sap forum 2009: fit sap güvenlik servisleri
DESCRIPTION
SAP Forum 2009:SAP bakış açısı ile yazılım ve proje standardizasyonu, güvenlik araçları.TRANSCRIPT
SAP Güvenlik Çözümleri
Sezai Yiğiter (FIT Consulting)
FIT Consulting
FIT Consulting
FIT Hakkında
© SAP 2008 / Page 2
1999 Yılında Türkiye’de kurulan ilk SAP Teknoloji Danışmanlık şirketidir. 10 yıldır sadece Teknolojiye (Basis, ABAP, Mobil, Entegrasyon ve Netweaver) odaklanmıştır. Türkiye’de birçok İLK’e imza atmıştır.
SAP ile Entegre İlk E-Ticaret Sitesi (Arena Bilgisayar PENCER-E) İLK UNIX > LINUX Platform Göçü (Sabah Gazetesi) SAP Netweaver Portal ile İLK Tedarikçi ve Bayi Portali (TEMSA) SAP Netweaver Portal ile İLK Bilet Satış Sistemi (İDO) İLK SAP & Elektronik İmza Entegrasyonu (İSFALT) SAP Veri Erişimi Güvenliğinin Parmak İzi ile korunması (ÜLKER) SOA Yaklaşımı ile İLK Mobil Uygulamalar (ÜLKER) SAP CRM Sistemi Veri Arşivlemesi (AKBANK) Çalışan İLK Duet Sistemi kurulumu (FIT)
FIT Türkiye, FIT Hollanda ve FIT Kıbrıs faal olan ülke şirketleridir. FIT’nin bazı Partnerleri: SAP, Microsoft, Turkcell, Deloitte , Casio Avrupa. FIT’nin bazı Müşterileri: Nestlé, Ülker, İDO, İSFALT, Tüpraş, OPET, Koçtaş, BriSA, Temsa Global,
Avea, Vodafone, Havaş,...
Ürünlerimiz, hizmetlerimiz ve çözümlerimiz hakkında detaylı bilgi için
http://www.fitcons.com
FIT Consulting
© SAP 2007 / Page 3
1. Amaç
2. SAP Güvenlik Yaklaşımı2.1 Sık Karşılaşılan Güvenlik Açıkları
2.2 SAP Güvenliği Nasıl Sağlanır
3. Standart SAP Güvenlik Araçları3.1 Güvenliğe yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T
2.3.1 F.A.S.T Yaklaşımı2.3.2 F.A.S.T Fonksiyonları2.3.3 F.A.S.T Kurulum
4. Sonuç
Agenda
FIT Consulting
© SAP 2007 / Page 4
Amaç
Sistemde sık karşılaşılan güvenlik açıklarının kapatılmasına yönelim çözümler
Açık Noktaların tespit edilmesi SAP sistemleri Güvenliğinin sağlanmasıBu işlemlerin daha az zaman ve kaynak kullanılarak
yapılabilmesi
FIT Consulting
© SAP 2007 / Page 5
1. Amaç
2. SAP Güvenlik Yaklaşımı2.1 Sık Karşılaşılan Güvenlik Açıkları
2.2 SAP Güvenliği Nasıl Sağlanır
3. Standart SAP Güvenlik Araçları3.1 Güvenliğe yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T
2.3.1 F.A.S.T Yaklaşımı2.3.2 F.A.S.T Fonksiyonları2.3.3 F.A.S.T Kurulum
4. Sonuç
Agenda
FIT Consulting
© SAP 2007 / Page 6
Sık Karşılaşılan Güvenlik açıkları
Deloitte 2008 - Top 10 Denetim bulguları
3
4
5
2
• Fazla verilmiş yetkiler
1
• Görevler Ayrılığı
• Erişim kontrolün uygulamasının prosedürlerle uyumsuzluğu
• Kontrollerin dökümante edilmemesi
• Log kayıtlarının olmaması
8
9
10
7
• Uygulama geliştirme personelinin canlı ortama ve dataya erişimi
6
• Logların gözden geçirilmemesi
• İşten ayrılma veya transfer durumunda erişim haklarının kaldırılmaması
• DRC/BCP Testleri
• Canlı ortam verisinin test ortamında kullanılması
FIT Consulting
© SAP 2007 / Page 7
SAP Sistemleri Güvenlik Nasıl sağlanır - 1
Kullanıcı Güvenliği Şifre Güvenliği Yetkilendirme Görevlerin Ayrımı (SoD)
Sistem Güvenliği Sistemlerin korunması Standart Kullanıcılar RFC Bağlantıları Kullanıcı aktivitelerinin izlenmesi SAP güncelleştirmeleri
FIT Consulting
© SAP 2007 / Page 8
SAP Sistemleri Güvenlik Nasıl sağlanır - 2
Veritabanı Güvenliği Veritabanı kulanıcı/şifre güvenliği Veritabanı kullanıcı yetkileri Veritabanına uzaktan erişim Veritabanı Audit Trace Yedekleme Stratejisi Disaster Recovery planı Veritabanı Büyüme Planı
İşletim Sistemi Güvenliği İşletim Sistemi Kullanıcı/Şifre Yetkili kullanıcılar Dizin hakları Paylaşımlar Antivirüs Tehlikeli Startup programları Sistemlere Uzaktan Erişim
FIT Consulting
© SAP 2007 / Page 9
1. Amaç
2. SAP Güvenlik Yaklaşımı2.1 Sık Karşılaşılan Güvenlik Açıkları
2.2 SAP Güvenliği Nasıl Sağlanır
3. SAP Güvenlik Araçları3.1 Güvenliğe yönelik SAP Çözümleri3.2 SAP GRC3.3 SAP IDM2.3 F.A.S.T
2.3.1 F.A.S.T Yaklaşımı2.3.2 F.A.S.T Fonksiyonları2.3.3 F.A.S.T Kurulum
4. Sonuç
Agenda
FIT Consulting
© SAP 2007 / Page 10
Güvenliğe yönelik SAP Çözümleri
Sık karşılaşılan Denetim Bulguları ÇözümFazla verilmiş yetkiler SAP GRC AC, FASTGörevler Ayrılığı SAP GRC AC, FASTErişim kontrolün uygulamasının prosedürlerle uyumsuzluğu
SAP GRC AC, SAP IDM
Uygulama geliştirme personelinin canlı ortama ve dataya erişimi SAP GRC AC, FASTİşten ayrılma veya transfer durumunda erişim haklarının kaldırılmaması SAP IDM, FASTLog kayıtlarının olmaması FAST
SAP GRC ve SAP IDM, SAP BO ürün ailesinde bulunan çözümlerdirFAST, Fit consulting tarafında geliştirilmiş, güvenliğe yönelik bir çözümdür.
FIT Consulting
© SAP 2007 / Page 11
Güvenliğe yönelik SAP Çözümleri – SAP BO GRC Access Control
SAP BO GRC Nedir?Kurum içinde entegre bir şekilde çalışan uygulamalar bütünüdür. Bu uygulamalar, risklerin ve kontrollerin dokümantasyon ve
yönetimini gerçek zamanlı olarak sağlamaya yardımcı olur. Kontrollerin otomasyonu ve risklerin etki ve olabilirliğini de minimize
ederler.
FIT Consulting
Güvenliğe yönelik SAP Çözümleri – SAP BO GRC AC Araçları
© SAP 2007 / Page 12
SAP BO GRC Access Control Risk analysis and remediation
Görevlerin ayrımı icin kuralların tanımlanması ve temizlik işlemlerini yapar.
Enterprise role management PFCG üzerinden yapılan yetkilendirme yapılır. Yetklilendirme
sırasında SoD kontrolleri yapar. Rollerin download ve uploadu gereklidir.
Compliant user provisioning Tanımlanmıs SoD kurallarının korunmasını sağlar.
Superuser privilege management Super yetkili kullanıcıların sisteme girişlerini kontrol eder
FIT Consulting
Güvenliğe yönelik SAP Çözümleri – SAP IDM
SAP NetWeaver Identity ManagementErişimin rollerle sağlanmasıAçık EntegrasyonSenkronizasyonRaporlama ve AuditKolay YönetimKullanıcılar için Self ServisSOA Uyumluluğu
Şifre Yönetimi Raporlama
Sanal DizinVeri
Senkronizasyonu
Roller ve Atamalar
Provisioning
FIT Consulting
F.A.S.T (FIT Automatic Security Tool) Yaklaşımı
SAP Güvenlik
Kullanıcı Güvenliği – F.A.S.T
SAP Sistem Güvenliği - F.A.S.T
Veritabanı Güvenliği
İşletim Sistemi Güvenliği
F.A.S.T Kullanıcı Güvenliği ve SAP Sistem Güvenliği açıklarını bulup, önlemede kullanılan bir
hazır araçtır
FIT Consulting
F.A.S.T – FIT Automatic Security Tool
F.A.S.T Kullanıcı Güvenliği ve SAP Sistem Güvenliği açıklarını bulup, önlemede kullanılan bir
hazır araçtır
FAST Tekrar Çalıştırılabilir. Sistemdeki açıklar toplu halde görülebilir. Excel formatında rapor sunabilir Güvenlik açıkları üzerinde kontrol sahibi olunmasını sağlar Risklerin önemine göre sınıflandırma yapabilir Otomatik düzeltme yapmaz. Öneri sunar
FIT Consulting
F.A.S.T Fonksiyonları - 1
Kullanıcı Güvenliği Şifre Güvenliği kontrolleri Kritik Yetkilerin kontrolü
Kritik transactionların kullanımı Kritik yetki nesnelerinin kullanımı
Yetkilendirme Matrisi oluşturulması Görevlerin Ayrımı (SoD) Kontrolü
FIT Consulting
F.A.S.T Fonksiyonları - 2
Sistem Güvenliği Sistemlerin korunması
Client Koruması Geliştirme korunması
Standart Kullanıcıların korunması RFC Bağlantıları Kullanıcı aktivitelerinin izlenmesi
Security Audit Log Table logging
SAP güncelleştirmeleri Veritabanı / İşletim sistemi kontrolü Kernel Kontrolü Support package kontrolü Güvenlik Notları kontrolü
FIT Consulting
F.A.S.T Raporlama - 1
FIT Consulting
Kurulum / Günceleme
F.A.S.T ABAP
– SAP İçerisindeki kontroller ABAP ile yazılmıştır .NET
– Bulunan açıkların yorumlanması .NET ile yazılmıştır.
F.A.S.T KurulumuZFIT ABAP Güvenlik Paketinin sistemlere taşınmasıStandalone .NET F.A.S.T uygulamasının Windows
tabanlı sisteme kurulumu
F.A.S.T GüncellemeZFIT ABAP Güvenlik Paketi değişikliklerinin sistemlere
taşınmasıStandalone .NET F.A.S.T uygulamasının update
Windows tabanlı sisteme kurulumu
FIT Consulting
Sonuç
SAP’de karşılaşılan güvenlik problemleri çözülemez değildirSAP’nin güvenliğe yönelik araçları GRC ve IDMdirF.A.S.T SAP güveliğine yönelik hazırlanmış bir araçtır
FIT Consulting
© SAP 2007 / Page 21
Thank you!