In che modo i tuoi fornitori accedono ai tuoi sistemi? Esistono molti tipi di accesso e strade diverse?
Quali modalità utilizziamo, nella nostra esperienza, e che cosa ne pensiamo? Soprattutto per quanto riguarda gli accessi ai sistemi SAP.
Accesso tramite SAP Router
Il SAP Router permette l'accesso da remoto ai sistemi SAP aziendali. Attenzione, dovrebbe essere usato con molta parsimonia questo tipo di accesso.
In particolare, dovrebbe essere limitato solo agli accessi da parte del supporto SAP. Ricordati che puoi definire delle VPN site to site con il supporto SAP o altri protocolli sicuri di connessione.
Perché non rilasciare questo tipo di accesso?
- Se ad un tuo fornitore non viene rinnovato il contratto oppure si esaurisce, devi ricordarti di rimuovere questo tipo di accesso, quasi sempre spesso questa azione è manuale
- Se il SAP Router viene usato per dare accesso a terzi, spesso si inizia con rilasciare un solo accesso, poi, dato che è molto semplice come modalità di comunicazione si inizia ad ampliare, perdendone il controllo
- I dati che sono esportati da SAP possono essere subito condivisi senza il tuo controllo. Se non hai dei meccanismi di protezione (Digital Rights Management) e/o Data Loss Prevention dei dati all'interno di SAP, il fornitore si salva sulla propria macchina i dati al quale è autorizzato ad accedere (senza controllo da parte tua)
- Il collegamento e l'accesso (se presente) può essere utilizzato da più persone o comunque potenzialmente non quelle formalmente dichiarate
- In questo caso il fornitore potrà accedere solamente alle risorse SAP, altre risorse come sharepoint o tuoi servizi interni (es. repository e sistemi di ticket) non saranno raggiungibili
Un altro metodo di accesso è tramite l'uso di un client VPN.
Accesso da remoto tramite client VPN
Il client VPN permette di creare un accesso diretto tra la macchina dove è installato e la tua rete aziendale.
Ne esistono davvero tantissimi di client, le funzioni sono molto simili tra loro, ecco i principali (secondo nessun tipo di ordinamento particolare):
- Cisco AnyConnect
- GlobalProtect (Palo Alto Networks)
- Pulse Secure
- Check Point Remote Secure Access
- Forticlient
- AT&T VPN Client
Alcuni di questi supportano anche delle logiche di Multiple Factor Authentication, tramite SMS o APP. Nel caso di applicazioni MFA (Multipe Factor Authentication), quale telefono viene utilizzato da parte del fornitore? Un telefono aziendale o personale?
La relazione in questo caso è Cliente->Fornitore (dove quest'ultimo non è la società ma la persona) che spesso può anche uscire dall'azienda.
Quante volte i fornitori segnalano ai propri clienti che una persona non fa più parte dell'azienda?
Davvero il fatto di aspettare che un utente non sia usato per poi bloccarlo a seguito di un determinato periodo di tempo è una sicurezza?
Accesso da remoto tramite Virtual Machine
In questo caso viene fornita una Virtual Machine che il fornitore si deve installare (con eventuali client / certificati) che di fatto permette di diventare una macchina a tutti gli effetti nella rete aziendale. In diverse situazioni è stato utilizzato WMware Horizon. In alcuni scenari viene utilizzato il software Citrix.
Tra tutte le soluzioni quest'ultima è a mio avviso quella più cautelativa dal punto di vista del controllo dei dati. Anche se, probabilmente, quella più complessa da gestire, sia lato cliente sia lato fornitore.
Necessità di una infrastruttura e gestione ad hoc.
Accesso VPN Site to Site
In questo caso la relazione che si va a creare non è tra Rete Aziendale -> Fornitore (persona del fornitore) ma tra Rete Aziendale -> Fornitore (società).
In quanto vengono scambiati una serie di dati tra il cliente ed il fornitore per unire le reti (ovviamente solo sui servizi condivisi ed approvati con le logiche di controllo in base alle policy aziendali definite).
Quando un dipendente del fornitore esce dall'azienda quindi, se i propri accessi alla rete sono stati correttamente disabilitati non avrà più accesso alle risorse del cliente.
Non vi sono aggiornamenti da apportare periodicamente ai client. Spesso soggetti a frequenti patch e aggiornamenti da apportare. In molti casi il fornitore non è autonomo nell'aggiornare e distribuire i client, in quanto solo chi ha licenziato il software VPN può scaricare gli aggiornamenti.
Quali sono le porte dei servizi SAP?
In questo link tutte le porte usate dai sistemi SAP:
https://help.sap.com/viewer/ports
Conclusioni?
Per accessi sporadici, l'accesso via client è sicuramente la strada più consigliata. Tuttavia, per accessi costanti, a fronte di un servizio continuativo (ad esempio SAP AMS), magari durate pluriennali, probabilmente l'accesso VPN site to site può essere utile.
Diventa in questo caso strategico capire se il fornitore ha le "carte in regola" partendo ad esempio da certificazioni ISO specifiche come la 270001.