Zero Trust Security SAP

Posted by Massimo Manara on Sep 9, 2020 12:00:00 AM

Si tratta di un nuovo modello a cui tendere. Sicuramente non semplice ad oggi da implementare. Purtroppo, non si può acquistare!

Zero Trust Security

Ma come potrebbe essere in SAP?

Cosa significa Zero Trust Security?

  • Non esiste più la sicurezza perimetrale
  • Puntare sull'avere qualsiasi comunicazione crittografata, ogni servizio deve prevedere autenticazioni ed autorizzazioni
  • Purtroppo, non tutto in azienda è già pronto per essere "migrato" a questo nuovo concetto. Esistono infatti molte applicazioni legacy che devono essere riviste e questo può non essere affatto semplice

 

Sostanzialmente è un approccio, che comprende la sicurezza applicativa e quella fisica, dove chiunque può rappresentare una minaccia in qualsiasi momento. Non ci sono white liste o attori fidati. Ogni attore (rete, devices, applicazione, utente etcc) ha lo stesso livello potenziale di rischio.

 

Nella pubblicazione SP 800-207 il NIST ne definisce i dettagli.

 

Perché può non essere semplice?

Non sempre è possibile in azienda mettere mano a servizi o sistemi legacy. Molti di questi pur non essendo aggiornati agli ultimi standard di sicurezza rappresentano ancora dei processi importanti.

 

Andare quindi a rivederli può essere rischioso.

 

Nel caso di SAP, una opportunità, può essere quella di approfittare dei progetti di migrazione a S/4HANA.

 

SAP ha previsto in questo cambio epocale un passaggio importante, dove possono essere rivisti molti processi. Chiaramente ci sono diversi percorsi per la migrazione (leggi qui migrare a SAP S/4HANA), alcuni di questi sono puramente tecnologici altri anche applicativi.

 

Tuttavia, questa può essere l'occasione per rivedere e ripensare anche sistemi terzi.

 

Integrandoli/sostituendoli con SAP, dove possibile, oppure effettuando aggiornamenti o ulteriori implementazioni per adeguarli agli standard richiesti.

 

Cosa si può iniziare a fare?

Quali possono essere i driver? Alcuni sistemi che potrebbero agevolare questo passaggio sono i seguenti:

  • Centralizzazione degli accessi (es. IDM)
  • Gestione dell'autenticazione (es. Single Sing On)
  • Utilizzo di sistemi per il controllo del comportamento (es. SAP ETD o SIEM)
  • Gestione e protezione delle comunicazioni verso SAP ad esempio tramite lo strumento UCON (Unified Connectivity)

 

Quali sono i pilastri (pillar) di questo modello?

Sono sostanzialmente 5:

  • Device
  • User
  • Transport and session
  • Application
  • Data

 

Per quanto riguarda i dispositivi (device), viene sostanzialmente richiesto di avere un inventario di tutti i dispositivi presenti in azienda, garantendo il monitoraggio ed il controllo degli stessi. Nel caso di SAP questo potrebbe avvenire tramite le funzionalità standard del SAP Solution Manager.

 

Mentre per gli end point (PC, telefoni degli utenti), usando la tecnologia Microsoft Cloud, ad esempio, tramite le funzionalità di Microsoft Intune (per la distribuzione ed il controllo del software) e tramite le funzionalità di Inventory e controllo delle applicazioni installate di Microsoft Defender Advanced Threat Protection oltre anche in questo caso al controllo delle macchine stesse.

 

Microsoft ATP

 

User. Privilegiare i metodi di autenticazione robusti, quindi 2FA o MFA (two factor authentication oppure Multiple Factor Authentication).

 

In questo caso la soluzione più completa è quella del prodotto SAP Single Sing On, che permette di gestire gli aspetti di crittografia delle comunicazioni ed anche di multiple factor authentication.

 

Transport and session. In questo caso di fatto stiamo parlando del principio del minimo privilegio. Quindi degli aspetti di segregazione dei dati all'interno delle applicazioni SAP. Leggi qui la parte di SAP Security Authorization.

 

Application. Effettuare ed attivare delle logiche di Single Sing On, quindi ancora una volta il prodotto SAP SSO è utile per coprire due aspetti dell'approccio Zero Trust Security

 

Data. Uno degli aspetti più importanti, la protezione del dato. In questo caso quindi evitare di esportare dati in maniera non autorizzata, quindi attivare delle logiche di Data Loss Prevention.

In SAP sono diverse le metodologie e strumenti. Partendo ad esempio dal SAP Security Audit Log, passando per i prodotti di SAP Data Protection quindi UI Masking e UI Logging

Questi strumenti sono utili anche per la gestione del GDPR.

 

Cosa aspetti a valutare se la tua organizzazione è pronta?

 

 

Topics: sap sso, zero trust security

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti