S/4HANA Profiling SAP: 1 motivo in più per migrare

Posted by Massimo Manara on Sep 23, 2020 8:15:00 AM
Massimo Manara
Find me on:

Dalla release SAP ECC alla release S/4HANA sono state introdotte diverse novità.

 

MISSING

 

Ma allo stesso tempo sono state rimosse molte altre funzionalità. Alcune di queste molto critiche! In questo articolo una di queste!

S/4HANA è sicuro by default?

SAP ha investito molto per quanto riguarda la sicurezza dei sistemi.

 

Se nelle release meno recenti alcune configurazioni permettevano di rendere il sistema più sicuro, queste erano da attivare esplicitamente.

 

Nelle release S/4HANA, in particolare dalla release 1909 alcune di queste configurazioni sono attive by-default.

 

Significa che appena effettuo l'installazione non devo fare nulla? Purtroppo non è così sono ancora molte le funzionalità che devono essere esplicitamente attivate e configurate. Banalmente la complessità delle password.

 

Cosa è rimasto uguale?

La struttura della profilazione in generale, quindi gli strumenti delle principali transazioni security SAP (Leggi qui e scarica quali sono le "SAP security transactions" principali) sono rimaste invariate, seppur migliorate.

 

Fa in parte eccezione l'interfaccia di FIORI sfruttata dalla suite S/4HANA. Ma anche questa in parte già nota per alcuni clienti che sfruttavano da prima gli aspetti legati agli accessi mobile di SAP.

Ma cosa è stato rimosso di così critico?

Esisteva un programma (in realtà una function) eseguibile in ambiente produttivo tramite la transazione SE37 che permetteva (in realtà permette, per chi non è ancora migrato ad S/4) di installare ed eseguire programmi, senza lasciare traccia nel sistema.

 

La function si chiama RFC_ABAP_INSTALL_AND_RUN.

 

RFC_ABAP_INSTALL_AND_RUN

 

Si hai letto bene.

 

La function permette infatti di:

  1. Creare dall'esterno un programma nel sistema SAP
  2. Eseguire dall'esterno il programma appena caricato
  3. Cancellare il programma eseguito in ambiente produttivo (per coprire le tracce)

 

Dalla release S/4HANA 1809 questa function module è stata disabilitata inserendo un messaggio di avviso, mentre dalla 1909 è stata definitivamente rimossa dal sistema.

 

Anche se la function può essere eseguita in un ambiente aperto (ovvero dove il mandante non è chiuso) può essere sfruttata comunque in sistemi non produttivi o durante i momenti di apertura del sistema (magari correttamente sotto procedura)

 

Come puoi capire se è stata sfruttata o controllarla?

Nei sistemi ECC (NetWeaver) può essere gestita gestendo l'oggetto S_RFC oppure implementando dei controlli come Unified Connectivity (UCON).

 

Mentre dalla release SAP_BASIS 7.40 è stato introdotto uno specifico oggetto autorizzativo per l'esecuzione di questa function: S_RFCRAIAR - Auth. object for RFC_ABAP_INSTALL_AND_RUN function module.

 

Nel caso in cui nel tuo landscape sia presente SAP Data Services, fai riferimento a questa nota OSS: 2590950 - Can the function /SAPDS/RFC_ABAP_INSTALL_AND_RUN be safely removed? - Data Services

 

Tramite il SAP Security Audit Log puoi capire se è stata utilizzata rilevando i messaggi sotto.

 

SM20N

Una verifica durante un audit interno può essere utile per capire se è stata usata questa funzionalità, anche nel passato, nei sistemi produttivi o non produttivi.

 

Hai degli strumenti che ti permettano di capire se nel tuo sistema sono sfruttate funzionalità simili oppure non sono attivate le misure note per mitigare questi rischi?

Iscriviti al blog se ancora non lo hai fatto!

 

 

Topics: security audit log, S/4HANA Security, S/4HANA migration, SAP audit

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti