri muutub nimega "Aktiveeri kasutaja". Nüüd saame kasutaja aktiveerida sama ikooni abil.

SAP HANA litsentsihaldus

SAP HANA andmebaasi kasutamiseks on vajalik litsentsivõti. Litsentsivõti saab installida ja kustutada, kasutades SAP HANA Studio, SAP HANA HDBSQL käsurea tööriista ja HANA SQL Query redaktorit.

SAP HANA andmebaas toetab kahte tüüpi litsentsivõti -

  • Püsiv litsentsivõti: alalised litsentsivõtmed kehtivad kuni aegumiskuupäevani. Enne aegumist peame taotlema ja rakendama litsentsivõti. Kui litsentsivõtme kehtivusaeg aegub, installitakse ajutine litsentsivõti automaatselt 28 päevaks.
  • Ajutine litsentsivõti: see installitakse automaatselt uue SAP HANA andmebaasi installimisega. See kehtib 90 päeva ja hiljem saab SAP-ilt taotleda püsivõtit.

Litsentside haldamise autoriseerimine

Litsentsihalduse jaoks on vajalikud õigused litsentsi administraatorile.

SAP HANA audit

SAP HANA auditeerimisfunktsioonid võimaldavad teil jälgida ja salvestada SAP HANA süsteemis tehtud toiminguid. Need funktsioonid tuleks enne auditipoliitika loomist süsteemi jaoks aktiveerida.

SAP HANA auditeerimise autoriseerimine

SAP HANA auditeerimiseks on vaja süsteemi "AUDITI HALDAMINE" õigusi.

Kokkuvõte :

Selles õpetuses oleme õppinud järgmist teemat -

  • SAP HANA turvaülevaade.
  • SAP HANA autentimine üksikasjalikult.
  • SAP HANA autoriseerimine üksikasjalikult.
  • SAP HANA kasutajahalduse meetod.
  • SAP HANA rollihalduse meetod
  • SAP HANA litsentsi haldamise protsess.
  • SAP HANA rolli auditeerimise protsess.