Как привести SAP-системы в соответствие с требованиями ФСТЭК России
- 1. Управление обновлениями
- 2. Учетные записи и пароли по умолчанию
- 3. Неиспользуемый функционал и сервисы
- 4. Открытые интерфейсы и администрирование
- 5. Параметры профиля и конфигурации безопасности
- 6. Шифрование и защита каналов связи
- 7. Контроль доступа и разделение полномочий
- 8. Логирование и аудит
- 9. Безопасность данных в SAP-системах
- 10. Безопасность процесса безопасной разработки в SAP-системах
- Заключение
- Таблица: Перечень параметров, ролей, сервисов и учётных записей, подлежащих контролю
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала «Рекомендации по предотвращению реализации угроз безопасности информации при применении SAP-систем в условиях прекращения их технической поддержки и распространения обновлений на территории Российской Федерации».
После официального прекращения поддержки SAP на территории Российской Федерации компании-пользователи столкнулись с беспрецедентной дилеммой. С одной стороны — требование регулятора (ФСТЭК России) обеспечить актуальность, защищённость и управляемость критически важных ERP-систем. С другой — техническая невозможность получать официальные обновления и консультации вендора, что создаёт растущее множество неисправленных уязвимостей и неконтролируемых рисков. Ручная инвентаризация тысяч объектов, поиск патчей и аудит конфигураций становятся колоссальной, почти невыполнимой задачей для внутренних ИБ-команд.
Как в этих условиях выполнять «Рекомендации по предотвращению реализации угроз безопасности информации при применении SAP-систем»? Решение есть — это автоматизация процессов кибербезопасности с помощью отечественных технологий.
SafeERP — это многофункциональный модульный комплекс для контроля безопасности сложных ERP-систем, работающих на платформах SAP и 1С. Это полностью российская разработка, зарегистрированная в Едином реестре российских программ.
Продукт имеет модульную архитектуру, что позволяет гибко выстраивать защиту. Ключевым для задач ФСТЭК является модуль SafeERP Security Suite, который напрямую встраивается в инфраструктуру SAP заказчика и обеспечивает глубокий анализ платформы и кода.
Рассмотрим, как SafeERP решает конкретные задачи, поставленные в методических рекомендациях.
Ручной анализ состояния компонентов и поиск отсутствующих патчей — трудоёмкий и неточный процесс. SafeERP значительно автоматизирует этот механизм:
— Непрерывный анализ установленных компонентов SAP. Система предоставляет полную и актуальную картину ландшафта.
— Автоматическая проверка и загрузка SAP Security Notes. SafeERP Security Suite умеет автоматически находить и получать неустановленные SAP Security ноты, что критически важно в условиях отсутствия прямой поддержки от вендора. Это напрямую закрывает рекомендацию ФСТЭК о проверке наличия неустановленных корректур безопасности.
— Централизованное управление и отчётность. Все данные о версиях, установленных и недостающих патчах агрегируются в наглядных дашбордах и отчётах.
— В комплексе реализованы проверки наличия в системах более 4000 SAP нот.
2. Учётные записи и пароли по умолчанию
Продукт проводит полную инвентаризацию всех учётных записей, включая системные (SAP*, DDIC), технические и пользовательские, с последующей автоматической оценкой их активности и критичности. На основе этой инвентаризации SafeERP позволяет централизованно обеспечивать и проверять соответствие парольной политики (длина, сложность и т.д.), а также автоматически выявлять и помечать для блокировки неиспользуемые или долго неактивные учётные записи.
Ключевая возможность — непрерывный мониторинг и контроль привилегий. SafeERP в реальном времени отслеживает изменения статуса критических учётных записей (например, SAP* через мониторинг параметра login/no_automatic_user_sapstar в таблице RZ10), контролирует пользователей с профилями SAP_ALL/SAP_NEW и обеспечивает детальное журналирование операций, выполняемых техническими учётными записями. Это позволяет не только выполнить формальные рекомендации, но и создать действующую систему оперативного предотвращения инсайдерских угроз и несанкционированного доступа. Таким образом, SafeERP превращает рекомендации ФСТЭК из сложного перечня действий в управляемый и наглядный процесс безопасности.
3. Неиспользуемый функционал и сервисы
Избыточно открытые сервисы SAP NetWeaver, SAP S/4HANA и других компонентов — одна из главных точек входа для злоумышленников.
SafeERP Security Suite обеспечивает инвентаризацию и управление сотнями веб-сервисов SAP. Продукт выполняет глубокое сканирование всей инфраструктуры, автоматически обнаруживая и классифицируя каждый активный ICF-сервис, включая часто упускаемые из виду интерфейсы для мобильных устройств, ITS, WebDynpro и вспомогательные веб-интерфейсы.
Основное преимущество SafeERP заключается в переходе от ручного аудита к автоматическому анализу. На основании этого анализа специалисты получают точные рекомендации для безопасного отключения ненужных точек доступа. Важно, что SafeERP поддерживает непрерывный контроль, предотвращая несанкционированную повторную активацию сервисов и предоставляя доказательную базу для аудита о проведённых мероприятиях по минимизации поверхности атаки.
4. Открытые интерфейсы и администрирование
SafeERP Security Suite покрывает эти рекомендации ФСТЭК за счёт автоматизированной проверки и управления списками контроля доступа (ACL). Решение выполняет сквозной аудит конфигураций ACL для критических административных интерфейсов, включая SAPControl, Message Server, Gateway и SAPRouter.
Преимущество продукта — автоматически выявить и устранить слабые места в настройках, такие как использование символа «*» (звёздочка), который разрешает подключения с любых хостов и грубо нарушает принцип минимальных привилегий. SafeERP проверяет наличие, корректность и содержание ACL-файлов, обеспечивая, что доступ к управляющим сервисам разрешён только для узкого круга доверенных IP-адресов или хостов. Это позволяет не формально, а фактически минимизировать поверхность атаки, исключая возможность несанкционированных подключений из недоверенных сетевых сегментов.
5. Параметры профиля и конфигурации безопасности
SafeERP Security Suite обеспечивает полное и автоматизированное соответствие рекомендациям ФСТЭК по анализу конфигурации безопасности SAP. Решение проводит глубокий аудит всех критических параметров профиля системы (RZ10), автоматически сверяя их с эталонными безопасными значениями и рекомендациями регулятора. Это позволяет не только выявить, но и системно устранить уязвимые настройки, такие как слабые парольные политики, избыточное количество неудачных попыток входа или параметры, допускающие обход аутентификации. В SafeERP реализовано более 1300 сценариев для проверки критичных настроек.
Важнейшее преимущество SafeERP заключается в комплексном подходе: продукт не ограничивается диагностикой, а предоставляет механизмы для централизованного мониторинга конфигураций, что упрощает процесс приведения параметров к безопасному состоянию. Это включает установку корректных значения для сетевого взаимодействия, контроля доступа к интерфейсам и ограничения регистрации внешних программ. Благодаря постоянному мониторингу и журналированию любых изменений конфигурации SafeERP гарантирует, что система остаётся в защищённом состоянии, а все корректировки соответствуют утверждённой политике безопасности. Таким образом, продукт превращает сложный ручной процесс анализа в управляемый и верифицируемый автоматизированный цикл.
6. Шифрование и защита каналов связи
SafeERP Security Suite обеспечивает соответствие рекомендациям ФСТЭК по криптографической защите за счёт целенаправленного контроля критических параметров конфигурации. Продукт автоматически проверяет и анализирует ключевые настройки SSL/TLS, такие как icm/HTTPS/cipher_suite и ssl/client_ciphersuites, что позволяет гарантировать использование только современных и разрешённых алгоритмов шифрования и корректную активацию протоколов для HTTP(S), RFC и других соединений. Таким образом, фокусируясь на проверке и контроле именно этих системных параметров, SafeERP предоставляет верифицируемый механизм для выполнения рекомендаций регулятора по защите всех каналов передачи данных в SAP.
7. Контроль доступа и разделение полномочий
SafeERP Security Suite обеспечивает полное соответствие данной рекомендации ФСТЭК за счёт непрерывного и целевого мониторинга критичных административных полномочий. Продукт осуществляет глубокий контроль над ключевыми точками привилегий во всей экосистеме SAP, включая роли администраторов в SAP BusinessObjects (CMC), прямые привилегии в базе данных HANA (такие как SELECT и ADMIN), права в административных группах сервера приложений Java (J2EE), а также отслеживание присвоения и использования сверхпривилегированных профилей SAP_ALL и SAP_NEW.
SafeERP Security Suite полностью закрывает рекомендацию ФСТЭК по журналированию и аудиту, предоставляя не просто инструмент сбора логов, а комплексную платформу управления информационной безопасностью. Продукт автоматизирует ключевые процессы: централизованно контролирует необходимые параметры журналирования, включая Security Audit Log, Read Access Logging, а также сбор журналов HTTP-запросов, шлюза и событий СУБД.
9. Безопасность данных в SAP-системах
SafeERP Security Suite полностью и принудительно закрывает эти рекомендации ФСТЭК за счёт автоматизированного контроля авторизаций. Решение не просто проверяет, а активно обеспечивает соблюдение политики безопасности, централизованно управляя правами доступа к транзакциям и данным. Модуль контроля безопасных настроек и анализа полномочий автоматически сканирует и выявляет любые нарушения, такие как назначение чрезмерных прав на объекты S_TABU_DIS или S_TABU_NAM со значениями *, а также некорректный доступ к транзакциям прямого изменения данных (SE16N) или выполнения кода (SE38, SA38).
10. Безопасность процесса безопасной разработки в SAP-системах
SafeERP Security Suite полностью обеспечивает соответствие рекомендации ФСТЭК к безопасности разработки в SAP за счёт комплексного контроля над всем жизненным циклом изменений. Решение принудительно ограничивает использование опасного режима отладки DEBUG в продуктивной среде, блокируя возможность подмены переменных, что является ключевым вектором атак. Параллельно продукт интегрируется в транспортную систему SAP (STMS), обеспечивая, что все изменения в промышленные системы попадают исключительно через утверждённый и контролируемый конвейер (DevOps/DevSecOps), а не путём прямого доступа.
Наиболее значимый вклад SafeERP заключается в автоматизации статического анализа кода (SAST). Модуль SafeERP Code Security проводит глубокую проверку программного кода ABAP, выявляя уязвимости, скрытые бэкдоры и нарушения стандартов безопасной разработки до момента попадания изменений в продуктив. Реализовано более 300 сценариев для проверки ABAP-кода. Это превращает рутинные рекомендации ФСТЭК в постоянный, встроенный в процесс разработки контроль, существенно повышая общую устойчивость SAP-ландшафта к целевым атакам.
Проблема безопасности SAP-систем в России после прекращения официальной поддержки перестала быть сугубо технической. Она трансформировалась в стратегический вызов, требующий принципиально нового подхода. В условиях отсутствия легальных обновлений и растущего вороха уязвимостей, рекомендации ФСТЭК стали не набором формальных предписаний, а прагматичной дорожной картой для выживания критической ИТ-инфраструктуры.
Как показал анализ, суть этих рекомендаций сводится к переходу от модели проактивного обновления к модели активной обороны, основанной на четырёх столпах: жёсткой изоляции, минимализации привилегий, непрерывном мониторинге и глубоком аудите. Однако их практическая реализация в масштабах сложного SAP-ландшафта силами только внутренних команд почти невыполнима из-за трудоёмкости и дефицита экспертизы.
Именно здесь на первый план выходят специализированные решения, такие как SafeERP. Этот продукт не просто автоматизирует отдельные проверки, а трансформирует регуляторные рекомендации в действующие, управляемые и верифицируемые процессы. От анализа кода и конфигураций до контроля привилегий и криптографических настроек — SafeERP обеспечивает сквозное покрытие ключевых пунктов рекомендаций ФСТЭК, переводя безопасность SAP из состояния постоянного риска в режим контролируемого и документированного соответствия.
Таким образом, выход из сложившегося кризиса лежит не в пассивном ожидании, а в активном внедрении комплексных решений, которые позволяют бизнесу выиграть драгоценное время. Это время необходимо для реализации единственной долгосрочной стратегии — управляемого перехода с неподдерживаемых платформ на суверенные технологические основы, обеспечивающие как безопасность, так и устойчивость бизнес-процессов в новой реальности.
Перечень параметров, ролей, сервисов и учётных записей, подлежащих контролю и приведению к безопасным значениям в SAP-системах
| № п/п | Наименование параметра/роли/сервиса | Действие | Безопасное значение/результат | Продукт SAP | SafeERP Security Suite |
|---|---|---|---|---|---|
| 1. Управление обновлениями | |||||
| 1.1 | Установленные SAP Security Notes | Проверить наличие и применить все актуальные обновления безопасности | Актуальный уровень SAP Security Notes установлен | ABAP / Java/ S/4HANA | + |
| 1.2 | Версия ядра (Kernel) | Сверить с последней доступной версией | Используется последняя версия ядра | ABAP / Java | - |
| 1.3 | Версии HANA DB | Проверить актуальность релиза | Установлены последние SAP HANA Revision и обновления ОС | HANA / S/4HANA | - |
| 1.4 | Уровень патчей BI-платформы | Проверить наличие обновлений | Применены последние FixPack / SP | Business Objects | - |
| 2. Учетные записи и пароли по умолчанию | |||||
| 2.1 | SAP*, DDIC, SAPCPIC, EARLYWATCH | Проверить наличие и состояние | Аккаунты заблокированы или пароли изменены | ABAP / S/4HANA | + |
| 2.2 | Administrator, Guest | Проверить наличие стандартных пользователей | Пароли изменены, гостевой доступ отключен | Java / Business Objects | + |
| 2.3 | SYSTEM, _SYS_REPO, XSA_ADMIN | Проверить пароли системных пользователей | Сложные пароли, ограниченный доступ | HANA | + |
| 3. Неиспользуемый функционал и сервисы | |||||
| 3.1 | ICF-сервисы (ITS, WebDynpro, mobile) | Проверить активность | Неиспользуемые сервисы отключены | ABAP / S/4HANA | + |
| 3.2 | J2EE-сервисы (Portal, SQL Dispatcher) | Проверить наличие | Неиспользуемые сервисы остановлены | Java | - |
| 3.3 | XS Engine, контейнеры HANA | Проверить активные компоненты | Отключены неиспользуемые движки | HANA | - |
| 3.4 | BI-сервисы Web Intelligence, Crystal Reports | Проверить активность | Отключены, если не используются | Business Objects | - |
| 4. Открытые интерфейсы и администрирование | |||||
| 4.1 | SAPControl, SAPHostControl | Проверить доступность извне | Доступ ограничен доверенными IP | ABAP / Java / S/4HANA | - |
| 4.2 | Message Server, Gateway | Проверить списки ACL | Установлены ACL-файлы, отсутствует «*» | ABAP / S/4HANA | + |
| 4.3 | HANA Cockpit, Web Dispatcher | Проверить каналы доступа | Доступ только через HTTPS / VPN | HANA | - |
| 4.4 | CMC (Central Management Console) | Проверить доступ | Доступ только по SSL, ограниченные пользователи | Business Objects | - |
| 5. Параметры профиля и конфигурации безопасности | |||||
| 5.1 | login/min_password_lng | Установить минимальную длину пароля | ≥ 15 символов | ABAP / S/4HANA | + |
| 5.2 | login/min_password_digits | Требовать цифры в пароле | ≥ 1 | ABAP / S/4HANA | + |
| 5.3 | login/min_password_letters | Требовать буквы | ≥ 1 | ABAP / S/4HANA | + |
| 5.4 | login/min_password_specials | Требовать спецсимволы | ≥ 1 | ABAP / S/4HANA | + |
| 5.5 | login/password_expiration_time | Настроить срок действия пароля | ≤ 90 дней | ABAP / S/4HANA | + |
| 5.6 | login/password_history_size | Включить историю паролей | ≥ 5 предыдущих паролей | ABAP / S/4HANA | + |
| 5.7 | login/fails_to_user_lock | Установить лимит неудачных попыток входа | 5 или меньше | ABAP / S/4HANA | + |
| 5.8 | login/disable_multi_gui_login | Запретить множественные одновременные сессии | Значение = 1 | ABAP / S/4HANA | + |
| 5.9 | login/password_max_idle_productive | Ограничить срок неиспользуемых учетных записей | ≤ 30 дней | ABAP / S/4HANA | + |
| 5.10 | login/password_downwards_compatibility | Отключить старые алгоритмы хеширования | Значение = 0 | ABAP / S/4HANA | + |
| 5.11 | icm/HTTP/auth_* | Ограничить методы аутентификации в HTTP | Отключены слабые/анонимные методы | ABAP / S/4HANA | + |
| 5.12 | rfc/login_security_mode | Усилить аутентификацию RFC | Значение = 1 (требовать защищенное подключение) | ABAP / S/4HANA | + |
| 5.13 | gw/acl_mode | Включить контроль ACL для Gateway | Значение = 1 (ACL включен) | ABAP / S/4HANA | + |
| 5.14 | gw/sec_info | Настроить файл разрешенных программ | Явный список разрешенных программ (без «*») | ABAP / S/4HANA | + |
| 5.15 | gw/reg_info | Ограничить регистрацию внешних программ | Только конкретные, авторизованные программы | ABAP / S/4HANA | + |
| 5.16 | gw/reg_no_conn_info | Запретить выдачу информации о подключенных программах | Значение = 1 — скрытие информации о внешних RFC-программах | ABAP / S4HANA | + |
| 5.17 | gw/monitor | Отключить незащищенный доступ к Gateway Monitor | Значение = 0 (доступ запрещен) | ABAP / S/4HANA | + |
| 5.18 | rdisp/gui_auto_login | Запретить автоматический SAP GUI логин | Значение = 0 | ABAP / S/4HANA | + |
| 5.19 | login/no_automatic_user_sapstar | Запретить обход аутентификации SAP* | Значение = 1 | ABAP / S/4HANA | + |
| 5.20 | login/disable_password_logon | Запретить вход с паролем там, где используется SSO | Значение = 1 | ABAP / Java | + |
| 5.21 | icm/server_port_0 | Запретить порты без TLS | Только HTTPS-порты; HTTP отключен | ABAP / S/4HANA | + |
| 5.22 | icm/HTTPS/verify_client | Включить проверку клиента при необходимости | Проверка активна | ABAP / S/4HANA | + |
| 5.23 | login/accept_sso2_ticket | Контролировать прием SSO2 Ticket | Включено только при использовании SSO2; при отсутствии SSO — отключено | ABAP / S4HANA | + |
| 5.24 | login/accept_sso2_ticket_only | Ограничить способы аутентификации | Использовать только при обязательном SSO (значение = 1); иначе = 0 | ABAP / S4HANA | + |
| 5.25 | snc/enable | Включить использование SNC | Значение = 1 | ABAP / S4HANA | + |
| 5.26 | snc/identity/as | Задать SNC-идентификатор сервера | Корректно настроенный SNC-name | ABAP / S4HANA | + |
| 5.27 | snc/identity/dn | Задать Distinguished Name для SNC | DN соответствует сертификату SNC | ABAP / S4HANA | + |
| 5.28 | auth/saml2* | Настроить параметры SAML 2.0 | SAML2 включен при использовании SSO, корректная конфигурация IdP и сертификатов | ABAP / Java / S4HANA | + |
| 5.29 | ssl/client_ciphersuites | Ограничить наборы шифров для SSL-клиентов | Только современные шифры (PFS, AES-GCM, TLS1.2/1.3) | ABAP / S4HANA | + |
| 5.30 | ssl/ciphersuites | Ограничить cipher-suites SSL-сервера | Исключить RC4, DES, 3DES, разрешить современные шифры | ABAP / S4HANA | + |
| 5.31 | ume.logon.security_policy.password_min_length | Настроить минимальную длину пароля | ≥ 15 | Java / UME | + |
| 5.32 | ume.logon.security_policy.password_max_length | Задать максимальную длину пароля | 72+ символов | Java / UME | + |
| 5.33 | ume.logon.security_policy.password_min_digits | Требовать цифры | ≥ 1 | Java / UME | + |
| 5.34 | ume.logon.security_policy.password_min_letters | Требовать буквы | ≥ 1 | Java / UME | + |
| 5.35 | ume.logon.security_policy.password_min_specials | Требовать спецсимволы | ≥ 1 | Java / UME | + |
| 5.36 | ume.logon.security_policy.password_history_size | Включить историю паролей | ≥ 5 последних паролей | Java / UME | + |
| 5.37 | ume.logon.security_policy.password_expiration_period | Задать срок действия пароля | ≤ 90 дней | Java / UME | + |
| 5.38 | ume.logon.security_policy.password_change_required | Требовать смену пароля при первом входе | Значение = TRUE | Java / UME | + |
| 5.39 | ume.logon.security_policy.lockout_threshold | Установить лимит ошибок входа | 5 или меньше | Java / UME | + |
| 5.40 | ume.logon.security_policy.lockout_duration | Задать время блокировки | ≥ 15 минут | Java / UME | + |
| 5.41 | ume.logon.security_policy.lockout_reset_timeout | Интервал сброса счетчика | 15–30 минут | Java / UME | + |
| 5.42 | ume.configuration.security.single_signon.enabled | Включить/отключить SSO | Включено при централизованном SSO; отключено при отсутствии SSO | Java / UME | + |
| 5.43 | ume.configuration.security.assertion_ticket.enabled | Управлять Assertion Tickets | Включено только при использовании SAP Logon Tickets | Java / UME | + |
| 5.44 | ume.configuration.security.spnego.enabled | Включить SPNEGO/Kerberos | TRUE — если используется Kerberos; иначе FALSE | Java / UME | + |
| 5.45 | ume.configuration.security.saml2.enabled | Включить SAML2 | TRUE при наличии IdP; иначе FALSE | Java / UME | + |
| 5.46 | ume.configuration.security.default_authentication | Определить разрешенные методы входа | Только безопасные методы (SPNEGO / SAML2 / пароль с политикой сложности) | Java / UME | + |
| 5.47 | ume.configuration.security.login_module_stack | Ограничить используемые LoginModules | Только проверенные модули аутентификации (без custom insecure stacks) | Java / UME | + |
| 5.48 | ume.logon.security.enforce_security | Применить строгие правила входа | Значение = TRUE | Java | + |
| 5.49 | auth/enable_password_logon | Запретить слабые способы входа | Значение = FALSE (если используется SSO) | Java | + |
| 5.50 | BOE Authentication settings | Ограничить допустимые методы | Только LDAP/SAML/Windows AD или сильные SAP-учетные записи | SAP BusinessObjects | + |
| 5.51 | enforce_strong_passwords | Включить строгую политику паролей | Enabled | SAP BusinessObjects | + |
| 5.52 | password_policy.min_length | Задать длину пароля | ≥ 15 | SAP HANA | + |
| 5.53 | password_policy.max_password_lifetime | Определить срок действия пароля | ≤ 90 дней | SAP HANA | + |
| 5.54 | password_policy.minimum_digit_count | Требовать цифры | ≥ 1 | SAP HANA | + |
| 5.55 | password_policy.minimum_uppercase_count | Требовать заглавные буквы | ≥ 1 | SAP HANA | + |
| 5.56 | password_policy.history_size | Включить историю паролей | ≥ 5 | SAP HANA | + |
| 5.57 | password_policy.lockout_threshold | Установить лимит ошибок входа | ≤ 5 | SAP HANA | + |
| 6. Шифрование и защита каналов связи | |||||
| 6.1 | com.sap.engine.services.ssl.enabled | Включить SSL-сервисы в Java-движке | Значение = true (SSL включен для сервисов Java) | Java | - |
| 6.2 | communication | Включить шифрование внутренних сервисов | encr = Вся внутренняя коммуникация зашифрована | SAP HANA | - |
| 6.3 | enabledCipherSuites | Ограничить набор разрешенных шифров (cipher suites) | Указан жесткий список современных шифров, допускающих TLS 1.2/1.3 (только устойчивые ECDHE- и AEAD-алгоритмы) | Java / BO / другие Java-компоненты | - |
| 6.4 | sslvalidate | Включить проверку сертификатов | true = Проверка сертификатов обязательна | SAP HANA | - |
| 6.5 | icm/HTTPS/cipher_suite | Ограничить cipher-suite для ICM/HTTPS | Установлен перечень шифров, допускающих только TLS 1.2+ и современные безопасные наборы (например, ECDHE_AES_GCM) | ABAP / S/4HANA | + |
| 6.6 | icm/HTTPS/enabled | Включить поддержку HTTPS в ICM | TRUE — активация HTTPS | ABAP | + |
| 6.7 | icm/HTTPS/ssl_protocols | Ограничить допустимые TLS-протоколы | Только TLSv1.2,TLSv1.3 | ABAP | + |
| 6.8 | icm/HTTPS/verify_client | Включить/настроить проверку клиента (при необходимости) | Включено при использовании клиентских сертификатов; в случае использования — проверка строгая | ABAP / S/4HANA | + |
| 6.9 | icm/server_port_HTTPS | Обеспечить наличие и корректную настройку HTTPS-порта | HTTPS-порт задан и активен, доступ по HTTP запрещен или перенаправлен на HTTPS | ABAP / S/4HANA | + |
| 6.10 | keystore/truststore | Обеспечить корректное хранение ключей и сертификатов | Хранилища защищены, пароли надежны, доступ ограничен | Java / BO / HANA / ABAP (при использовании хранилищ) | - |
| 6.11 | OData/REST сервисы | Обеспечить шифрование сервисов Fiori/OData | Все сервисы доступны по HTTPS | SAP S/4HANA | - |
| 6.12 | RFC-профили SM59 | Запретить незашифрованные RFC | Все RFC с использованием SNC/TLS, без «No encryption» | ABAP | - |
| 6.13 | SAP PO/PI/CPI: WS Security | Включить WS-Security | SOAP / Web Services только через TLS | SAP PO / CPI | - |
| 6.14 | snc/accept_insecure_gui | Запретить нешифрованный DIAG-трафик | 0 - Нешифрованные соединения SAP GUI недопустимы | ABAP | + |
| 6.15 | snc/data_protect | Установить максимальную защиту SNC-трафика | 3 - Максимальная защита целостности и конфиденциальности | ABAP | + |
| 6.16 | snc/data_protection | Обеспечить защиту данных с помощью SNC (контроль целостности/конфиденциальности) | Значение = 1 (включена защита данных) | ABAP / S/4HANA | + |
| 6.17 | snc/enable | Включить механизм SNC для защиты соединений | Значение = 1 (SNC включено) — все поддерживаемые RFC/GUI-каналы защищены | ABAP / S/4HANA | + |
| 6.18 | snc/identity/as | Настроить SNC-идентификатор сервеа | Корректный SNC-идентификатор для SAP-сервера | ABAP | + |
| 6.19 | ssl.clientAuth | Включение требования клиентской аутентификации при необходимости | Включено для административных интерфейсов / по требованию политики — clientAuth=required | Java / BO | - |
| 6.20 | ssl/ciphersuites | Назначить стойкие наборы шифров | Высокая стойкость; исключены RC4, DES, 3DES | ABAP | + |
| 6.21 | ssl/client_ciphersuites | Установить современные наборы шифров | 135:PFS:HIGH::EC Современные PFS-алгоритмы | ABAP | + |
| 6.22 | ssl/ssl_lib | Указать и использовать SAP криптографическую библиотеку для SSL/SNC | Установлена SAPCryptolib (или другая сертифицированная библиотека), путь задан корректно | ABAP / S/4HANA | + |
| 6.23 | ssl/ssl_provider | Указать провайдера SSL для Java-движка | Провайдер SSL включен и настроен (поставщик реализует TLS 1.2+) | Java (NetWeaver Java) | - |
| 6.24 | STRUST (сертификаты) | Проверить корректность PSE и сертификатов | Актуальные сертификаты, корректные цепочки доверия | ABAP | - |
| 6.25 | tlsEnabled | Активировать использование TLS в соответствующих компонентах | Значение = true (используется TLS 1.2 или выше) | Java / BO / S/4HANA | - |
| 6.26 | wdisp/ssl_auth | Настроить проверку сертификатов | Аутентификация клиента включена при необходимости | SAP S/4HANA / Web Dispatcher | + |
| 6.27 | wdisp/ssl_cred | Настроить креденшелы для SSL | Корректные SSL-учетные данные Web Dispatcher | SAP S/4HANA / Web Dispatcher | + |
| 6.28 | wdisp/ssl_encrypt | Включить шифрование трафика Web Dispatcher → backend | Полное шифрование backend-трафика | SAP S/4HANA / Web Dispatcher | + |
| 7. Контроль доступа и разделение полномочий | |||||
| 7.1 | Роли с SAP_ALL, SAP_NEW | Проверить наличие | Удалены или ограничены | ABAP / S/4HANA | + |
| 7.2 | Административные группы J2EE | Проверить наличие | Только уполномоченные пользователи | Java | + |
| 7.3 | Привилегии HANA (SELECT, ADMIN) | Проверить распределение | Минимальные необходимые привилегии | HANA | + |
| 7.4 | Роли CMC (Administrator, ContentAdmin) | Проверить полномочия | Роли разделены по функциям | Business Objects | + |
| 8. Доверенные соединения и RFC | |||||
| 8.1 | RFC-назначения с сохраненными паролями | Проверить наличие | Используются технические пользователи с ограничениями | ABAP / S/4HANA | - |
| 8.2 | TRUSTED-системы | Проверить доверенные связи | Только между равнозначными системами | ABAP / Java | - |
| 8.3 | OAuth/SAML доверия | Проверить внешние интеграции | Устаревшие записи удалены | Java / BO / S/4HANA | - |
| 9. Логирование и аудит | |||||
| 9.1 | rsau/enable | Проверить включение | Значение = 1 (активен Security Audit Log) | ABAP / S/4HANA | + |
| 9.2 | icm/HTTP/logging_<n> | Проверить активность логов | Значение = ALL | ABAP / S/4HANA | + |
| 9.3 | HANA Audit Policy | Проверить состояние | Активна для системных событий | HANA | + |
| 9.4 | Audit Log в CMC | Проверить включение | Включено, хранение в защищенной базе данных | Business Objects | - |
Подробнее о продукте www.gaz-is.ru/safeerp
Материал подготовлен ведущим инженером компании «Газинформсервис», экспертом SafeERP Тимуром Цыбденовым.
Закажите демонстрацию продукта SafeERP