LA SICUREZZA DEI SISTEMI SAP CLOUD

Ma cosa cambia se uso il Cloud oppure l'On-Premise nel mio caso?

Partiamo dai vari pillar della security SAP.

• Sicurezza fisica
  • In tutti i modelli in cloud è il provider che ne è responsabile
• Hardware
  • In tutti i modelli in cloud è il provider che ne è responsabile
• Sviluppo di Applicazioni es SAP Cloud Platform
  
  • Sei direttamente tu ad effettuare e controllare gli sviluppi, mentre l'infrastruttura viene messa a disposizione dal provider, attenzione in questo caso agli sviluppi se e dove effettuati
    • SAP Cloud Platform Cloud Foundry environment (piattaforma di SAP ma open)
    • SAP Cloud Platform Neo environment (piattaforma proprietaria di SAP)
• Livello applicativo
  • In tutti i casi sei tu a gestire il funzionamento dei vari processi e della sicurezza applicativa

Attenzione, nella parte Cloud SAP effettua ed ha effettuato parecchie acquisizioni nel tempo, come ad esempio per i prodotti Ariba e Success Factors, Hybris, Gigya. Questi prodotti possono non avere le medesime logiche autorizzative presenti nei sistemi SAP "classici"

La sicurezza applicativa cambia? 

La sicurezza applicativa dei prodotti non è di competenza dei provider di servizi. Quindi devi essere tu a gestire tutti gli aspetti di sicurezza, profilazione delle utenze e conformità ad eventuali normative e policy all'interno dei sistemi.

Di conseguenza le logiche di profilazione dei sistemi SAP rimangono, in questo caso immutate:

• Gestione delle utenze (Transazione SU01)
• Gestione della profilazione (Transazione PFCG)
• Tutte le logiche di trace e log all'interno della suite SAP

La conformità alle normative es. SoX, GDPR, SoD, ISO etc

In questi casi essendo normative legate, per la maggior parte ai dati applicativi, le modalità di gestione non cambiano sia che i sistemi siano on-premise sia che i sistemi SAP siano On Cloud.

• Leggi questo articolo per capire come la SoD ti aiuta a proteggere i dati aziendali.
• Leggi qui come conviene affrontare il GDPR in particolare su SAP, per proteggere i dati personali.
• La formazione del personale es. Security awareness
• Il masking e lo scrambling dei dati in SAP

SAP Governance Risk and Compliance (GRC)

Uno degli strumenti che SAP mette a disposizione per controllare la controllare e gestire la conformità dell'azienda alle normative di riferimento è il SAP GRC. Questo strumento permette di integrare sistemi On-premise ed On-Cloud.

Questo strumento formato da diversi sistemi (leggi qui l'approfondimento), permette nel caso dell'Access Control, di gestire i seguenti aspetti.

• ARA - Access Risk Analysis, Segregation of duties, tutte le fasi della SoD ad eccezione della parte di Mitigation per il testing dei controlli (per questa è necessario l'utilizzo del GRC Process Control)
• BRM - Role management, ovvero la gestione di un ciclo di vita dei ruoli autorizzativi)
• EAM - Emergency Access Management, ovvero la gestione degli accessi privilegiati (super utenze, firecall, amministratore di sistema)
• ARQ - Access Request Management, ovvero la gestione del ciclo di vita delle utenze SAP tramite l'utilizzo di workflow approvativi

Nel caso in cui il tuo landscape sia totalmente on-cloud conviene orientarsi sulla soluzione di Identity and Access Governance SAP IAG mentre nel caso di scenari ibridi il sistema GRC nella versione 12 (Perché migrare alla versione 12 del SAP GRC Access Control?) può integrarsi nei sistemi on-cloud.

SAP Identity Management (SAP IDM)

In landscape complessi, molto sistemi da gestire ed eterogenei tra loro, risulta essere fondamentale dotarsi di uno strumento che permetta di controllare il ciclo di vita delle utenze, almeno per queste casistiche:

• nuove utenze
• cambi di mansione
• dismissione utenze

Lo strumento di SAP che svolge queste attività si chiama SAP identity management.

Questo strumento può essere collegato a sistemi SAP e  non SAP per effettuare il provisioning e de-provisioning delle utenze/ruoli nei vari sistemi collegati tramite la definizione di workflow approvativi. L'identity Management di SAP non prevede la possibilità di gestire la segregation of duties, per questo motivo viene collegato al sistema SAP GRC.

Negli scenari On-Cloud ed Ibridi è fondamentale avere uno strumento che permetta di gestire le utenze e l'accesso alle varie risorse. Nei sistemi on-cloud a differenza di quelli on-premise essendo esposti su internet è fondamentale bloccare l'accesso a risorse che non sono più formalmente autorizzate ad accedere.

Programmazione Sicura

Come visto sopra è importante capire quale piattaforma di sviluppo utilizzare nell'ambiente cloud.

• SAP Cloud Platform Cloud Foundry environment (piattaforma di SAP ma open)
• SAP Cloud Platform Neo environment (piattaforma proprietaria di SAP)

Quali le principali differenze?

Anche se la piattaforma SAP Cloud Foundry permette di gestire più linguaggi e collegamenti, questi espone inevitabilmente a maggiori rischi. Diventa quindi fondamentale attivare dei meccanismi di controllo dello sviluppo del codice ABAP.

Guarda qui l'intervista che abbiamo fatto a due società che sviluppano software per il controllo della sicurezza negli sviluppi:

Come Aglea ti può aiutare? 

Dal 2003 ci occupiamo esclusivamente di fornire consulenza security SAP in Italia ed anche all’estero.

Abbiamo realizzato molte decine di progetti di disegno del security concept SAP e revisione autorizzative. Questo ci ha permesso di definire degli acceleratori di progetto e degli strumenti che aiutano a far colloquiare il reparto IT (normalmente molto tecnico) con il business. Con l'obiettivo di semplificare la comunicazione tra gli attori coinvolti e migliorare il controllo dei sistemi.

Guarda le nostre certificazioni e case history.