Verteilte SAP-Systeme und IT-Sicherheit · 2012-08-16 · SAP-Systeme und IT-Sicherheit FH HRZ FH...
Transcript of Verteilte SAP-Systeme und IT-Sicherheit · 2012-08-16 · SAP-Systeme und IT-Sicherheit FH HRZ FH...
1-4
Übersicht
FH HRZ - Was ist das ?Aufgaben des FH HRZOrganisation der Institution FH HRZ
Sicherheit im SAP-UmfeldAusgangssituation im FH VerbundSecure Network CommunicationSAP-Landschaft FH HRZVerteilte SAP-Systeme der hess. HochschulenSicherheitsmanagement
Ausblick – neue Projekte
1-5
FH HRZ - Was ist das ?
FH HRZ
FFachachHHochschulenochschulen HHessens essens RRechenechenZZentrumentrum.
März 99 Entscheidung des Kabinetts zur Durchführung Projekt HR/3
April 1999 Gründung als gemeinsames Rechenzentrum der Fachhochschulen in Hessen(Beitritt der Kunsthochschulen im Aug. 2000)
Jan 2000 Produktivstart der Piloten Darmstadt, Giessen und Forschungsanstalt Geisenheim
Jan 2001 Produktivstart der Folgehochschulen
1-6
Aufgaben des FH HRZ
Projekt H R/3Einführung der Kosten- und Leistungsrechnung in der hessischen LandesverwaltungAblösung der kameralistischen Buchführung Kostenbudgets für die Hoch und FachhochschulenDezentralisierung und Eigenverantwortung
Aufgaben des FH HRZSAP R/3 BASIS
Konzepterstellung, Berechtigungswesen, dezentrale BenutzerverwaltungSupport, Unterstützung der lokalen RechenzentrenR/3 Operating
Neue Aufgaben IT-Sicherheit, IT-Projekte, IT-AusbildungR/3 Modulbetreuung
Kompetente Fachberatung in den ModulenFM, FI, FI-AA, MM, CO, HRCustomizing, Support
1-7
OrganisationFH HRZ – Leitung
Prof. Dr. WentzelReiner Göttmann
IT-Lösungen
SAP-AnwendungKarsten Kohl
Richard SimonHR N.NMM N.NSAP R/3 Basis
Roland EmmerichClaus Rode
IT-AusbildungRoland EmmerichMatthias Kohmann
Claus Rode
IT-Projekte
N.N.
IT-SicherheitJoachim Brandt
Matthias Kohmann
TeamassistentinSylvia Knapp
1-9
SAP-Landschaft FH HRZ Ausgangspunkt
SAP-Clients in mehreren Standorten, verschiedenen SubnetzenSAP-Clients in verschiedenen GebäudenSAP-Clients können nicht an allen Standorten in Subnetze zusammengefasst werden, die durch Firewall geschützt werden
Erhöhter Aufwand für die Grundsicherung der ClientsZiel: Ende-zu-Ende-Sicherheit – Starke Authentisierung und VerschlüsselungFlexible, erweiterbare LösungVon SAP zertifizierte Lösung
1-11
SAP und SicherheitSNC und die GSS-API v2
SAP Application Server
SNC (Secure Network Communication)
GSS-API v2(Generic Security Services)
GSS-API v2(Generic Security Services)
1-12
SNC und seine Einsatzmöglichkeiten
SAP GUI
SAPApplikationsserver
SAP Router
InternetRFC
SAP LPD
1-13
Komponenten von Secude für R/3
PKI – Public Key InfrastrukturCA (Certifcation Authority)Verwaltung der Zertifikate
Secude für R/3 – ServerkomponenteZertifikat des ServersVerschlüsselungAuthentifikation
Secude für R/3 – ClientkomponenteVerschlüsselungAuthentifikation
Secude für R/3 HardwarekomponentenSmartcardreader (B1, PC/SC)Smartcards (TCOS 2.0)
1-14
Secude Sicherheitstechnologie
Verwendete Verschlüsselungsfunktionensymmetrischer Verfahren (DES DES3, DES-EDE3-CBC) und kryptographische Funktionen (RSA, DAS)
Smartcards TCOS 2.0 (1024 Bit)Die Smartcard enthällt Rechner incl. Speicher. Der private Schlüssel für asymmetrische Kryptographie ist auf der Karte gespeichert. Wird dieser Schlüssel benötigt, werden die Daten zur Karte übertragen. Die Rechenoperationen finden auf der Karte statt.
Datei-PSE
1-15
Mögliche Angriffe
Angriff SchutzMan-in-the-middle attack AuthentizitätUnauthorisierte Änderung Integrität der DatenNicht authentifizierte Absender HerkunftsnachweisAbhören des Netzes Vertraulichkeit
Sicherheitsmechanismus3-Wege AuthentifikationDigitale SignaturDigitale SignaturVerschlüsselung
1-16
HybridverfahrenKlartext
symetrischeVerschlüsselung
symetrischeVerschlüsselung
symetrisches Chiffratdes Klartexts
asymetrischverschlüsselter Sitzungsschlüssel
Absender
Empfänger
Klartext
asymetrischeVerschlüsselung
asymetrischeVerschlüsselung
Sitzungsschlüssel(symetrisch)
Sitzungsschlüssel(symetrisch)
Öffentliche SchlüsselEmpfänger
Privater SchlüsselEmpfänger
1-18
SAP-Landschaft FH HRZ
FH-Frankfurt
FH-Wiesbaden
FA-Geisenheim
FH-Fulda
FH-Gießen/Friedberg
FH-Darmstadt
SAP R/3 Applikations-server
SAP-Router
FH HRZ
HFMDK
HFGO
SAP-Router
1-19
SAP-Landschaft FH HRZ
Applikationsebene
Gateway-Gateway
(Herstellerabhängig)
Saprouter-Saprouter
1-27
Verteilte SAP-Systeme der hess. Hochschulen Projekt H R/3 im Hochschulverbund
t
Standort
100 100
DEV QA
100 100 100 100 100 100
200 200 200 200 200200
900...
200
900
...200 200 200 200 200
FH’s und KunsthochschulenUniversitäten
HOCHSCHUL-REFERENZMODELL
PCC Physikalisches
Competence Centrum
VCC Virtuelles
Competence Centrum
PCC Physikalisches
Competence Centrum
VCC Virtuelles
Competence Centrum
1-28
Verteilte SAP-SystemeSicherheit durch FH HRZ als Secude Root CA
SAPROUTERPCC Darmstadt
SAPROUTERTU Darmstadt
SAPROUTERUni Frankfurt
SAPROUTERUni Gießen
SAPROUTERUni Marburg
SAPROUTERUni Kassel
SAPROUTERFA Geisenheim
SAPROUTERFH Frankfurt
SAPROUTERFH Giessen
SAPROUTERFH Wiesbaden
SAPROUTERFH Darmstadt
SAPROUTERHFMDK SAPROUTER
HFGO
SAPROUTERFH HRZ
1-30
1. Entwicklung einer IT-Sicherheitspolitik
2. Erstellung eines IT-Sicherheitskonzeptes
3. Realisierung der IT-Sicherheitsmaßnahmen
4. Schulung Sensibilisierung
5. IT-Sicherheit im laufenden Betrieb
Planung
Realisierung
Aufrechterhaltung
IT-Security-Management
1-31
FH HRZ Benutzermanagement
SAP-USER
FHHRZ TRUST CENTER
Vorgesetzter Personalabteilung
LokaleBenutzer-verwaltung
1-37
Problemstellungen im SAP Umfeld
Unzureichende Clientgerät InfrastrukturProblematik des Softwarerollouts und –upgradesHeterogene ClientsUnzureichende Grundsicherheit des ClientsHoher administrativer Aufwand der “PC-Landschaft”Teilweise geringe Bandbreite zu den Clients Security der KomunikationNeue Anforderungen
1-38
Access
Ausblick - Citrix im SAP-Umfeld
Client PC
Client PC
R/3
MetaFramePresentation Servers
Giga BitLAN
Internet
SAPGUI läuft auf der MetaFramePresentation Server Farm
- Konsolidierung von Client Software- Single Point of Installation & Administration- Integration 3rd party / alte Legacy Systeme- Minimierung von Infrastruktur Kosten f. Clients - Applikationen nutzen Backbone Bandbreite- Secure connection (128Bit key)- Workload balancing
R/3
R/3
Active DirectoryActive Directory
1-39
Erweiterung der Smartcardlösung
SAP R/3
WindowsDomainLogon
Email- und Datei-verschlüsselung
DigitaleSignatur
1-40
Migration
Windows NT 4
HP Integrity ServerRX 2600
HP NetserverLxr8000
HP NetserverLH4
HP Integrity ServerRX 2600
1-41
ÜÜberprberprüüfungfungVersionsVersions--
bereitschaftbereitschaft
ÜÜberprberprüüfungfungGenehmigteGenehmigte
VersionVersion
SLASLAReviewReview
ÜÜberprberprüüfungfungBetriebBetrieb
Änderung
BetriebSupport
Optimierung
Service Level ManagementService Level ManagementCapacity ManagementCapacity Management
Availability ManagementAvailability ManagementFinancial ManagementFinancial Management
Workforce ManagementWorkforce ManagementService Continuity MgtService Continuity Mgt
Change ManagementChange ManagementConfiguration ManagementConfiguration ManagementRelease ManagementRelease Management
Security AdministrationSecurity AdministrationSystem AdministrationSystem AdministrationNetwork AdministrationNetwork AdministrationService Monitoring & Control Service Monitoring & Control Directory Services Directory Services
AdministrationAdministrationStorage ManagementStorage ManagementJob SchedulingJob SchedulingPrint and Output ManagementPrint and Output Management
Service DeskService DeskIncident ManagementIncident ManagementProblem ManagementProblem Management
MOF = Microsoft Operations FrameworkMOF = Microsoft Operations FrameworkITIL=IT ITIL=IT InfrastructureInfrastructure LibraryLibrary
Ausrichtung nach ITIL und MOF