Se lavori in ambito SAP sicuramente conosci la piattaforma SAP BTP Business Technology Platform, se co sì non fosse prosegui nella lettura!

Ma quali sono i punti di attenzione della piattaforma dal punto di vista della sicurezza dai dati? Quanto fatto nel contesto on-premise è replicabile on-cloud? Ma cosa controlli o cosa conviene verificare?

Cosa è la SAP BTP?

Si tratta di una piattaforma cloud messa a disposizione dalla SAP che permette di sviluppare applicazioni, attivare servizi che riguardano gli aspetti legati all'automazione dei processi, alla analisi dei dati, all'intelligenza artificiale, all'integrazione dei sistemi e molte altre funzionalità.

Come avviene la gestione delle utenze nella SAP BTP?

Ne abbiamo già parlato in un post dedicato, se te lo sei perso leggi qui: SAP BTP User Management?

Quali sono i controlli da fare nella SAP BTP?

Trovo sia un componente già abbastanza diffuso tuttavia ancora non del tutto "conosciuto" rispetto alle soluzioni presenti da molto tempo sul mercato ad esempio. Per diverse ragioni a mio avviso:

• in alcuni casi è usato in minima parte
• ci sono ancora alcune lacune formative (anche nella consulenza)
• retaggi culturali o abitudini del passaggio che non la prediligono
• progetti chiavi in mano dove spesso "non si sa cosa si è fatto lì sopra" pur funzionando le applicazioni sviluppate
• affidamento completo al cloud nella logica sicuro by default
• costantemente in sviluppo, questo non è un punto negativo tuttavia deve essere considerato

Per queste ragioni anche gli aspetti legati alla protezione dei dati, soprattutto sulla piattaforma sono spesso sottovalutate. Anche qui si presenta il rischio di:

• utilizzare le stesse logiche dei sistemi on-premise, il che può non essere certo sbagliato, ma dipende come si è gestito l'on-premise
• replicare gli errori dell'on-premise non sfruttando le nuove modalità di gestione che offre il cloud. Un esempio su tutti la centralizzazione delle utenze

Ma cosa dovremmo verificare quindi?

Ci sono diversi domini di controllo sui quali porre attenzione ad esempio:

• la tematica dell'autenticazione
• la gestione del cloud connector
• la gestione delle credenziali
• la gestione dei destination service

Ognuna delle macroaree sopra può declinarsi in diversi aspetti. Ad esempio, la BTP offre la possibilità di utilizzare un concetto di "Risk-Based Authentication" ovvero utilizzando determinati attributi di controllo viene definito un livello di rischio durante l'autenticazione.

Facendo un paragone nel contesto Microsoft esiste questa logica, ad esempio, dove se non hai alcuni criteri soddisfatti (antivirus aggiornato, sistema operativo aggiornato etcc) non è possibile autenticarsi in quanto alcuni o tutti i criteri di sicurezza non sono soddisfatti.

Così come, sempre restando nell'area dell'autentication, è possibile abilitare o disabilitare il logon attraverso i profili social. Esiste inoltre la possibilità di bloccare degli utenti secondo alcuni criteri (es. se non usati)? 

Oppure nel caso della comunicazione con sistemi terzi il mancato utilizzo di protocolli sicuri. O la verifica che gli audit log siano attivi.

Sono alcuni degli esempi sulle possibili verifiche da svolgere. Sei sicuro che la tua configurazione della BTP rispetti quanto sopra descritto?