Ingo Biermann
12. Juli 2017

Wie Sie eine kritische SAP HANA DB Sicherheitskonfiguration durchführen

Wenn Sie sich noch nicht mit dem Thema SAP HANA DB Sicherheitskonfiguration auseinandergesetzt haben, sollten Sie das schnellstens nachholen. Denn vor allem bei einer SPS vor Version 11 besteht eine Sicherheitslücke. Wie Sie diese Lücke schließen, erfahren Sie im Artikel.

Überprüfung der SAP HANA DB Version

Bevor Sie anfangen in den Konfigurationen Ihrer SAP HANA DB mit einem kritischen Blick nach möglichen Sicherheitslücken zu suchen, ist es empfehlenswert, sich vorher den installierten Versionsstand anzuschauen. Denn in Abhängigkeit zu diesem ergeben sich verschiedene weitere Vorgehensweisen.

Haben Sie eine SAP HANA DB mit einer SPS11 oder höher installiert, dann sind Sie definitv auf der sichereren Seite. Ab dieser Version hat die SAP unter anderem die automatisierte Neugenerierung des “master keys” zur Verschlüsselung der SSFS (Secure Store in the filesystem) eingeführt. Die SSFS, die durch die hdbuserstore-Datei auf dem Filesystem abgebildet wird, ist in SAP HANA für die Speicherung der Benutzernamen und dessen Passwörter zuständig. Diese Datei wird durch den vorhin genannten master key verschlüsselt, um das direkte Auslesen der Zugangsdaten zu verhindern.

Ist durch den Systemverantwortlichen keine nachträgliche Veränderung durchgeführt worden, wurde in der Vergangenheit regelmäßig der gleiche master key als Standard verwendet, sodass dieser praktisch öffentlich bekannt war. Einem Angreifer stehen somit alle Türen offen, um durch das Erlangen der hdbuserstore-Datei an die Benutzerpasswörter der HANA DB zu kommen. Ab SPS11 wird dieser master key jedoch immer zum Installationszeitpunkt automatisch neugeneriert, sodass diese Sicherheitslücke de facto geschlossen wurde.

Daher empfehle ich Ihnen Ihre SAP HANA DB regelmäßig auf den aktuellsten Stand zu halten, um solche Sicherheitslücken von vornherein zu vermeiden.

SAP Entwicklung unter S4HANA

SAP Entwicklung unter S/4HANA [E-Book]

SAP Entwicklung unter S/4HANA: Alles zu Core Data Services (CDS), ABAP-Entwicklung auf HANA & CDS-Views sowie deren Architektur.

Manuelle Erneuerung des master key

Falls Sie zum jetzigen Zeitpunkt nicht die Möglichkeit haben auf eine höhere SPS aktualisieren zu können, dann ist die manuelle Erneuerung Ihres master key mehr als empfehlenswert. Verbinden Sie sich dafür per SSH mit dem System Ihrer SAP HANA DB unter dem Benutzer “<SID>adm”.  Verwenden Sie anschließend das rsecssfx Tool zur Neugenerierung. Dabei kann der Befehl beispielhaft wie folgt aussehen:

RSEC_SSFS_DATAPATH=/usr/sap/<SID>/SYS/global/hdb/security/ssfs
RSEC_SSFS_KEYPATH= <path to key file> rsecssfx changekey $(rsecssfx generatekey -getPlainValueToConsole)

Die orange markierten Platzhalter müssen lediglich durch die passenden Werte ergänzt werden. Der Standardwert hierfür ist $DIR_GLOBAL/hdb/security/ssfs und kann ggf. verwendet werden. Anschließend muss der <path to key file> in die global.ini Datei verzeichnet werden. Dazu wird die folgende Zeile eingetragen:

[cryptography]
ssfs_key_file_path = <path to key file>

 

Abschließend wird der neu erstellte master key zur Verschlüsselung der SSFS eingesetzt, wie dies im nachfolgenden Beispiel zusehen ist:

export RSEC_SSFS_DATAPATH=/usr/sap/<SID>/SYS/global/security/rsecssfs/data
export RSEC_SSFS_KEYPATH=<path to current key file>
rsecssfx changekey $(rsecssfx generatekey -getPlainValueToConsole)

Weitere Schritte in der HANA DB Sicherheitskonfiguration

Nachdem nun die erste kritische Sicherheitskonfiguration an Ihrer SAP HANA DB erfolgreich umgesetzt und geprüft wurde, können Sie erst einmal aufatmen. Dennoch müssen Sie weitere Aspekte in Ihre Sicherheitsprüfung mit einbeziehen, da noch viel Potential zur Verbesserung der Sicherheit Ihrer SAP HANA DB besteht. Beispielsweise können die internen Kommunikationswege mittels der in SAP HANA DB intern vorhandenen PKI über TLS/SSL Verschlüsselung abgesichert oder auch die eigenen Auditing Policies zur Überwachung wichtiger Datenobjekte und Aktivitäten definiert werden.

Ingo Biermann

Ingo Biermann

Als Management- und Technologieberater unterstütze ich seit mehr als 15 Jahren große und mittelständische Unternehmen in Fragen der IT-Strategie und bin unterwegs in unterschiedlichen SAP-Themen wie SAP S/4HANA, User Experience und SAP Entwicklung.

Sie haben Fragen? Kontaktieren Sie mich!



Das könnte Sie auch interessieren

Am 17. November 2015 veranstaltete das IT-Beratungsunternehmen mindsquare in den Design Offices in Düsseldorf ein Tagesseminar zum Thema SAP HCM Cloud vs. On-Premise – Technologiekampf und die Zukunft im HR.

weiterlesen

In der SAP Community ist HANA eines der meistdiskutierten Themen. Auf der TechEd und der DSAG Konferenz wird HANA als Enabler für die langfristigen IT-Strategien der digitalen Transformation wie Industrie […]

weiterlesen

Für alle, die einmal einen Blick auf die SAP HANA Plattform und insbesondere auf die HANA Datenbank mit ihren speziellen Funktionen werfen wollen, gibt es eine einfache Möglichkeit: Die SAP […]

weiterlesen

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Kontaktieren Sie uns!
Alexander Koessner-Maier
Alexander Kössner-Maier Kundenservice