Verteilte SAP-Systeme und IT-Sicherheit

Transkript

1 Verteilte SAP-Systeme und IT-Sicherheit FH HRZ FH Darmstadt Claus Rode SAP R/3 Basis 1-3

2 Übersicht FH HRZ - Was ist das? Aufgaben des FH HRZ Organisation der Institution FH HRZ Sicherheit im SAP-Umfeld Ausgangssituation im FH Verbund Secure Network Communication SAP-Landschaft FH HRZ Verteilte SAP-Systeme der hess. Hochschulen Sicherheitsmanagement Ausblick neue Projekte 1-4

3 FH HRZ - Was ist das? FH HRZ FachHochschulen Hessens RechenZentrum. März 99 April 1999 Entscheidung des Kabinetts zur Durchführung Projekt HR/3 Gründung als gemeinsames Rechenzentrum der Fachhochschulen in Hessen (Beitritt der Kunsthochschulen im Aug. 2000) Jan 2000 Produktivstart der Piloten Darmstadt, Giessen und Forschungsanstalt Geisenheim Jan 2001 Produktivstart der Folgehochschulen 1-5

4 Aufgaben des FH HRZ Projekt H R/3 Einführung der Kosten- und Leistungsrechnung in der hessischen Landesverwaltung Ablösung der kameralistischen Buchführung Kostenbudgets für die Hoch und Fachhochschulen Dezentralisierung und Eigenverantwortung Aufgaben des FH HRZ SAP R/3 BASIS Konzepterstellung, Berechtigungswesen, dezentrale Benutzerverwaltung Support, Unterstützung der lokalen Rechenzentren R/3 Operating Neue Aufgaben IT-Sicherheit, IT-Projekte, IT-Ausbildung R/3 Modulbetreuung Kompetente Fachberatung in den Modulen FM, FI, FI-AA, MM, CO, HR Customizing, Support 1-6

5 Organisation FH HRZ Leitung Prof. Dr. Wentzel Reiner Göttmann IT-Lösungen SAP R/3 Basis Roland Emmerich Claus Rode Teamassistentin Sylvia Knapp SAP-Anwendung Karsten Kohl Richard Simon HR N.N MM N.N IT-Ausbildung Roland Emmerich Matthias Kohmann Claus Rode IT-Projekte N.N. IT-Sicherheit Joachim Brandt Matthias Kohmann 1-7

6 SAP-Landschaft FH HRZ Ausgangspunkt SAP-Clients in mehreren Standorten, verschiedenen Subnetzen SAP-Clients in verschiedenen Gebäuden SAP-Clients können nicht an allen Standorten in Subnetze zusammengefasst werden, die durch Firewall geschützt werden Erhöhter Aufwand für die Grundsicherung der Clients Ziel: Ende-zu-Ende-Sicherheit Starke Authentisierung und Verschlüsselung Flexible, erweiterbare Lösung Von SAP zertifizierte Lösung 1-9

7 SAP und Sicherheit SNC und die GSS-API v2 SAP Application Server SNC (Secure Network Communication) GSS-API v2 (Generic Security Services) GSS-API v2 (Generic Security Services) 1-11

8 SNC und seine Einsatzmöglichkeiten SAP GUI SAP Router SAP Applikationsserver Internet RFC SAP LPD 1-12

9 Komponenten von Secude für R/3 PKI Public Key Infrastruktur CA (Certifcation Authority) Verwaltung der Zertifikate Secude für R/3 Serverkomponente Zertifikat des Servers Verschlüsselung Authentifikation Secude für R/3 Clientkomponente Verschlüsselung Authentifikation Secude für R/3 Hardwarekomponenten Smartcardreader (B1, PC/SC) Smartcards (TCOS 2.0) 1-13

10 Secude Sicherheitstechnologie Verwendete Verschlüsselungsfunktionen symmetrischer Verfahren (DES DES3, DES-EDE3-CBC) und kryptographische Funktionen (RSA, DAS) Smartcards TCOS 2.0 (1024 Bit) Die Smartcard enthällt Rechner incl. Speicher. Der private Schlüssel für asymmetrische Kryptographie ist auf der Karte gespeichert. Wird dieser Schlüssel benötigt, werden die Daten zur Karte übertragen. Die Rechenoperationen finden auf der Karte statt. Datei-PSE 1-14

11 Angriff Mögliche Angriffe Man-in-the-middle attack Unauthorisierte Änderung Nicht authentifizierte Absender Abhören des Netzes Schutz Authentizität Integrität der Daten Herkunftsnachweis Vertraulichkeit Sicherheitsmechanismus 3-Wege Authentifikation Digitale Signatur Digitale Signatur Verschlüsselung 1-15

12 Hybridverfahren Klartext Absender symetrische Verschlüsselung Sitzungsschlüssel (symetrisch) asymetrische Verschlüsselung Öffentliche Schlüssel Empfänger symetrisches Chiffrat des Klartexts asymetrisch verschlüsselter Sitzungsschlüssel asymetrische Verschlüsselung Privater Schlüssel Empfänger Empfänger symetrische Verschlüsselung Sitzungsschlüssel (symetrisch) 1-16 Klartext

13 SAP-Landschaft FH HRZ FH-Darmstadt FA-Geisenheim SAP R/3 Applikationsserver SAP-Router FH-Wiesbaden SAP-Router FH HRZ FH-Frankfurt HFGO FH-Gießen/Friedberg HFMDK FH-Fulda 1-18

14 SAP-Landschaft FH HRZ Sapro uter-s aprou ter wa y Gateway-Gate ängig) (Herstellerabh ene b e s n atio Applik 1-19

15 Verteilte SAP-Systeme der hess. Hochschulen Projekt H R/3 im Hochschulverbund HOCHSCHUL- REFERENZMODELL PCC PCC Physikalisches Physikalisches Competence CompetenceCentrum Centrum VCC VCC Virtuelles Virtuelles Competence CompetenceCentrum Centrum DEV QA t Standort 900 Universitäten FH s und Kunsthochschulen 1-27

16 Verteilte SAP-Systeme Sicherheit durch FH HRZ als Secude Root CA FH Frankfurt FH Giessen PCC Darmstadt TU Darmstadt FH Wiesbaden Uni Frankfurt FA Geisenheim FH Darmstadt FH HRZ Uni Gießen HFMDK HFGO Uni Marburg Uni Kassel 1-28

17 IT-Security-Management Planung 1. Entwicklung einer IT-Sicherheitspolitik Realisierung 2. Erstellung eines IT-Sicherheitskonzeptes 3. Realisierung der IT-Sicherheitsmaßnahmen Aufrechterhaltung 4. Schulung Sensibilisierung 5. IT-Sicherheit im laufenden Betrieb 1-30

18 FH HRZ Benutzermanagement SAP-USER FHHRZ TRUST CENTER Lokale Benutzerverwaltung Vorgesetzter Personalabteilung 1-31

19 Literatur des FH HRZ zur SAP-Sicherheit 1-32

20 Problemstellungen im SAP Umfeld Unzureichende Clientgerät Infrastruktur Problematik des Softwarerollouts und upgrades Heterogene Clients Unzureichende Grundsicherheit des Clients Hoher administrativer Aufwand der PC-Landschaft Teilweise geringe Bandbreite zu den Clients Security der Komunikation Neue Anforderungen 1-37

21 Ausblick - Citrix im SAP-Umfeld Client PC SAPGUI läuft auf der MetaFrame Presentation Server Farm Access MetaFrame Presentation Servers Giga Bit LAN Active Directory R/3 - Konsolidierung von Client Software - Single Point of Installation & Administration - Integration 3rd party / alte Legacy Systeme - Minimierung von Infrastruktur Kosten f. Clients - Applikationen nutzen Backbone Bandbreite - Secure connection (128Bit key) - Workload balancing R/3 Internet R/3 Client PC 1-38

22 Erweiterung der Smartcardlösung SAP R/3 Windows Domain Logon Digitale Signatur - und Dateiverschlüsselung 1-39

23 Migration HP Netserver Lxr8000 HP Netserver LH4 HP Integrity Server RX 2600 HP Integrity Server RX 2600 Windows NT

24 Ausrichtung nach ITIL und MOF Service Level Management Capacity Management Availability Management Financial Management Workforce Management Service Continuity Mgt Überprüfung Genehmigte Version Change Management Configuration Management Release Management Optimierung Änderung SLA Review Überprüfung Versions- bereitschaft Service Desk Incident Management Problem Management MOF = Microsoft Operations Framework ITIL=IT Infrastructure Library 1-41 Support Betrieb Überprüfung Betrieb Security Administration System Administration Network Administration Service Monitoring & Control Directory Services Administration Storage Management Job Scheduling Print and Output Management