AGLEA SAP Security Blog

S/4HANA Profiling SAP: 1 motivo in più per migrare

Scritto da Massimo Manara | Sep 22, 2020 10:00:00 PM

Dalla release SAP ECC alla release S/4HANA sono state introdotte diverse novità.

 

 

Ma allo stesso tempo sono state rimosse molte altre funzionalità. Alcune di queste molto critiche! In questo articolo una di queste!

S/4HANA è sicuro by default?

SAP ha investito molto per quanto riguarda la sicurezza dei sistemi.

 

Se nelle release meno recenti alcune configurazioni permettevano di rendere il sistema più sicuro, queste erano da attivare esplicitamente.

 

Nelle release S/4HANA, in particolare dalla release 1909 alcune di queste configurazioni sono attive by-default.

 

Significa che appena effettuo l'installazione non devo fare nulla? Purtroppo non è così sono ancora molte le funzionalità che devono essere esplicitamente attivate e configurate. Banalmente la complessità delle password.

 

Cosa è rimasto uguale?

La struttura della profilazione in generale, quindi gli strumenti delle principali transazioni security SAP (Leggi qui e scarica quali sono le "SAP security transactions" principali) sono rimaste invariate, seppur migliorate.

 

Fa in parte eccezione l'interfaccia di FIORI sfruttata dalla suite S/4HANA. Ma anche questa in parte già nota per alcuni clienti che sfruttavano da prima gli aspetti legati agli accessi mobile di SAP.

Ma cosa è stato rimosso di così critico?

Esisteva un programma (in realtà una function) eseguibile in ambiente produttivo tramite la transazione SE37 che permetteva (in realtà permette, per chi non è ancora migrato ad S/4) di installare ed eseguire programmi, senza lasciare traccia nel sistema.

 

La function si chiama RFC_ABAP_INSTALL_AND_RUN.

 

 

Si hai letto bene.

 

La function permette infatti di:

  1. Creare dall'esterno un programma nel sistema SAP
  2. Eseguire dall'esterno il programma appena caricato
  3. Cancellare il programma eseguito in ambiente produttivo (per coprire le tracce)

 

Dalla release S/4HANA 1809 questa function module è stata disabilitata inserendo un messaggio di avviso, mentre dalla 1909 è stata definitivamente rimossa dal sistema.

 

Anche se la function può essere eseguita in un ambiente aperto (ovvero dove il mandante non è chiuso) può essere sfruttata comunque in sistemi non produttivi o durante i momenti di apertura del sistema (magari correttamente sotto procedura)

 

Come puoi capire se è stata sfruttata o controllarla?

Nei sistemi ECC (NetWeaver) può essere gestita gestendo l'oggetto S_RFC oppure implementando dei controlli come Unified Connectivity (UCON).

 

Mentre dalla release SAP_BASIS 7.40 è stato introdotto uno specifico oggetto autorizzativo per l'esecuzione di questa function: S_RFCRAIAR - Auth. object for RFC_ABAP_INSTALL_AND_RUN function module.

 

Nel caso in cui nel tuo landscape sia presente SAP Data Services, fai riferimento a questa nota OSS: 2590950 - Can the function /SAPDS/RFC_ABAP_INSTALL_AND_RUN be safely removed? - Data Services

 

Tramite il SAP Security Audit Log puoi capire se è stata utilizzata rilevando i messaggi sotto.

 

Una verifica durante un audit interno può essere utile per capire se è stata usata questa funzionalità, anche nel passato, nei sistemi produttivi o non produttivi.

 

Hai degli strumenti che ti permettano di capire se nel tuo sistema sono sfruttate funzionalità simili oppure non sono attivate le misure note per mitigare questi rischi?