Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Velkommen. I dagens klumme om SAP-sikkerhed giver Balder Borup og jeg et overblik over, hvad ekstern SAP-sikkerhed er for en størrelse.
Ekstern SAP-sikkerhed er den sikkerhed, der ligger ud over selve SAP-applikationen og SAP-databaserne.
Kigger vi på SAP’s egen Secure Operations Map, så er vi på det niveau der kaldes ”environment”. Environment omfatter sikring af netværket, sikring af operativsystemer, sikring af databaser samt sikring af klienter.
Disse fire områder er dem, som ikke er dækket af SAP selv, men som stadig er væsentlige cybersecurity-angrebsflader. Angrebsflader, som du selv har ansvaret for at beskytte.
Dét, der er væsentligt at forstå er, at SAP er et økosystem i konstant udvikling og dermed er sikkerhedsbehovene også nogle andre, end da de første SAP-versioner kom på gaden.
SAP er med andre ord gået fra at være en on-premise applikation, til at være en geo-distribueret applikation, der kan nås på stort set alle platforme.
Dét, som driver den øgede fokus på SAP-sikkerhed, er:
- SAP-miljøer er på vej i skyen. Typisk, så er SAP-miljøer ikke ”first movers”, men før eller siden er de alle i skyen
- Det gamle SAP GUI-interface (en såkaldt ”fat client”) er ved at blive erstattet af SAP Fiori (en såkaldt ”thin client”), der er baseret på HTML5
- IoT/OT (såkaldte SmartDevices) er en væsentlig komponent i mange SAP-miljøer
Når det så er sagt, så ved vi, at alle SAP-kunder skal konvertere til SAP S/4HANA senest i 2027.
I den forbindelse vil langt de fleste kunder vælge en SAP S/4HANA-løsning, der afvikles hos en af de globale hyperscalere. Det kunne f.eks. være Microsoft Azure, Amazon Web Services eller Google Cloud Services.
Uanset hvilken hyperscaler man vælger, så er det vigtigt at forstå, at sikkerhed er et såkaldt ”shared responsibilty”. Ergo, så sørger hyperscaleren for at sikre sin egen infrastruktur, mens kunden sørger for at sikre sine applikationer og sine data.
Selvom langt de fleste SAP-workloads vil blive afviklet på en cloud-platform i fremtiden, så vil nogle SAP-workloads – typisk produktionssystemer – stadig blive afviklet on-premise.
Det er ikke så vigtigt, om man vælger en on-premise model, en hybrid model eller en ren cloud model. Behovet for at beskytte sine data og sine missionskritiske platforme er stadig det samme.
Jf. førnævnte SAP Secure Operations Map, så lad os kigge nærmere på de enkelte områder:
Sikring af netværket
SAP er for mange en kryptisk størrelse og sikring af det i endnu højere grad.
Når det kommer til sikring af netværket omkring SAP-miljøer, så gør det samme sig gældende som ved alle andre installationer.
Segmentering af de forskellige dele af SAP-miljøet er en af nøglerne.
Man skal sørge for, at kunne inspicere den trafik, der løber mellem SAP-segmenterne og den trafik, der kommer udefra. I netværkssikkerhed kalder man dette øst/vest- og nord/syd-inspektion.
Et andet element, som relaterer sig til public cloud-miljøer, er at bibeholde sit overblik og mindske mængden af miskonfigurationer.
Dette gøres internt i SAP ved hjælp af forskellige kommercielt tilgængelige værktøjer.
Men udenfor SAP-verdenen kan der også opstå fejlkonfigurationer. Fejlkonfigurationer som kan ende med, at SAP-miljøet bliver kompromitteret.
Det er derfor vigtigt at dæmme op for, da en lidt for åben NSG (Network Security Group) kan give hackere adgang til dit miljø.
Ved brug af det rigtige værktøj og det rette fokus, kan man sørge for, at ens public cloud miljø forbliver lukket for uvedkommende, og at trafik til og fra dit miljø bliver inspiceret for forsøg på hacking.
Sikring af operativsystemer
Som alt andet software, så har SAP også sårbarheder.
For at dæmme op for disse skal man først og fremmest have styr på sin patch management.
Udover at patche sig ud af kendte fejl, så kan man også implementere et såkaldt IPS (Intrusion Prevention System). IPS er en del af de fleste moderne firewalls og som nævnt ovenfor, så er disse en vigtig del af netværkssikkerheden.
Den korrekte infrastruktur-opsætning kan implementere virtuelle patching systemer. Systemer, som automatisk hjælper til med at sørge for at kendte sårbarheder ikke bliver udnyttet.
Sikring af databaser
Der er flere interessante dele at tage hensyn til, når det kommer til sikring af databaser. Man skal bl.a. kigge på brugerstyring, autentificering, autorisation og kryptering.
Nogle af disse er belyst i klumme 3 (se link nedenfor), herunder f.eks. brugerstyring.
Fælles for ovenfornævnte er, at alle - pånær kryptering - handler om at sikre, at dem eller det, som tilgår databasen, er godkendte til at gøre netop dette. Dermed sikrer man sig, at databasens integritet er intakt.
En af udfordringerne er web-baserede applikationer. Det skyldes, at tilgangen til en web-baseret applikationen er offentlig. Det åbner op for risikoen for såkaldt cross-site scripting og såkaldt code-injection angreb.
For at dæmme op for det, skal man have en automatiseret og/eller veloptimeret Web Application Firewall (WAF).
Disse er blandt andet med at stoppe såkaldte OWASP (Open Web Application Security Project) top-10 angreb, der er en samling af de angreb, som web-applikationer er mest eksponerede for.
Sikring af klienter
Hvem, hvad, hvor og hvorfor er spørgsmålene, man skal stille sig selv i forhold til klienter.
I forbindelse med corona-pandemien er mange begyndt at arbejde hjemmefra. Det har medført et stort pres på traditionelle måder at tilgå firmarelaterede applikationer, og det har i store træk gjort sikringen af firmaets ressourcer sværere, da man nu skal tænke samtlige medarbejdere ind i sin ”remote workforce” politik.
SASE (Secure Access Service Edge) er ny måde at tænke tilgang til applikationer på.
Med en SASE-løsning kan man få en arkitektur, der giver adgang til interne applikationer, gennem én enkelt portal.
Løsningen tilbyder også ZTNA (Zero Trust Network Access), så godkendte brugere kun har adgang til præcis de applikationer, de har brug for.
De fleste SASE-løsninger integrerer med kendte Identity Providers, og man kan dermed bruge sit eksisterende AD (Active Directory) til at administrere, hvem der skal kunne tilgå hvilke applikationer.
Nogle benytter en web-klient til at tilgå sin SAP-applikation, og andre benytter et legacy-interface.
Uanset hvad, så er det er nødvendigt, at sikre sine klienter. Også selvom langt størstedelen af den såkaldte internet-trafik er krypteret (kaldet HTTPS-trafik).
Når det så er sagt, så skal man huske på, at krypteringen er ligeglad med, om trafikken er godartet eller ondartet. Det er således helt væsentligt, at man benytter en sikkerhedsløsning, der kan inspicere krypteret trafik.
Denne klumme markerer afslutningen på klummeserien om SAP-sikkerhed. De øvrige klummer kan læses her:
SAP-systemer er komplekse og unikke. Det er således udfordrende, at opnå et tilstrækkeligt niveau af cybersikkerhed.
Husk på, at ingen sikkerhedsproducent kan beskytte dig, hvis dit SAP-setup er dårligt.
Det samme gælder for dit netværk og for dine klienter. Sikkerhedsproducenter erstatter således ikke noget, men komplimenterer din eksisterende sikkerhed.
SAP-sikkerhed handler lige så meget om mennesker: nemlig at kunne mestre dynamikken mellem cloud-folk, sikkerheds-folk og SAP-folk.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.