AGLEA SAP Security Blog

SAP Data Masking in S/4HANA

Scritto da Massimo Manara | Dec 8, 2020 11:00:00 PM

Cosa significa fare data masking in SAP? Quali sono le opzioni possibili?

 

Perché è importante valutare cosa conviene fare e come? S/4HANA introduce novità rispetto alla versione SAP ERP SAP ECC?

Masking e scrambling

Questi due termini possono essere spesso confusi o utilizzati come sinonimi. Soprattutto in quanto diversi produttori di software che permettono di svolgere queste operazioni (diverse tra loro) li utilizzano in modo diverso.

 

Dal punto di vista della terminologia SAP è quindi fondamentale sottolineare la differenza tra il termine Masking ed il termine Scrambling.

 

  • Il primo, masking, per SAP fa riferimento al mascheramento dei dati in ambienti produttivi. I dati non sono modificati a livello di database ma solo anonimizzati quando vengono presentati all'utente.
  • Con il termine scrambling SAP intende la modifica dei dati direttamente nel database e quindi in ambienti non produttivi.

 

Guarda anche questo video

 

 

Esistono quindi software per effettuare masking e scrambling dei dati SAP?

Sì, ne esistono diversi, ad esempio:

  • EPI-USE con la soluzione Data Sync e Data Secure e le applicazioni per fare masking direttamente in ambienti produttivi (Redact), in realtà scrambling
    • Guarda qui il webinar che abbiamo fatto per lo scrambling dei dati in ambienti non produttivi
  • Libelle Data Masking, anche in questo caso per effettuare Scrambling
  • INQUAERO attraverso la soluzione ANONIMO permette di effettuare lo scrambling dei dati in ambienti non produttivi

 

Sono tutte soluzioni analoghe? Non proprio. A mio avviso non esiste tra queste la soluzione ideale per tutte le situazioni.

 

Dipende da che cosa vuoi ottenere, pur svolgendo la medesima attività, scrambling dei dati, ognuna di queste soluzioni ha delle particolarità che possono essere "vincenti" o meno a seconda della situazione.

 

Come fare in S/4HANA

SAP ha rilasciato un prodotto ad hoc per effettuare il Masking dei dati in ambiente S/4HANA. Si tratta comunque di una soluzione a pagamento chiamata UI Data Protection Masking for SAP S/4HANA.

 

Quali i punti di attenzione nell'implementazione del Masking in SAP?

  • Definisci in maniera dettagliata e tecnica quali sono i campi da gestire
  • Individua se ci sono limitazioni (non tutti i campi sono supportati)
  • Definisci la strategia di Masking, tutto o solo determinate casistiche?
  • Identifica se ci sono note da applicare, alcune patch devono essere esplicitamente installate
  • Valuta l'attuale profilazione (S/4HANA Profiling SAP), questo strumento non è pensato per limitare la visibilità degli amministratori di sistema
  • Definisci se usare il Masking oppure il Logging
  • Valuta se collegare il SIEM aziendale a questi log

 

Quali le novità della release S/4HANA Data Masking?

  • Unica interfaccia per tutti i canali. Nella versione del UI Data Protection Masking per ECC, ogni canale (SAP GUI, FIORI, CRM etcc) doveva essere configurato ed installato in maniera indipendente. Ora può essere tutto integrato in una unica soluzione
  • Diventa possibile decide cosa si vuole fare con i campi SAP da mascherare. Non solo puoi decidere se mettere gli asterischi ma puoi definire se non far vedere il campo o renderlo senza valori (blank)
  • Paradigma autorizzativo. Nella versione del masking per S/4HANA è possibile non solo ragionare sui ruoli oppure sulle BAdl sviluppate ma anche tramite delle policy, in aggiunta
  • Masking di contesto, nella versione ECC non era possibile, se non attraverso lo sviluppo di codice utilizzare questa tecnica, ora tramite l'utilizzo delle policy è possibile mascherare dei campi in base al contesto. Nel caso sotto solo gli utenti del gruppo SUPER sono soggetti al masking. Questa tecnica può essere applicata anche ad altri processi chiaramente. Ad esempio mascherare i prezzi solo se il tipo ordine di vendita è XY.
  • Reveal on demand una funzionalità che permette alle persone autorizzate di minimizzare i dati visibili
    In questo caso non deve essere visto come un modo per chi non è autorizzato per vedere i dati. Ma piuttosto un modo per chi è già autorizzato e minimizzare gli impatti di visibilità del dato.

    Pensa ad esempio alle seguenti situazioni
     
    • Devi far vedere una schermata ad un tuo collega che però non è autorizzato a vedere i dati. In questo modo puoi fare un print screen e mandarlo senza correre il rischio di diffusione dati "sensibili"
    • Simile al caso sopra, ma durante un supporto. Nel caso in cui ci sia da fare una chiamata con l'IT per risoluzione di un determinato problema, in condivisione dello schermo. In questo caso è possibile evitare che persone non autorizzate vedano dati sfruttando la condivisione dello schermo (per ragioni di help desk)
    • Nel caso in cui la tua postazione sia in un open space. Nel caso in cui qualcuno sia dietro di te, i dati sono mascherati, fino a quando non decidi tu di vederli
    • Nella maggior parte dei casi potresti entrare in una transazione senza dover vedere i dati sensibili. Quindi ne minimizzi l'accesso tramite questa funzione