Wie Sie die richtigen Vorgaben für ein Rahmenberechtigungskonzept Ihrer SAP HANA-Datenbank erstellen

SAST Blog: SAP HANA Datenbank Rahmenberechtigungskonzept – die richtigen Vorgaben erstellenSAP HANA basiert auf dem Konzept der In-Memory-Technologie zur Datenspeicherung. So sind flexible Auswertung von großen nicht aggregierten Datenbeständen mit sehr kurzen Bearbeitungszeiten möglich. Da sich die Datenverarbeitung in SAP HANA deutlich von der in SAP NetWeaver unterscheidet, besitzt es ein eigenes Benutzer- und Berechtigungswesen. Doch welche Vorgaben sind für SAP HANA-Berechtigungen erforderlich?

SAP HANA Sicherheitsarchitektur

Das in der SAP HANA-Datenbank implementierte Berechtigungskonzept mit Nutzung von Privilegien stützt sich auf andere Datenbankkonzepte. Daher sollten Sie für die drei folgenden HANA Verbindungstypen jeweils eine SSL-Verschlüsselung einrichten:

  1. für die Verbindung zwischen Client und SAP HANA-Datenbank
  2. für interne Verbindungen zwischen den HANA Komponenten
  3. für Verbindungen zu Data Centern (z. B. für Sicherungen über die SAP HANA System Replication)

SAP HANA ermöglicht auch die Protokollierung von kritischen Ereignissen, wie Änderungen an Benutzern, Rollen oder Privilegien, sowie Änderungen an der Konfiguration oder fehlgeschlagene Anmeldeversuche. Zusätzlich kann der lesende oder schreibende Zugriff auf Daten (z.B. über Tabellen oder Views) und die Ausführung von Operationen protokolliert werden. Ergänzend wird eine Art Notfallprotokollierung zur Verfügung gestellt.

SAP HANA Benutzer- und Berechtigungsverwaltung

In der SAP HANA-Datenbank wird zwischen drei Benutzertypen unterschieden:

  • Benutzer (Standard User und Restricted User)
  • SYSTEM-Benutzer
  • interne technische Benutzer

Damit diese Benutzer in der SAP HANA-Datenbank arbeiten können, sind Berechtigungen erforderlich. Sie können Benutzern Privilegien direkt zuordnen oder Privilegien in Rollen zusammenfassen.

SAP HANA-Privilegien 

Die Zugriffsverwaltung über Privilegien ist ein sogenanntes „positives Berechtigungskonzept“, somit wird der Zugriff nur dann erlaubt, wenn dem Benutzer entsprechende Privilegien zugeordnet wurden. Die Privilegien sind wie im SAP NetWeaver additiv, alle einem Benutzer zugeordneten Privilegien werden bei der Berechtigungsprüfung zusammengefasst, egal ob direkt oder indirekt zugewiesen.

Es gibt fünf verschiedene Arten von Privilegien:

  • Objektprivilegien
  • Systemprivilegien
  • Analytische Privilegien
  • Repository Privilegien
  • Applikationsprivilegien

SAP HANA-Rollen 

In der SAP HANA-Datenbank sind Rollen eine Ansammlung von Privilegien und eventuell anderen Rollen. Es ist daher möglich, Rollen zu verschachteln und so Vererbungen zu erzeugen, wodurch ein sehr flexibles und granulares Berechtigungskonzept mit Business-Rollen entsteht. Zur Rollenpflege sollten Sie immer im Repository arbeiten und Rollen als Designtime-Objekte (Repository-Rollen) anlegen, die später transportiert werden. Nach dem Transport wird die Rolle automatisch aktiviert. Nur solche Runtime-Rollen (Katalogrollen) können zugewiesen werden.

Grundsätzliche Überlegungen zum Berechtigungskonzept 

Wenn SAP HANA in einem Unternehmen eingesetzt wird, muss geprüft werden, ob ein direkter Zugriff auf die Datenobjekte der SAP HANA-Datenbank notwendig ist, was je nach Anwendungsszenarien variiert. Wird SAP HANA in Ihrem Unternehmen nur als Datenbank für bestehende Anwendungen genutzt, kann das vorhandene Benutzer- und Berechtigungskonzept weiterhin für die Endbenutzer verwendet werden. Müssen Sie jedoch Berechtigungen auf der SAP HANA-Datenbank erteilen und Benutzer anlegen, erfolgt dies über Privilegien, die in Rollen zusammengefasst und den Benutzern zugeordnet werden. 

Rahmenberechtigungskonzept für SAP HANA

Ein Rahmenberechtigungskonzept für SAP HANA schreibt Standards und Grundsätze in der Vergabe von Privilegien und Rollen fest. Hierdurch wird das durch übergreifende Richtlinien und dem Stand der Technik geforderte Maß an Sicherheit für Kommunikation und Daten für den Betrieb von SAP HANA Datenbanksystemen gewährleistet.

Ein Rahmenberechtigungskonzept dient der IT-Sicherheit in Bezug auf Umgang mit sensiblen Informationen, daher sollten für Ihr Unternehmen folgende Fragen in einem HANA Rahmenberechtigungskonzept beantwortet sein:

  • Wer darf Benutzer anlegen/ändern?
  • Wer darf Rollen erstellen?
  • Wer darf Rollen zuweisen/ändern?
  • Wem obliegt die Verantwortung der Datenbankadministration?
  • Wie und von wem werden Notfalluser verwaltet?
  • Wer auditiert welche Benutzer?
  • Wer darf XSA-Rollen entwickeln?
  • Wer darf Rollen transportieren?
  • Welche Einschränkungen müssen Rollen haben?
  • Wer hat die Berechtigung zur Erstellung von analytischen Views?

Generell sollten folgende Punkte in einem Rahmenberechtigungskonzept enthalten sein:

  • Beschreibung der Funktionstrennung zwischen Administration und Kunden/Fachbereichen
  • Beschreibung der Benutzertypen Standard und Restricted
  • Umgang mit Benutzer SYSTEM
  • Verwendung von Benutzertypen z.B.:
    • Auditadminstrator
    • Benutzeradministrator
    • Technische User
    • Cockpitbenutzer
    • XSA Developer
  • Beschreibung der Rollen der einzelnen Benutzergruppen
  • Beschreibung der Rollen mit Nutzungsempfehlung/-vorgabe wie:
    • DATA ADMIN
    • ROLE ADMIN
    • CATALOG REA
  • Nutzung von Repository- und HDI-Rollen
  • Verwendung und Berechtigung von Privilegien wie:
    • Object Privilegien
    • Analytische Privilegien
    • Standard Privilegien
  • Vorgaben zur Auditierung der HANA DB wie:
    • Audit Trail
    • Linux Syslog
    • Vergabe der Auditprivilegien an welche Benutzer
  • Beschreibung der Zugriffswege

Weitere optionale Vorgaben können sein, wie Sie mit Notfallbenutzern umgehen wollen und ob eine LDAP-Konnektivität besteht. Hinweise auf rechtliche Vorgaben (z.B. DSGVO) sollten dabei ebenfalls in Ihr Rahmenberechtigungskonzept aufgenommen werden.

Sie wollen mehr zum Thema der SAP HANA-Datenbank und dem passenden Berechtigungskonzept erfahren? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder melden sich bei uns: sast@akquinet.de

Matthias Anstötz (SAST SOLUTIONS)
Matthias Anstötz (SAP Security Consultant, SAST SOLUTIONS)

 

Das könnte Sie ebenfalls interessieren:

Berechtigungen für Batch-Verarbeitung im SAP NetWeaver und S/4HANA-Umfeld

Auf dem Prüfstand: SAP-Berechtigungsmanagement bei den Berliner Wasserbetrieben