LA SICUREZZA DEI SISTEMI SAP CLOUD
Esistono diversi punti di vista sull'argomento SAP Cloud Security. Ad esempio:
- La sicurezza che un provider di servizi in cloud offre dai provider italiani oppure gli hyperscalers internazionali (ad esempio: Microsoft Azure, Amazon AWS, Google, Alibaba Cloud)
- La sicurezza dal punto di vista del cliente nella configurazione dei prodotti che risiedono in ambienti cloud
- Sei davvero sicuro che adottando "RISE with SAP" sia tutto già sicuro by default?
Ma partiamo con ordine. Possiamo identificare due modi principali nella gestione dei sistemi, che a loro volta si possono differenziare ulteriormente:
- On-premise
- On Cloud
Nel primo caso On-premise, i prodotti SAP, sono fisicamente sotto il controllo del cliente. In quanto risiedono e sono gestiti direttamente dal cliente.
Nel secondo caso On Cloud, i prodotti non risiedono nell'infrastruttura del cliente ma sono ospitati e/o gestiti da un provider di servizi. Esistono ulteriori sotto classificazioni come ad esempio le logiche:
- Infrastructure-as-a-service [IaaS], di fatto SAP non usa questo modello, lasciato agli hyperscalers
- Platform-as-a-service [PaaS], SAP utilizza questo modello. Qui la parte applicativa viene lasciata al cliente, mentre gli aspetti architetturali al provider
- Software-as-a-service [SaaS], SAP utilizza questo modello. Qui, l'aggiornamento dei sistemi viene gestito direttamente dal provider
SAP si sta di fatto trasformando in una software house che forniva software on-premise verso una software house proiettata al Cloud. L'idea è quella di continuare ad innovare i processi aziendali, diminuendo i costi di gestione e migliorando gli aspetti di security.
Indice
Ma cosa cambia se uso il Cloud oppure l'On-Premise nel mio caso?
Partiamo dai vari pillar della security SAP.
- Sicurezza fisica
- In tutti i modelli in cloud è il provider che ne è responsabile
- Hardware
- In tutti i modelli in cloud è il provider che ne è responsabile
- Sviluppo di Applicazioni es SAP Cloud Platform o per usare un termini più recente BTP (Business Technology Platform)
- Sei direttamente tu ad effettuare e controllare gli sviluppi, mentre l'infrastruttura viene messa a disposizione dal provider, attenzione in questo caso agli sviluppi se e dove effettuati
- SAP Cloud Platform Cloud Foundry environment (piattaforma di SAP ma open)
- SAP Cloud Platform Neo environment (piattaforma proprietaria di SAP, in via di dismissione)
- Sei direttamente tu ad effettuare e controllare gli sviluppi, mentre l'infrastruttura viene messa a disposizione dal provider, attenzione in questo caso agli sviluppi se e dove effettuati
- Livello applicativo
- In tutti i casi sei tu a gestire il funzionamento dei vari processi e della sicurezza applicativa
Attenzione, nella parte Cloud SAP effettua ed ha effettuato parecchie acquisizioni nel tempo, come ad esempio per i prodotti Ariba e SAP SuccessFactors, Hybris, Gigya. Questi prodotti possono non avere le medesime logiche autorizzative presenti nei sistemi SAP "classici"
La sicurezza applicativa cambia?
La sicurezza applicativa dei prodotti non è di competenza dei provider di servizi. Quindi devi essere tu a gestire tutti gli aspetti di sicurezza, profilazione delle utenze e conformità ad eventuali normative e policy all'interno dei sistemi.
Di conseguenza le logiche di profilazione dei sistemi SAP rimangono, in questo caso immutate:
- Gestione delle utenze (Transazione SU01)
- Gestione della profilazione (Transazione PFCG)
- Tutte le logiche di trace e log all'interno della suite SAP
- Alcuni sistemi Cloud hanno delle logiche di gestione applicativa molto diverse da chi conosce i sistemi SAP basati su ABAP. Vedi qui per sistema C4C.
La conformità alle normative es. SoX, GDPR, SoD, ISO etc
In questi casi essendo normative legate, per la maggior parte ai dati applicativi, le modalità di gestione non cambiano sia che i sistemi siano on-premise sia che i sistemi SAP siano On Cloud.
- Leggi questo articolo per capire come la SoD ti aiuta a proteggere i dati aziendali.
- Leggi qui come conviene affrontare il GDPR in particolare su SAP, per proteggere i dati personali.
- La formazione del personale es. Security awareness
- Il masking e lo scrambling dei dati in SAP
SAP Governance Risk and Compliance (GRC)
Uno degli strumenti che SAP mette a disposizione per controllare la controllare e gestire la conformità dell'azienda alle normative di riferimento è il SAP GRC. Questo strumento permette di integrare sistemi On-premise ed On-Cloud.
Questo strumento formato da diversi sistemi (leggi qui l'approfondimento), permette nel caso dell'Access Control, di gestire i seguenti aspetti.
- ARA - Access Risk Analysis, Segregation of duties, tutte le fasi della SoD ad eccezione della parte di Mitigation per il testing dei controlli (per questa è necessario l'utilizzo del GRC Process Control)
- BRM - Role management, ovvero la gestione di un ciclo di vita dei ruoli autorizzativi)
- EAM - Emergency Access Management, ovvero la gestione degli accessi privilegiati (super utenze, firecall, amministratore di sistema)
- ARQ - Access Request Management, ovvero la gestione del ciclo di vita delle utenze SAP tramite l'utilizzo di workflow approvativi
Nel caso in cui il tuo landscape sia totalmente on-cloud conviene orientarsi sulla soluzione di Identity and Access Governance SAP IAG mentre nel caso di scenari ibridi il sistema GRC nella versione 12 (Perché migrare alla versione 12 del SAP GRC Access Control?) può integrarsi nei sistemi on-cloud.
SAP Identity Management (SAP IDM)
In landscape complessi, molto sistemi da gestire ed eterogenei tra loro, risulta essere fondamentale dotarsi di uno strumento che permetta di controllare il ciclo di vita delle utenze, almeno per queste casistiche:
- nuove utenze
- cambi di mansione
- dismissione utenze
Lo strumento di SAP che svolge queste attività si chiama SAP identity management.
Questo strumento può essere collegato a sistemi SAP e non SAP per effettuare il provisioning e de-provisioning delle utenze/ruoli nei vari sistemi collegati tramite la definizione di workflow approvativi. L'identity Management di SAP non prevede la possibilità di gestire la segregation of duties, per questo motivo viene collegato al sistema SAP GRC.
Negli scenari On-Cloud ed Ibridi è fondamentale avere uno strumento che permetta di gestire le utenze e l'accesso alle varie risorse. Nei sistemi on-cloud a differenza di quelli on-premise essendo esposti su internet è fondamentale bloccare l'accesso a risorse che non sono più formalmente autorizzate ad accedere.
Attenzione, la SAP dal 2027 ha deciso di non rendere più supportato il prodotto SAP IDM. Questo sarà in parte sostituito dai più recenti servizi cloud come ad esempio Cloud Identity Services ovvero IAS (Identity Authentication Service) e IPS (Identity Provisioning Services)
Programmazione Sicura
Come visto sopra è importante capire quale piattaforma di sviluppo utilizzare nell'ambiente cloud.
- SAP Cloud Platform Cloud Foundry environment (piattaforma di SAP ma open)
- SAP Cloud Platform Neo environment (piattaforma proprietaria di SAP, in dismissione*)
Quali le principali differenze?
SAP Neo* | SAP Cloud Foundry |
Proprietaria SAP | Open Source |
Supporta solo: Java, HTML5, HANA XS | Supporta molti linguaggi ad esempio: PHP, Java, Python, Ruby etcc |
Non è possibile gestire altri linguaggi | È possibile sviluppare nel proprio linguaggio |
SAP fornisce supporto sui linguaggi previsti sopra | SAP fornisce supporto solo su Java e Node JS |
Supporta solo la connessione ai data center SAP | Gestisce l'interfaccia di collegamento verso sistemi "data source" terzi es AWS, Google o Azure |
Anche se la piattaforma SAP Cloud Foundry permette di gestire più linguaggi e collegamenti, questi espone inevitabilmente a maggiori rischi. Diventa quindi fondamentale attivare dei meccanismi di controllo dello sviluppo del codice ABAP.
Guarda qui l'intervista che abbiamo fatto a due società che sviluppano software per il controllo della sicurezza negli sviluppi:
Come Aglea ti può aiutare?
Dal 2003 ci occupiamo esclusivamente di fornire consulenza security SAP in Italia ed anche all’estero.
Abbiamo realizzato molte decine di progetti di disegno del security concept SAP e revisione autorizzative. Questo ci ha permesso di definire degli acceleratori di progetto e degli strumenti che aiutano a far colloquiare il reparto IT (normalmente molto tecnico) con il business. Con l'obiettivo di semplificare la comunicazione tra gli attori coinvolti e migliorare il controllo dei sistemi.
Guarda le nostre certificazioni e case history.
Articoli Suggeriti
SAP Cloud Identity Access Governance
- Di che cosa si tratta? Cosa significa SAP IAG?
- Meglio rimanere On-premise, andare in Cloud o scenari ibridi?