Accueil
 > Rapports de TEC > Blogue de TEC > Le "S" dans SAP ne résiste pas à la sécurité (qui va de P...

Le "S" dans SAP ne résiste pas à la sécurité (qui va de PeopleSoft trop)

Écrit par : M. Reed
Date de publication : juillet 18 2013

résumé des événements

  Au cours de l'évaluation de produits pour un client, l'évaluation de la technologie   Centre a découvert une faille de sécurité potentielle en architecture à trois niveaux SAP R / 3 de l'.   SAP a révélé qu'il s'attend à ce que les produits de base de données ou troisième partie pour gérer   sécurité entre le serveur d'application et le serveur de base de données. Si le client   ne prend pas ces mesures supplémentaires, le mot de passe maître pour la base de données SAP   Ainsi transitent sur le réseau en clair, et peut être capturé. PeopleSoft   a le même problème.

L'   réponse originale aux questions du TEC au Dr Peter Barth, Marketing Technology   Manager pour SAP AG à Walldorf, en Allemagne, était «Avec tous les clients utilisant SAP   R / 3, je n'ai jamais entendu cette question avant. Nous allons devoir l'étudier   en outre. "

plus   enquête par Walldorf a révélé la réponse suivante: "SAP prend en charge pour   le lien entre la base de données et le support du serveur d'application par rapport aux normes de sécurité   fourni par la base de données ainsi que des interfaces ouvertes aux produits de sécurité extérieure.   Typiquement, les caractéristiques spécifiques de bases de données - par exemple de Oracle, MS SQL, etc - sont   utilisé pour protéger la connexion initiale. Dans le cas où le transfert de données a besoin d'être sécurisé   soit aussi spécifique de base de données ou des mécanismes de sécurité indépendants de base de données peut   être utilisés. Toutefois, notez que SAP conseille d'utiliser un sous-réseau interne distinct   l'environnement de gestion de réseau. Ainsi, s'il est physiquement impossible de renifler, le   mécanismes de sécurité ne sont pas obligatoires. Notez que le serveur d'applications et de bases de données   serveur sont censés être dans un environnement LAN et pas raccordé via WAN ou   ouvrir la connexion Internet vers le monde extérieur (Seul le client de présentation   devrait être utilisé via une connexion Internet WAN et ouvert; ici sécurité peut être atteint   par divers moyens (par exemple, les infrastructures PKI). "

SAP   affirme que leur réseau sécurisé Communications Interface (BC-SNC) a le suivant   interfaces certifiées: CyberSafe (Security Solution TrustBroker pour R / 3), Entrust / PKI,   Platinum Technology (Computer Associates) Single Sign On, Seclude Sicherheitstechnologie   INFORMATIONSSYSTEME Seclude pour R / 3, et de la sécurité Dynamics Technology Keon Agent   R / 3. Ils affirment «SAP a décidé de ne pas inclure des modules cryptographiques   son propre logiciel. Au lieu de cela, les produits externes peuvent être intégrés. "

src="/NavExp/media/TEC_Articles/NA_DW_MFR_12_8_99_2_Fig1.gif"

marché   Incidence

TEC   estime que cette approche de la sécurité est insuffisante. Notre client n'a pas été informé   qu'il s'agissait d'un problème (note SAP ont déclaré qu'ils n'avaient jamais entendu parler de la question précédente).   Même si SAP recommande explicitement que les utilisateurs de R / 3 mettent la base de données et l'application   serveurs sur un sous-réseau interne distinct, notre crainte est que le client va échouer   d'installer un troisième produit de sécurité du parti, et de le rendre possible pour un mécontent   employé à «renifler» (examiner les paquets circulant sur le réseau) et l'ID   mot de passe "propre" de l'instance SAP. Dans le cas de PeopleSoft, le trafic   entre le client et le serveur d'applications est sécurisé via le cryptage, mais   le même problème de manque de cryptage existe entre le serveur d'application   et le serveur de base de données.

utilisateur   Recommandations

  Les clients qui utilisent SAP ou PeopleSoft, soit dans une configuration à trois niveaux devrait   être très prudent d'employer un produit de chiffrement de tiers qui a été certifié   par le fournisseur d'ERP. En l'absence de cela, ou un client de base de données sécurisée (c.-à-   Oracle Secure), une faille de sécurité grave pourrait se produire.

 
comments powered by Disqus


©2014 Technology Evaluation Centers Inc. All rights reserved.