3. 安全指南(Operations Guide) - SAP S/4 Basis Learning

本系列基於 SAP S/4 HANA version 1709 - On Premise 

在上一章節（2.運維指南），我們對SAP S/4 的運維進行了概覽，本章看下 安全指南(Security Guide)

從 SAP Help Portal 獲取到 安全指南(Security Guide)，這次打開的同樣是一個PDF(SEC_OP1709.pdf)，同運維指南一樣，安全指南也由通用部分和特定模塊組成。
 

開始

• 1 基本介紹(Introduction)  介紹了 目標讀者(技術顧問&安全顧問&系統管理員)、安全管理的必要性、關於此文檔

• 2 前述(Before You Start) 介紹了適用範圍(SAP S/4 HANA、Fiori程序、SAP Gateway)，安全白皮書、重要的SAPNote，及可以從 SAP Support Portal 獲取額外的安全相關的 SAP Hot News 或 SAP Notes。

• 3 系統加固的相關Note(System Hardening with SAP Security Notes)  提供了SAP系統加固相關的常用 SAP Notes。

• 4 SAP S/4 HANA 的架構(SAP S/4 HANA System Landscape Information) 介紹了SAP系統的架構，這個章節和 2.運維指南 相同，不再重複介紹

 

需掌握的基本技能

• 5 用戶和權限管理(User Administration and Authentication)  (我覺得新手可以直接 參考 User and Role Administration of Application Server ABAP，更簡單清晰) 
  • 概述  SAP S/4HANA 依賴於 SAP NetWeaver AS for ABAP，可參考 SAP NetWeaver AS for ABAP 安全指南；
  • 用戶管理  用戶管理工具、用戶類型、系統內置的標準用戶，分爲Fiori應用 和 非Fiori應用兩部分介紹
  • 用戶同步  可參考 SAP NetWeaver 7.5 幫助 中的 安全指南 部分，獲取用戶同步的相關信息
  • 角色管理  請參考 SAP S/4HANA 1709 幫助中心 中的 如下章節：基於SAP NetWeaver AS ABAP 系統的角色管理(General Information on role maintenance in systems based on SAP NetWeaver Application Server ABAP)、基於SAP Fiori Launchpad的角色訪問管理(Role maintenance for access based on SAP Fiori launchpad)、自定義開發系統的權限概述和角色管理(Authorization concepts and role maintenance for custom development)、SAP Fiori 應用的UI內容和權限概述(UI content and authorization concept for SAP Fiori apps)
  • 單點登錄(SSO)集成相關  SAP S/4HANA 的SSO基於 SAP Netweaver AS for ABAP，非Fiori系統支持SNC、SAP Logon Tickets、客戶端證書(Client Certificates) 這三種SSO方法，及對應的幫助鏈接，對於Fiori系統，需參考 SAP S/4HANA UI Technology Guide.同樣可以從 SAP Help Portal  找到。
• 6 網絡和通信安全(Network and Communication Security) 
  • 通信信道安全  通信信道支持 HTTPS(使用TLS加密)、RFC(使用SNC加密)、SOAP(基於Web服務提供安全保護)、IDoc、REST 五種方式，鑑於早期的加密協議大多數都被曝出了漏洞，SAP強烈建議僅使用TLS或SNC協議加密數據。
  • 網絡和端口安全  請參考 SAP NetWeaver7.5 的安全指南 ( https://help.sap.com/nw75 -> Security Guide)，如果SAP系統向外網發佈，請至少安裝一個防火牆，可以將系統分佈部署在不同的網段，並設置網段間的訪問權限來提高安全性；具體涉及的端口，請參考 corresponding security guides for SAP NetWeaver 的AS ABAP Ports 部分。
  • 通信目標(Communication Destinations)安全  對於一些特定的應用，有自己特定的通信目標，請參考相關應用的章節，單獨檢查和配置，此外，應遵循如下通用準則，避免安全風險：1) 使用用戶類型"system"或“communication”來和普通用戶予以區分；2) 僅授予最小權限； 3) 提醒用戶設置足夠複雜的密碼且不要透露給任何人；4)僅對"system"或“communication”類型的用戶保存登錄信息； 5) 如果可能，使用Trusted System 功能，代替用戶的登錄信息
• 7 ICF和會話安全(ICF and Session Security)  
  • Internet Communication Framework(ICF) 服務  應使用ICF服務來減少web攻擊，可以在如下地址查看ICF的詳細指南 http:// help.sap.com/s4hana_op_1709 -> SAP NetWeaver for SAP S/4HANA -> Security Guide -> RFC/ICF Security Guides
  • 會話安全(Session Security Protection)  SAP建議激活安全會話管理，以增加 SAP Logon ticket和安全會話Cookie(Security session cookies)的安全性，建議使用SSL協議，保護安全相關的Cookie傳輸。
• 8 文件訪問安全(File System Access Security)
  • 使用邏輯文件路徑來避免越權訪問(Using Logical Paths and File Names to Protect Access)  有些SAP S/4 HANA的數據保存在文件系統中，應避免他們在訪問這些文件的同時有權限訪問其它文件路徑；應使用邏輯路徑來映射到物理路徑，這樣的話如果試圖訪問非邏輯路徑，系統會提示錯誤。
  • 激活邏輯文件路徑確認功能(Activating the Validation of Logical Paths anf File Names)  爲了下載的兼容性，默認情況下這個確認功能是未激活的，並提供了激活確認和開啓相關審計日誌的方法
• 9 病毒掃描(Virus Scanning)  
  • 基本信息(Basic Concepts)  請安裝 VSI 2.0-complicant virus scanner，在上傳、下載、通過Gateway傳輸文件時，SAP S/4 HANA的代碼可以調用該病毒掃描器進行掃描，並且可以自己定義掃描參數，具體請參考 https://help.sap.com/nw75 -> Application Help -> Function-Oriented View -> Security -> System Security -> Virus Scan Interface,以及 Note #786179 和 #1494278.
  • 對上傳的文件進行掃描(Virus Scanning in File Uploads)  SAP允許上傳文件，如業務單據的附件，各類模板文件等，文檔介紹了這些文件的掃描相關注意事項
  • 病毒掃描參數的推薦設置(General Recommendations for Virus Scan Profiles)  介紹了使用病毒掃描功能涉及的系統參數及推薦配置
  • 對活動內容的進一步保護(Further Protection Against Active Content)  介紹了兩種方式：1.在上傳活動內容時，使用病毒掃描進行掃描； 2.使用 SAP WebDispatcher 和 ICM 修改HTTP-response Header 的方式，阻止活動內容和跨站腳本攻擊。 
• 10 附加的系統加固操作(Additional System Hardening Activities) 
  • 防止點擊劫持攻擊(Click-Jacking Protection)  介紹瞭如何使用白名單來防範點擊劫持攻擊，可以在 http://help.sap.com/s4hana_op_1709 的搜索欄 搜索 “Using a Whitelist for Clickjacking Framing Protection”獲取詳細信息；此外，SAPGUI for HTML ，WebDynpro ，Non-SAPUI5-based 應用，SAP Fiori Launchpad已經使用有所不同的，更高級別的安全解決方案。
  • 統一連接(Unified Connectivity, UCON)  介紹瞭如何使用UCON管理框架 保護RFC訪問，可以在 http://help.sap.com/s4hana_op_1709 的搜索欄搜索 “Unified Connectivity”獲取詳細信息
  • 可控安全檢查框架(Switchable Authorizations Check Framework, SACF)  SACF提供了對特定腳本的額外權限檢查，可以查看 Note #2008727 獲取更多信息
• 11 數據保護(Data Protection)  介紹了爲了符合隱私保護等法規要求，及符合不同國家的對某些特殊行業的相關要求，SAP爲符合這些法規提供的特定功能，需注意的是，安全手冊中不會對特定行業的最佳安全實踐給出建議，也不會對如何符合法規要求給出建議，只是提供了一些技術工具。如：訪問控制(Access control)，權限(Authorizations)，讀訪問日誌(Read access logging)、傳輸控制(Transmission control)/通信安全(communication security)、輸入控制(Input control)/修改日誌(Change logging)、可用性控制(Availability Control)，可以從 http://help.sap.com/s4hana_op_1709 -> Additional Information -> Product Assistance -> Cross Components -> Data Protection 獲取更多信息

  • 讀訪問日誌(Read Access Logging, RAL)  用於監視對隱私數據的讀取訪問。以及具體的配置方法，系統版本要求等。

  • 刪除個人數據(Deletion of Personal Data)  個人隱私數據應在使用完或者過期後被立即限制訪問，只有額外授權的用戶纔可以存取這些被限制的個人數據。更多信息請參考：http:// help.sap.com/s4hana_op_1709 -> Product Assistance -> Cross Components -> Data Protection.

 

特殊應用場景下的安全事項

• 12 SAP S/4 HANA 跨應用設施 (SAP S/4HANA Cross Application Infrastructure) 對特殊的跨應用組件進行說明，如SAP ILM 的數據安全，支付卡(Payment Card) 的安全，不再闡述

• 13 SAP S/4 HANA 商業應用(SAP S/4HANA Business Applications) 對業務模塊進行特殊的說明，如資產，貿易、財務、人力、製造、R&D和工程、銷售、服務器、採購和尋源、跨業務應用、分析、企業應用、行業特殊組件的特殊點進行闡述，不再詳細說明

• 14 商業網絡集成(Business Network Integration)  對和SAP進行集成的各種安全相關進行說明

  • 直連(Direct Connectivity)  使用 cXML、Polling Agent 方式和SAP S/4 HANA 直接連接 相關的 證書授權(Ariba Network Only)、用戶名密碼 的安全相關事項

  • 間接連接(Mediated Connectivity)  使用SAP PI 傳輸 cXML 消息, 使用 Ariba Network Adapter 傳輸cXML消息  相關的安全注意點

  • 角色和權限控制(Roles and Authorizations) (Ariba Network)  Ariba Network 相關的角色和權限控制要點

  • 角色和權限控制(Roles and Authorizations) (SAP Fieldglass)  SAP Fieldglass 相關的角色和權限控制要點