La plataforma global e independiente para la comunidad SAP.

Seguridad en los clientes técnicos de SAP

En los conceptos de seguridad para sistemas SAP productivos, a menudo sólo se tiene en cuenta al cliente productivo. Sin embargo, los demás clientes, especialmente el cliente 000, también deben incluirse en la consideración de seguridad.
Thomas Tiede, IBS
11 octubre 2018
It-Seguridad
avatar
Este texto ha sido traducido automáticamente del alemán al español.

El perfil SAP_ALL se sigue utilizando con frecuencia en las consideraciones de seguridad en lugar de roles específicos. El acceso a los datos productivos también es posible desde otros clientes.

Si se procesan datos sensibles (datos personales, condiciones, datos de producción, etc.), el acceso debe asegurarse de la misma manera que en el cliente de producción.

El DBA Cockpit, por ejemplo, puede utilizarse para acceder a datos productivos y puede llamarse con más de 50 transacciones diferentes.

Contiene el editor SELECT o el editor SQL, con los que se pueden visualizar los datos directamente en la base de datos y (con el editor SQL) también modificarlos. Como el concepto de cliente es una lógica dentro de la pila Abap, la base de datos no reconoce ningún cliente.

Por lo tanto, siempre se leen todos los registros de datos de todos los clientes cuando se accede a una tabla. Por ejemplo, la tabla PA0008 (salarios base en SAP HCM) no contiene ningún registro de datos en el mandante 000.

Sin embargo, si se llama allí a través del DBA Cockpit, se muestran todos los registros de datos de todos los clientes, incluidos los datos salariales del cliente productivo. Esto también se aplica a todas las demás tablas.

Para piratear las contraseñas de los usuarios del cliente de producción, por ejemplo, basta con llamar a la tabla USR02, en la que se almacenan los valores hash de las contraseñas. A continuación, se pueden exportar y piratear con las herramientas adecuadas.

Otras funciones también permiten acceder a los datos de otros clientes. Por ejemplo, el módulo de funciones SE16N_INTERFACE ofrece la posibilidad de visualizar tablas entre clientes.

Además, aquí también se puede activar el modo de edición de la tabla para que las tablas que no se pueden modificar por defecto se puedan modificar en el cliente productivo.

Otra opción para acceder a datos productivos es la cola de impresión. Puede utilizarse para visualizar trabajos de impresión de otros clientes.

Si se imprimen datos sensibles en el cliente productivo, pueden verse en el cliente 000. Además del acceso a datos productivos, las autorizaciones también pueden utilizarse para infringir las leyes aplicables.

Esto se aplica en particular a los elementos de desarrollo de aplicaciones y a la eliminación de registros que deben conservarse. El desarrollo de aplicaciones es multi-cliente, por lo que está prohibido en un sistema productivo en todos los clientes.

Muchos logs también son multi-cliente (por ejemplo, los logs de cambios de tabla), por lo que está prohibido borrar estos logs de todos los clientes. Por lo tanto, estas autorizaciones tampoco deben asignarse en el cliente 000.

Los ajustes del sistema también pueden actualizarse desde todos los clientes. Por lo tanto, las autorizaciones deben estar aseguradas en todos los clientes. Sin embargo, las autorizaciones para el centro de datos también pueden configurarse aquí.

Un funcionamiento clásico del centro de datos sólo requiere autorizaciones en el cliente 000, ya que todos los ajustes del sistema pueden realizarse desde aquí, como la configuración de la modificabilidad del sistema y el mantenimiento de los parámetros del sistema y los sistemas de confianza.

El concepto de seguridad debe especificar qué autorizaciones pueden y no pueden asignarse para la configuración del sistema en el cliente 000.

La seguridad del sistema puede verse influida significativamente por estas autorizaciones. Por tanto, la seguridad de un sistema SAP no depende únicamente de la seguridad de los clientes productivos.

Los clientes técnicos, en particular el cliente 000, también son aspectos clave de la seguridad del sistema. La seguridad es mucho menos compleja que en el caso de los clientes de producción, ya que sólo hay que tener en cuenta los componentes entre clientes. Esta protección debe incluirse siempre en un concepto de seguridad.

avatar
Thomas Tiede, IBS

Thomas Tiede es Director General de IBS Schreiber.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.