{"id":1932,"date":"2020-04-09T09:17:28","date_gmt":"2020-04-09T07:17:28","guid":{"rendered":"https:\/\/sast-blog.akquinet.de\/?p=1932"},"modified":"2021-05-27T11:33:36","modified_gmt":"2021-05-27T09:33:36","slug":"richtige-vorgaben-fuer-rahmenberechtigungskonzept-sap-hana-datenbank-erstellen","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2020\/04\/09\/richtige-vorgaben-fuer-rahmenberechtigungskonzept-sap-hana-datenbank-erstellen\/","title":{"rendered":"Wie Sie die richtigen Vorgaben f\u00fcr ein Rahmenberechtigungskonzept Ihrer SAP HANA-Datenbank erstellen"},"content":{"rendered":"

\"SASTSAP HANA basiert auf dem Konzept der In-Memory-Technologie zur Datenspeicherung. So sind flexible Auswertung von gro\u00dfen nicht aggregierten Datenbest\u00e4nden mit sehr kurzen Bearbeitungszeiten m\u00f6glich. Da sich die Datenverarbeitung in SAP HANA deutlich von der in SAP NetWeaver unterscheidet, besitzt es ein eigenes Benutzer- und Berechtigungswesen. Doch welche Vorgaben sind f\u00fcr SAP HANA-Berechtigungen erforderlich?<\/p>\n

<\/p>\n

SAP HANA Sicherheitsarchitektur<\/strong><\/h2>\n

Das in der SAP HANA-Datenbank implementierte Berechtigungskonzept mit Nutzung von Privilegien st\u00fctzt sich auf andere Datenbankkonzepte. Daher sollten Sie f\u00fcr die drei folgenden HANA Verbindungstypen jeweils eine SSL-Verschl\u00fcsselung<\/strong> einrichten:<\/p>\n

    \n
  1. f\u00fcr die Verbindung zwischen Client und SAP HANA-Datenbank<\/li>\n
  2. f\u00fcr interne Verbindungen zwischen den HANA Komponenten<\/li>\n
  3. f\u00fcr Verbindungen zu Data Centern (z. B. f\u00fcr Sicherungen \u00fcber die SAP HANA System Replication)<\/li>\n<\/ol>\n

    SAP HANA erm\u00f6glicht auch die Protokollierung<\/strong> von kritischen Ereignissen, wie \u00c4nderungen an Benutzern, Rollen oder Privilegien, sowie \u00c4nderungen an der Konfiguration oder fehlgeschlagene Anmeldeversuche. Zus\u00e4tzlich kann der lesende oder schreibende Zugriff auf Daten (z.B. \u00fcber Tabellen oder Views) und die Ausf\u00fchrung von Operationen protokolliert werden. Erg\u00e4nzend wird eine Art Notfallprotokollierung zur Verf\u00fcgung gestellt.<\/p>\n

    SAP HANA Benutzer- und Berechtigungsverwaltung<\/strong><\/p>\n

    In der SAP HANA-Datenbank wird zwischen drei Benutzertypen unterschieden:<\/p>\n

      \n
    • Benutzer (Standard User und Restricted User)<\/li>\n
    • SYSTEM-Benutzer<\/li>\n
    • interne technische Benutzer<\/li>\n<\/ul>\n

      Damit diese Benutzer in der SAP HANA-Datenbank arbeiten k\u00f6nnen, sind Berechtigungen erforderlich. Sie k\u00f6nnen Benutzern Privilegien direkt zuordnen oder Privilegien in Rollen zusammenfassen.<\/p>\n

      SAP HANA-Privilegien<\/strong>\u00a0<\/strong><\/p>\n

      Die Zugriffsverwaltung \u00fcber Privilegien ist ein sogenanntes \u201epositives Berechtigungskonzept\u201c, somit wird der Zugriff nur dann erlaubt, wenn dem Benutzer entsprechende Privilegien zugeordnet wurden. Die Privilegien sind wie im SAP NetWeaver additiv, alle einem Benutzer zugeordneten Privilegien werden bei der Berechtigungspr\u00fcfung zusammengefasst, egal ob direkt oder indirekt zugewiesen.<\/p>\n

      Es gibt f\u00fcnf verschiedene Arten von Privilegien:<\/p>\n

        \n
      • Objektprivilegien<\/li>\n
      • Systemprivilegien<\/li>\n
      • Analytische Privilegien<\/li>\n
      • Repository Privilegien<\/li>\n
      • Applikationsprivilegien<\/li>\n<\/ul>\n

        SAP HANA-Rollen<\/strong>\u00a0<\/strong><\/p>\n

        In der SAP HANA-Datenbank sind Rollen eine Ansammlung von Privilegien und eventuell anderen Rollen. Es ist daher m\u00f6glich, Rollen zu verschachteln und so Vererbungen zu erzeugen, wodurch ein sehr flexibles und granulares Berechtigungskonzept mit Business-Rollen entsteht. Zur Rollenpflege sollten Sie immer im Repository arbeiten und Rollen als Designtime-Objekte (Repository-Rollen) anlegen, die sp\u00e4ter transportiert werden. Nach dem Transport wird die Rolle automatisch aktiviert. Nur solche Runtime-Rollen (Katalogrollen) k\u00f6nnen zugewiesen werden.<\/p>\n

        Grunds\u00e4tzliche \u00dcberlegungen zum Berechtigungskonzept<\/strong>\u00a0<\/strong><\/h2>\n

        Wenn SAP HANA in einem Unternehmen eingesetzt wird, muss gepr\u00fcft werden, ob ein direkter Zugriff auf die Datenobjekte der SAP HANA-Datenbank notwendig ist, was je nach Anwendungsszenarien variiert. Wird SAP HANA in Ihrem Unternehmen nur als Datenbank f\u00fcr bestehende Anwendungen genutzt, kann das vorhandene Benutzer- und Berechtigungskonzept weiterhin f\u00fcr die Endbenutzer verwendet werden. M\u00fcssen Sie jedoch Berechtigungen auf der SAP HANA-Datenbank erteilen und Benutzer anlegen, erfolgt dies \u00fcber Privilegien, die in Rollen zusammengefasst und den Benutzern zugeordnet werden.\u00a0<\/strong><\/p>\n

        Rahmenberechtigungskonzept f\u00fcr SAP HANA<\/strong><\/h2>\n

        Ein Rahmenberechtigungskonzept f\u00fcr SAP HANA schreibt Standards und Grunds\u00e4tze in der Vergabe von Privilegien und Rollen fest. Hierdurch wird das durch \u00fcbergreifende Richtlinien und dem Stand der Technik geforderte Ma\u00df an Sicherheit f\u00fcr Kommunikation und Daten f\u00fcr den Betrieb von SAP HANA Datenbanksystemen gew\u00e4hrleistet.<\/p>\n

        Ein Rahmenberechtigungskonzept dient der IT-Sicherheit in Bezug auf Umgang mit sensiblen Informationen, daher sollten f\u00fcr Ihr Unternehmen folgende Fragen in einem HANA Rahmenberechtigungskonzept beantwortet sein:<\/p>\n

          \n
        • Wer darf Benutzer anlegen\/\u00e4ndern?<\/li>\n
        • Wer darf Rollen erstellen?<\/li>\n
        • Wer darf Rollen zuweisen\/\u00e4ndern?<\/li>\n
        • Wem obliegt die Verantwortung der Datenbankadministration?<\/li>\n
        • Wie und von wem werden Notfalluser verwaltet?<\/li>\n
        • Wer auditiert welche Benutzer?<\/li>\n
        • Wer darf XSA-Rollen entwickeln?<\/li>\n
        • Wer darf Rollen transportieren?<\/li>\n
        • Welche Einschr\u00e4nkungen m\u00fcssen Rollen haben?<\/li>\n
        • Wer hat die Berechtigung zur Erstellung von analytischen Views?<\/li>\n<\/ul>\n

          Generell sollten folgende Punkte in einem Rahmenberechtigungskonzept enthalten sein:<\/p>\n

            \n
          • Beschreibung der Funktionstrennung zwischen Administration und Kunden\/Fachbereichen<\/li>\n
          • Beschreibung der Benutzertypen Standard und Restricted<\/li>\n
          • Umgang mit Benutzer SYSTEM<\/li>\n
          • Verwendung von Benutzertypen z.B.:\n
              \n
            • Auditadminstrator<\/li>\n
            • Benutzeradministrator<\/li>\n
            • Technische User<\/li>\n
            • Cockpitbenutzer<\/li>\n
            • XSA Developer<\/li>\n<\/ul>\n<\/li>\n
            • Beschreibung der Rollen der einzelnen Benutzergruppen<\/li>\n
            • Beschreibung der Rollen mit Nutzungsempfehlung\/-vorgabe wie:\n
                \n
              • DATA ADMIN<\/li>\n
              • ROLE ADMIN<\/li>\n
              • CATALOG REA<\/li>\n<\/ul>\n<\/li>\n
              • Nutzung von Repository- und HDI-Rollen<\/li>\n
              • Verwendung und Berechtigung von Privilegien wie:\n
                  \n
                • Object Privilegien<\/li>\n
                • Analytische Privilegien<\/li>\n
                • Standard Privilegien<\/li>\n<\/ul>\n<\/li>\n
                • Vorgaben zur Auditierung der HANA DB wie:\n
                    \n
                  • Audit Trail<\/li>\n
                  • Linux Syslog<\/li>\n
                  • Vergabe der Auditprivilegien an welche Benutzer<\/li>\n<\/ul>\n<\/li>\n
                  • Beschreibung der Zugriffswege<\/li>\n<\/ul>\n

                    Weitere optionale Vorgaben k\u00f6nnen sein, wie Sie mit Notfallbenutzern umgehen wollen und ob eine LDAP-Konnektivit\u00e4t besteht. Hinweise auf rechtliche Vorgaben (z.B. DSGVO) sollten dabei ebenfalls in Ihr Rahmenberechtigungskonzept aufgenommen werden.<\/p>\n

                    Sie wollen mehr zum Thema der SAP HANA-Datenbank und dem passenden Berechtigungskonzept erfahren? Dann informieren Sie sich gerne auf unserer SAST SOLUTIONS Website<\/a> oder melden sich bei uns: sast@akquinet.de<\/a><\/p>\n

                    \"Matthias
                    \nMatthias Anst\u00f6tz (SAP Security Consultant, SAST SOLUTIONS)<\/strong><\/p>\n

                     <\/p>\n

                    Das k\u00f6nnte Sie ebenfalls interessieren:<\/h2>\n

                    Berechtigungen f\u00fcr Batch-Verarbeitung im SAP NetWeaver und S\/4HANA-Umfeld<\/a><\/p><\/blockquote>\n