Wie Sie eine kritische SAP HANA DB Sicherheitskonfiguration durchführen
Wenn Sie sich noch nicht mit dem Thema SAP HANA DB Sicherheitskonfiguration auseinandergesetzt haben, sollten Sie das schnellstens nachholen. Denn vor allem bei einer SPS vor Version 11 besteht eine Sicherheitslücke. Wie Sie diese Lücke schließen, erfahren Sie im Artikel.
Überprüfung der SAP HANA DB Version
Bevor Sie anfangen in den Konfigurationen Ihrer SAP HANA DB mit einem kritischen Blick nach möglichen Sicherheitslücken zu suchen, ist es empfehlenswert, sich vorher den installierten Versionsstand anzuschauen. Denn in Abhängigkeit zu diesem ergeben sich verschiedene weitere Vorgehensweisen.
Haben Sie eine SAP HANA DB mit einer SPS11 oder höher installiert, dann sind Sie definitv auf der sichereren Seite. Ab dieser Version hat die SAP unter anderem die automatisierte Neugenerierung des “master keys” zur Verschlüsselung der SSFS (Secure Store in the filesystem) eingeführt. Die SSFS, die durch die hdbuserstore-Datei auf dem Filesystem abgebildet wird, ist in SAP HANA für die Speicherung der Benutzernamen und dessen Passwörter zuständig. Diese Datei wird durch den vorhin genannten master key verschlüsselt, um das direkte Auslesen der Zugangsdaten zu verhindern.
Ist durch den Systemverantwortlichen keine nachträgliche Veränderung durchgeführt worden, wurde in der Vergangenheit regelmäßig der gleiche master key als Standard verwendet, sodass dieser praktisch öffentlich bekannt war. Einem Angreifer stehen somit alle Türen offen, um durch das Erlangen der hdbuserstore-Datei an die Benutzerpasswörter der HANA DB zu kommen. Ab SPS11 wird dieser master key jedoch immer zum Installationszeitpunkt automatisch neugeneriert, sodass diese Sicherheitslücke de facto geschlossen wurde.
Daher empfehle ich Ihnen Ihre SAP HANA DB regelmäßig auf den aktuellsten Stand zu halten, um solche Sicherheitslücken von vornherein zu vermeiden.
Manuelle Erneuerung des master key
Falls Sie zum jetzigen Zeitpunkt nicht die Möglichkeit haben auf eine höhere SPS aktualisieren zu können, dann ist die manuelle Erneuerung Ihres master key mehr als empfehlenswert. Verbinden Sie sich dafür per SSH mit dem System Ihrer SAP HANA DB unter dem Benutzer “<SID>adm”. Verwenden Sie anschließend das rsecssfx Tool zur Neugenerierung. Dabei kann der Befehl beispielhaft wie folgt aussehen:
RSEC_SSFS_DATAPATH=/usr/sap/<SID>/SYS/global/hdb/security/ssfs
RSEC_SSFS_KEYPATH= <path to key file> rsecssfx changekey $(rsecssfx generatekey -getPlainValueToConsole)
Die orange markierten Platzhalter müssen lediglich durch die passenden Werte ergänzt werden. Der Standardwert hierfür ist $DIR_GLOBAL/hdb/security/ssfs und kann ggf. verwendet werden. Anschließend muss der <path to key file> in die global.ini Datei verzeichnet werden. Dazu wird die folgende Zeile eingetragen:
[cryptography] ssfs_key_file_path = <path to key file>
Abschließend wird der neu erstellte master key zur Verschlüsselung der SSFS eingesetzt, wie dies im nachfolgenden Beispiel zusehen ist:
export RSEC_SSFS_DATAPATH=/usr/sap/<SID>/SYS/global/security/rsecssfs/data
export RSEC_SSFS_KEYPATH=<path to current key file>
rsecssfx changekey $(rsecssfx generatekey -getPlainValueToConsole)
Weitere Schritte in der HANA DB Sicherheitskonfiguration
Nachdem nun die erste kritische Sicherheitskonfiguration an Ihrer SAP HANA DB erfolgreich umgesetzt und geprüft wurde, können Sie erst einmal aufatmen. Dennoch müssen Sie weitere Aspekte in Ihre Sicherheitsprüfung mit einbeziehen, da noch viel Potential zur Verbesserung der Sicherheit Ihrer SAP HANA DB besteht. Beispielsweise können die internen Kommunikationswege mittels der in SAP HANA DB intern vorhandenen PKI über TLS/SSL Verschlüsselung abgesichert oder auch die eigenen Auditing Policies zur Überwachung wichtiger Datenobjekte und Aktivitäten definiert werden.
Save as PDF
