In che modo i tuoi fornitori accedono ai tuoi sistemi? Esistono molti tipi di accesso e strade diverse?
Quali modalità utilizziamo, nella nostra esperienza, e che cosa ne pensiamo? Soprattutto per quanto riguarda gli accessi ai sistemi SAP.
Il SAP Router permette l'accesso da remoto ai sistemi SAP aziendali. Attenzione, dovrebbe essere usato con molta parsimonia questo tipo di accesso.
In particolare, dovrebbe essere limitato solo agli accessi da parte del supporto SAP. Ricordati che puoi definire delle VPN site to site con il supporto SAP o altri protocolli sicuri di connessione.
Perché non rilasciare questo tipo di accesso?
Un altro metodo di accesso è tramite l'uso di un client VPN.
Il client VPN permette di creare un accesso diretto tra la macchina dove è installato e la tua rete aziendale.
Ne esistono davvero tantissimi di client, le funzioni sono molto simili tra loro, ecco i principali (secondo nessun tipo di ordinamento particolare):
Alcuni di questi supportano anche delle logiche di Multiple Factor Authentication, tramite SMS o APP. Nel caso di applicazioni MFA (Multipe Factor Authentication), quale telefono viene utilizzato da parte del fornitore? Un telefono aziendale o personale?
La relazione in questo caso è Cliente->Fornitore (dove quest'ultimo non è la società ma la persona) che spesso può anche uscire dall'azienda.
Quante volte i fornitori segnalano ai propri clienti che una persona non fa più parte dell'azienda?
Davvero il fatto di aspettare che un utente non sia usato per poi bloccarlo a seguito di un determinato periodo di tempo è una sicurezza?
In questo caso viene fornita una Virtual Machine che il fornitore si deve installare (con eventuali client / certificati) che di fatto permette di diventare una macchina a tutti gli effetti nella rete aziendale. In diverse situazioni è stato utilizzato WMware Horizon. In alcuni scenari viene utilizzato il software Citrix.
Tra tutte le soluzioni quest'ultima è a mio avviso quella più cautelativa dal punto di vista del controllo dei dati. Anche se, probabilmente, quella più complessa da gestire, sia lato cliente sia lato fornitore.
Necessità di una infrastruttura e gestione ad hoc.
In questo caso la relazione che si va a creare non è tra Rete Aziendale -> Fornitore (persona del fornitore) ma tra Rete Aziendale -> Fornitore (società).
In quanto vengono scambiati una serie di dati tra il cliente ed il fornitore per unire le reti (ovviamente solo sui servizi condivisi ed approvati con le logiche di controllo in base alle policy aziendali definite).
Quando un dipendente del fornitore esce dall'azienda quindi, se i propri accessi alla rete sono stati correttamente disabilitati non avrà più accesso alle risorse del cliente.
Non vi sono aggiornamenti da apportare periodicamente ai client. Spesso soggetti a frequenti patch e aggiornamenti da apportare. In molti casi il fornitore non è autonomo nell'aggiornare e distribuire i client, in quanto solo chi ha licenziato il software VPN può scaricare gli aggiornamenti.
In questo link tutte le porte usate dai sistemi SAP:
https://help.sap.com/viewer/ports
Per accessi sporadici, l'accesso via client è sicuramente la strada più consigliata. Tuttavia, per accessi costanti, a fronte di un servizio continuativo (ad esempio SAP AMS), magari durate pluriennali, probabilmente l'accesso VPN site to site può essere utile.
Diventa in questo caso strategico capire se il fornitore ha le "carte in regola" partendo ad esempio da certificazioni ISO specifiche come la 270001.