Non ne hai mai sentito parlarne? Ma di cosa si tratta?
Come funziona e quali sono i punti di attenzione di questo strumento?
Cosa è il Secure Optimization Service?
Si tratta di uno strumento, incluso nella suite del Solution Manager che permette di svolgere dei controlli sugli aspetti di security SAP.
Se hai già visto il servizio Early Watch di SAP, prodotto sempre tramite Solution Manager, beh è molto simile. Ma ci sono alcune differenze.
Se Early Watch non è pensato per la security SAP, certo contiene qualche indicazione, il SAP SOS (Secure Optimization Service) è specifico per gli aspetti di security. Inoltre, può essere personalizzato, ovvero per alcune tipologie di ricerche è possibile definire delle soglie di alert personalizzate.
Nel PDF o WORD che viene prodotto puoi trovare tutti i findings ricercati, come mostrato di seguito.
A cosa serve il Secure Optimization Service?
Serve per effettuare periodicamente dei controlli security sui propri sistemi SAP. Ma quali controlli vengono fatti? Ve ne sono parecchi e su diverse aree.
In alcuni casi possono essere personalizzati, in altre parole possono andare a "disattivare" alcune evidenze se ritengo siano corrette (questo non è possibile in EWA - Early Watch).
- Authentication
- Password Policy
- General Authentication (utenti che non usano il sistema)
- Single Sing On
- Basis administration and SAP Security Authorization
- Basis Administration
- Batch
- OS Access
- Incoming e Outcoming RFC
- Change Management
- Data and Program Access
- Change Control
- Development
- Transport Control
- User Authorization
- User Management
- Super User
- Standard User
- Role and Authorization Management
- Web application server
- Internet Communication Framework
Sono solo alcune delle macro aree oggetto dei controlli.
Nella OSS Note "1484124 - Guided Security Optimization Self Service - Prerequisites" puoi trovare i pre-requisiti che deve avere il solution manager affiché sia disponibile questa funzionalità.
Una volta effettuate tutte le configurazioni previste è possibile pianificare l'esecuzione del SOS tramite la transazione SM_WORKCENTER
Tramite l'utilizzo di un questionario è possibile per diversi findings andare ad effettuare delle personalizzazioni su eccezioni emerse.
Quali sono i punti di attenzione/limiti?
Il SAP SOS è un ottimo strumento per iniziare a tenere sotto controllo i propri sistemi aziendali SAP.
Tuttavia, presenta alcune limitazioni che devono essere considerate
- Non permette di esportare facilmente in formato EXCEL le evidenze prodotte, è possibile esportare solamente in PDF e WORD
- Non ha la possibilità di avere delle dashboard centralizzati, anche per avere sotto controllo in un unico punto più sistemi
- Non effettua i controlli in real time
- Non controlla eventuali patch o note security mancanti, in questo caso esiste una funzionalità del SAP Solution Manager chiamata System Recommendations
- Nel caso di SAP HANA, al momento non è incluso nel servizio che puoi fare tu in autonomia, come cliente. Deve essere richiesto a SAP, a pagamento
- Il SOS non effettua analisi dei rischi di Segregation of Duties ad esempio
Ma sono realmente dei limiti questi?
In realtà a mio avviso no. Il SOS è ideale per iniziare un percorso di maturità aziendale ed avviare un processo di remediation. Considerando certo quanto detto sopra.
Per effettuare un passaggio di maturità successivo la naturale soluzione potrebbe essere quella di attivare il SAP Enterprise Threat Detection.