Sicherheit für die SAP-Landschaft

Am 27. Dezember 2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Mit dem Cyber Resilience Act der Europäischen Union sollen Vorschriften für den Einsatz von Produkten und Software mit einer digitalen Komponente harmonisiert werden. Es besteht eine Aufforderung zur Sorgfaltspflicht für den gesamten Lebenszyklus solcher Lösungen.

Suse sorgt für Sicherheit mit der BSI Zertifizierung

Suse Linux Enterprise Server (SLES) und damit der Suse Linux Enterprise Server for SAP Applications (SLES for SAP) hat 2021 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Common Criteria EAL 4+ Zertifizierung erhalten. Grundlage dafür war eine umfassende Evaluierung des Produkts sowie aller Entwicklungs- und Sicherheitsupdate-Prozesse durch atsec information security und Beamte des BSI. Der Evaluation Assurance Level 4 Augmented by ALC_FLR.3 (EAL4+) bestätigt, dass SLES höchste Sicherheitsanforderungen an das Produkt und die gesamte Lieferkette für unternehmenskritische Infrastrukturen erfüllt – und das sowohl auf x86- als auch IBM-Z- und Arm-Architekturen.

„Certify once, use many“

Suse verfolgt bei der Zertifizierung seiner Betriebssystemprodukte das Prinzip Certify once, use many. Das bedeutet, dass die zertifizierte Sicherheit und Standards von SLES durch die gemeinsame Codebasis auch auf SLE Micro und SLE BCI (Base Container Images) übertragen werden. Kunden können sich beim Einsatz dieser Varianten auf unabhängig evaluierte Sicherheit verlassen. Dies erleichtert es, Compliance-Vorgaben für ihre gesamte IT zu erfüllen. Organisationen erreichen auch beim Betrieb von Edge-Anwendungen mit SLE Micro und bei der Bereitstellung von containerisierten Workloads mit SLE BCI ein einheitlich hohes Sicherheitsniveau in der Lieferkette.

Suse Technologien für SAP Sicherheits-Betriebskonzept

Wichtig ist, schnell auf Vulnerabilitäten auf der SAP-Plattform reagieren zu können, sowohl bei SAP-Applikations- wie auch bei SAP-Datenbankservern. Hierbei stellt Suse das „Kernel Live Patching“ zur Verfügung, mit dem schnell Vulnerabilitäten im Linux-Kernel geschlossen werden können. Mit „Disc Remote Encryption“ können SAP-Gana-Daten auf der Disc verschlüsselt und gesichert werden. Die Erweiterung bei der Verschlüsselung der Kommunikation zwischen Arbeitsspeicher und CPU wurde mit Intel im Kontext von Confidential Computing erreicht.

Des Weiteren wird eine lokale Firewall für SAP Hana zur Verfügung gestellt, um die Netzwerksicherheit zu verbessern. Dies wird dadurch erreicht, dass nur Netzwerkports gegenüber externen Netzwerk-Interfaces geöffnet werden, die SAP Hana wirklich benötigt. Der Suse Härtung Guide für den SLES for SAP-Applikationen 15 gibt eine Anleitung, welche Einstellungen vorgenommen und welche Technologien eingesetzt werden können, um den Härtungsgrad der Linux-Plattform zu erhöhen.

Der Suse-Manager gibt, neben der reinen Patchmanagement-Funktion (Dev-Test-Prod), auch die Möglichkeit, den Zustand bezüglich der CVE-Situa­tion für die Linux-Plattform zu analysieren (Suse Manager Audit). Damit kann zeitnah mit Live Patching eine CVE-Lücke geschlossen werden, ­indem der Patch über den Produktiv-Channel des Suse-Managers automatisch ausgerollt wird. Mit OpenScap aus dem Suse-Manager ist ein Scannen der Implementierung möglich.

Fortführende Literatur:

Hier zum Partner-Eintrag: