המלצות עבור משתמשים, תפקידים והרשאות במסד נתונים. המלצות לאבטחת גישה ל-SAP HANA.
Recommendations for Database Users, Roles, and Privileges. securing access to SAP HANA.
משתמש מערכת
משתמש מסד הנתונים SYSTEM הוא משתמש מסד הנתונים החזק ביותר עם הרשאות מערכת בלתי חוזרות. משתמש SYSTEM פעיל לאחר יצירת מסד נתונים.
השתמש ב- SYSTEM כדי ליצור משתמשי מסד נתונים עם ערכת ההרשאות המינימלית הנדרשת עבור תפקידיהם (לדוגמה, ניהול משתמשים, ניהול מערכת).
לאחר מכן בטל את ההפעלה של SYSTEM. עם זאת, באפשרותך להפעיל מחדש באופן זמני את משתמש SYSTEM עבור משימות חירום או bootstrapping.
משתמש SYSTEM אינו נדרש לעדכן את מערכת מסד הנתונים SAP HANA ניתן ליצור משתמש בעל הרשאות פחותות למטרה זו. עם זאת, כדי לשדרג חבילות תמיכה של SAP, חבילות שיפורים של SAP ומערכות SAP באמצעות Software Update Manager (SUM) וכדי להתקין, להעביר ולהקצות מערכות SAP באמצעות Software Provisioning Manager (SWPM), המשתמש SYSTEM נדרש ויש להפעיל אותו מחדש באופן זמני למשך השדרוג, ההתקנה, ההעברה או הקצאת המשאבים.
אורך חיי הסיסמה של משתמשי מסד הנתונים
למעט משתמשים טכניים פנימיים מדיניות ברירת המחדל של סיסמאות המשתמש מגבילה את משך החיים של סיסמאות משתמש ל- 182 יום (6 חודשים).
אל תהפוך את בדיקת משך חיי הסיסמה ללא זמינה עבור משתמשי מסד נתונים המתאימים לאנשים אמיתיים.
בתרחישים תלת-שכבתיים עם שרת יישומים, רק חשבונות משתמשים טכניים עבור חיבור מסד הנתונים של שרת היישומים צריכים לכלול סיסמה עם אורך חיים בלתי מוגבל (לדוגמה, DBACOCKPIT).
למשתמשים טכניים כאלה צריכה להיות מטרה מזוהה בבירור וההרשאה המינימלית הנדרשת ב-SAP HANA.
בתצוגת המערכת USERS, בדוק את הערך בעמודה IS_PASSWORD_LIFETIME_CHECK_ENABLED. אם היא FALSE, בדיקת משך החיים של הסיסמה מושבתת.
זמן שינוי הסיסמה האחרון LAST_PASSWORD_CHANGE_TIME.
System Privileges
הרשאות מערכת מאשרות פעולות לניהול מסד הנתונים. למשתמשים SYSTEM ו- _SYS_REPO יש את כל ההרשאות הללו כברירת מחדל.
הרשאות מערכת צריכות להיות מוענקות רק למשתמשים שבאמת זקוקים להן.
בנוסף, מספר הרשאות מערכת מעניקות הרשאות רבות-עוצמה, לדוגמה, היכולת למחוק נתונים ולהציג נתונים לא מסוננים ויש להעניק להם בזהירות יתרה כדלקמן:
רק משתמשי ניהול או תמיכה צריכים להיות בעלי הרשאות המערכת הבאות במסד נתונים של ייצור:
- CATALOG READ
- TRACE ADMIN
במסד נתונים מכל סוג שימוש, יש להעניק את הרשאות המערכת הבאות רק למשתמשים ניהוליים הזקוקים להן בפועל:
- ADAPTER ADMIN
- AGENT ADMIN
- AUDIT ADMIN
- AUDIT OPERATOR
- BACKUP ADMIN
- BACKUP OPERATOR
- CERTIFICATE ADMIN
- CREATE REMOTE SOURCE
- CREDENTIAL ADMIN
- ENCRYPTION ROOT KEY ADMIN
- EXTENDED STORAGE ADMIN
- INIFILE ADMIN
- LDAP ADMIN
- LICENSE ADMIN
- LOG ADMIN
- MONITOR ADMIN
- OPTIMIZER ADMIN
- RESOURCE ADMIN
- SAVEPOINT ADMIN
- SERVICE ADMIN
- SESSION ADMIN
- SSL ADMIN
- TABLE ADMIN
- TRUST ADMIN
- VERSION ADMIN
- WORKLOAD ADMIN
- WORKLOAD * ADMIN
כדי לבדוק לאיזה משתמש יש הרשאת מערכת מסוימת, בצע שאילתה בתצוגת המערכת EFFECTIVE_PRIVILEGE_GRANTEES, לדוגמה:
SELECT * FROM EFFECTIVE_PRIVILEGE_GRANTEES WHERE OBJECT_TYPE = ‘SYSTEMPRIVILEGE’ AND PRIVILEGE = ‘SSL ADMIN’ AND GRANTEE NOT IN (‘SYSTEM’,’_SYS_REPO’);
הרשאות מערכת: שילובים קריטיים
למשתמשים SYSTEM ו- _SYS_REPO יש את כל הרשאות המערכת כברירת מחדל.
אין להעניק שילובים קריטיים של הרשאות מערכת יחד, לדוגמה:
USER ADMIN and ROLE ADMIN
CREATE SCENARIO and SCENARIO ADMIN
AUDIT ADMIN and AUDIT OPERATOR
CREATE STRUCTURED PRIVILEGE and STRUCTUREDPRIVILEGE ADMIN
כדי לבדוק הרשאות של משתמש, בצע שאילתה על תצוגת המערכת EFFECTIVE_PRIVILEGES, לדוגמה:
SELECT * FROM “PUBLIC”.”EFFECTIVE_PRIVILEGES” WHERE USER_NAME = ‘<USER_NAME>’;
הרשאת מערכת: מנהל נתונים
הרשאת המערכת DATA ADMIN היא הרשאה רבת עוצמה. הוא מאשר למשתמש לבצע את כל פקודות שפת הגדרת הנתונים (DDL) במסד הנתונים SAP HANA. רק למשתמשים SYSTEM ו- _SYS_REPO יש הרשאה זו כברירת מחדל.
לאף משתמש או תפקיד במסד נתונים של ייצור לא צריכה להיות הרשאה זו.
באפשרותך לוודא אם למשתמש או לתפקיד יש הרשאת מנהל נתונים על-ידי ביצוע ההצהרה:
SELECT * FROM EFFECTIVE_PRIVILEGE_GRANTEES WHERE OBJECT_TYPE = ‘SYSTEMPRIVILEGE’ AND PRIVILEGE = ‘DATA ADMIN’ AND GRANTEE NOT IN (‘SYSTEM’,’_SYS_REPO’);
הרשאת מערכת: פיתוח
הרשאת המערכת DEVELOPMENT מאשרת פקודות פנימיות מסוימות של ALTER SYSTEM. כברירת מחדל, רק למשתמשים SYSTEM ו- _SYS_REPO יש הרשאה זו.
לאף משתמש או תפקיד במסד נתונים של ייצור לא צריכה להיות הרשאה זו.
באפשרותך לוודא אם למשתמש או לתפקיד יש הרשאת פיתוח על-ידי ביצוע המשפט:
SELECT * FROM EFFECTIVE_PRIVILEGE_GRANTEES WHERE OBJECT_TYPE = ‘SYSTEMPRIVILEGE’ AND PRIVILEGE = ‘DEVELOPMENT’ AND GRANTEE NOT IN (‘SYSTEM’,’_SYS_REPO’);
הרשאות איתור באגים
לאף משתמש אין הרשאות איתור באגים
אין להקצות את ההרשאות DEBUG ו- ATTACH DEBUGGER למשתמש כלשהו עבור אובייקט כלשהו במערכות ייצור.
באפשרותך לוודא אם למשתמש או לתפקיד יש הרשאות איתור באגים על-ידי ביצוע המשפטים:
SELECT * FROM GRANTED_PRIVILEGES WHERE PRIVILEGE=’DEBUG’ OR PRIVILEGE=’ATTACH DEBUGGER’;
תפקיד קטלוג מוגדר מראש CONTENT_ADMIN
CONTENT_ADMIN התפקיד מכיל את כל ההרשאות הדרושות לעבודה עם מודלי מידע במאגר של מסד הנתונים SAP HANA.
למשתמש SYSTEM יש את התפקיד CONTENT_ADMIN כברירת מחדל.
רק למשתמש מסד הנתונים המשמש לביצוע עדכוני מערכת אמור להיות התפקיד CONTENT_ADMIN. אחרת, אל תעניק תפקיד זה למשתמשים, במיוחד במסדי נתונים של ייצור. יש להשתמש בו כתבנית תפקיד בלבד.
באפשרותך לוודא אם למשתמש או לתפקיד יש תפקיד CONTENT_ADMIN על-ידי ביצוע ההצהרה:
SELECT * FROM GRANTED_ROLES WHERE ROLE_NAME = ‘CONTENT_ADMIN’ AND GRANTEE NOT IN (‘SYSTEM’);
תפקיד קטלוג מוגדר מראש SAP_INTERNAL_HANA_SUPPORT
SAP_INTERNAL_HANA_SUPPORT התפקיד מכיל הרשאות מערכת והרשאות אובייקט המאפשרות גישה לתצוגות מערכת פנימיות מסוימות ברמה נמוכה הדרושות לתמיכה בפיתוח SAP HANA במצבי תמיכה.
לאף משתמש אין תפקיד SAP_INTERNAL_HANA_SUPPORT כברירת מחדל.
תפקיד זה יוענק רק למשתמשי תמיכת הפיתוח של SAP HANA עבור פעילויות התמיכה שלהם.
באפשרותך לוודא אם למשתמש או לתפקיד יש תפקיד SAP_INTERNAL_HANA_SUPPORT על-ידי ביצוע ההצהרה:
SELECT * FROM EFFECTIVE_ROLE_GRANTEES WHERE ROLE_NAME = ‘SAP_INTERNAL_HANA_SUPPORT’;
תפקידי מאגר מוגדרים מראש
SAP HANA מסופק עם ערכה של רכיבי תוכנה מותקנים מראש המיושמים כיישומי אינטרנט, ספריות ונתוני תצורה של SAP HANA. ההרשאות הדרושות לשימוש ברכיבים אלה כלולות בתפקידי מאגר המסופקים עם הרכיב עצמו.
כדי לוודא אם למשתמש או לתפקיד יש תפקיד מסוים, בצע את המשפט הבא, לדוגמה:
SELECT * FROM EFFECTIVE_ROLE_GRANTEES WHERE ROLE_NAME =’sap.hana.xs.admin.roles::HTTPDestAdministrator’;
פרמטר משתמש לקוח
ניתן להשתמש בפרמטר המשתמש CLIENT כדי לאשר משתמשים בעלי שם ב-SAP HANA. רק משתמש בעל הרשאת מערכת USER ADMIN יכול לשנות את הערך של הפרמטר CLIENT שכבר הוקצה למשתמשים אחרים. עם זאת, בזמן ריצה, כל משתמש יכול להקצות ערך שרירותי לפרמטר CLIENT על-ידי הגדרת משתנה המופע המתאים או העברת הפרמטר באמצעות מציין מיקום בשאילתה.
מנע ממשתמשים בעלי שם לשנות את פרמטר המשתמש CLIENT בעצמם, אך אפשר למשתמשים טכניים לעשות זאת בהפעלות ו/או בשאילתות שלהם.
כדי לוודא שמשתמשים אינם מורשים בדרך כלל לשנות את הפרמטר משתמש לקוח, ודא שהפרמטר [הרשאה] secure_client_parameter בקובץ הכללי.ini מוגדר כ- true:
SELECT * FROM “M_INIFILE_CONTENTS” WHERE KEY=’SECURE_CLIENT_PARAMETER’;
כדי לוודא שרק תפקידים או משתמשים מותרים יכולים לשנות את הפרמטר משתמש לקוח, בצע את המשפט הבא:
SELECT * FROM EFFECTIVE_PRIVILEGE_GRANTEES WHERE OBJECT_TYPE = ‘SYSTEMPRIVILEGE’ AND PRIVILEGE = ‘CLIENT PARAMETER ADMIN’;
תגיות:
SAP HANA, ABAP, S/4HANA, BW/4HANA, BFL, shacham levi, SAP BASIS, CODE, SAP NOTE, UPGRADE, Install, Database, Oito, SCM LEVI, MM, PP, SD, FI, GRC, sap netweaver, ECC , SAP GUI, JAVA, Portal, BigData Big Data, config, ERP,
תכנות, סאפ, פיתוח, שחם לוי, מגרציה, שדרוג, התקנה, בסיס נתונים, פרוייקט, התקנות, שדרוגים, פונקציות, יישום, אויטו, טייפים, ממשק, משתמש, יישום, הגדרות, סאפ חנה,