安全网络通信(SNC)还可用于使用安全身份验证方法登录应用程序服务器.您可以通过SAP GUI for Windows或使用RFC连接使用SNC进行用户身份验证.
SNC使用外部安全产品在通信伙伴之间执行身份验证.您可以使用公钥基础结构PKI等安全措施,以及生成和分发密钥对的过程.
您应该定义可以消除威胁并防止网络攻击的网络拓扑.当用户无法登录到应用程序或数据库层时,攻击者无法访问SAP系统或数据库系统以访问关键信息.
定义良好的网络拓扑不允许入侵者连接到公司的LAN,因此无法访问网络服务或SAP系统上的安全循环漏洞.
SAP系统中的网络拓扑
您的物理网络架构完全取决于SAP系统的大小. SAP系统通常使用客户端 - 服务器体系结构实现,每个系统通常分为以下三层
数据库层
应用层
表示层
当您的SAP系统是很小,它可能没有单独的应用程序和数据库服务器.但是,在大型系统中,许多应用程序服务器与数据库服务器和几个前端进行通信.这将系统的网络拓扑定义为从简单到复杂,在组织网络拓扑时应考虑不同的场景.
在大型组织中,建议您安装应用程序不同机器上的数据库服务器,并放置在与前端系统不同的LAN中.
在下图中,您可以看到SAP系统的首选网络拓扑结构
当您将数据库和应用程序服务器放在与前端不同的VLAN中时VLAN,它允许您改进访问控制系统,从而提高SAP系统的安全性.前端系统位于不同的VLAN中,因此不容易进入服务器VLAN,从而绕过SAP系统的安全性.
SAP网络服务
在SAP系统中,启用了各种服务,但运行SAP系统只需要很少的服务.在SAP系统中,格局,数据库和应用程序服务器是网络攻击的最常见目标.许多网络服务正在您的环境中运行,允许访问这些服务器,并且应该仔细监控这些服务.
在您的Window/UNIX计算机中,这些服务在/中维护等/服务的.您可以在Windows机器中打开此文件,方法是转到以下路径
system32/drivers/etc/services
您可以在记事本中打开此文件检查服务器中所有激活的服务并减去;
建议您禁用横向服务器上的所有不需要的服务.有时,这些服务包含一些错误,入侵者可以使用这些错误来获取未经授权的访问.当您禁用这些服务时,可以减少攻击网络的可能性.
为了实现高安全性,还建议在SAP环境中使用静态密码文件.
私钥
SNC使用外部安全产品在通信伙伴之间执行身份验证.您可以使用公钥基础结构(PKI)等安全措施以及其他过程来生成和分发密钥对,并确保为用户提供适当的私钥.
有不同的方法来保护网络授权的私钥
硬件解决方案
软件解决方案
现在让我们详细讨论它们.
硬件解决方案
您可以使用硬件解决方案为用户保护私钥,您可以向个人用户发放智能卡.所有密钥都存储在智能卡中,用户应使用指纹或使用PIN密码通过生物识别技术对其智能卡进行身份验证.
应保护这些智能卡免遭盗窃或每个用户和用户都可以使用该卡来加密文件.
不允许用户共享智能卡或将其提供给其他用户.
软件解决方案
还可以使用软件解决方案为个人用户存储私钥.与硬件解决方案相比,软件解决方案是更便宜的解决方案,但它们也不太安全.
当用户将私钥存储在文件和用户详细信息中时,需要保护这些文件以防止未经授权的访问.