Data-at-rest kriptiranje podataka za SAP HANA platformu

SAP HANA baza skladišti ono što možemo nazvati „krunskim draguljima“ – od finansijskih podataka, intelektualnog vlasništva do osobnih podataka kupaca i partnera (PII). Podaci u SAP HANA su stoga privlačna meta napadača i podložni sigurnosnim pretnjama. Data-at-rest kriptiranje SAP HANA baze spada u best practice pristupe ovim sigurnosnim izazovima. Pritom Thales CipherTrust platforma, kao kompletno rešenje testirano na najvećim SAP HANA implementacijama, predstavlja optimalnu zaštitu.

Kod kompanija koje se oslanjaju na SAP HANA, ova platforma postaje centralni hub za skladištenje podataka iz različitih aplikacija. Najčešće su to transakcije iz ERP-a, podaci iz CRM-a te niza drugih izvora poput mobilnih i IoT aplikacija. Objedinjavanje podataka u jednu tačku znači da HANA baza sadrži ono što možemo nazvati „krunskim draguljima“ – od finansijskih podataka, intelektualnog vlasništva do osobnih podataka kupaca i partnera (PII).

SAP HANA (High-Performance Analytic Appliance) predstavlja upravljački temelj za mnoštvo kompanija diljem sveta. Pritom je često deo strategije digitalne transformacije. Za razliku od tradicionalnih baza podataka, SAP HANA se značajno oslanja na obradu u memoriji (in-memory database). Koristi i druge tehnike optimizacije te korisnicima omogućuje analitičke operacije koje u tradicionalnim RDBMS ili Data Warehouse/Data Mart scenarijima traju satima i daleko su od real-time obrade.

Kompanije ovaj softver koriste za pokretanje ključnih analitičkih aplikacija, skladištenje podataka, upravljanje sadržajem i slično. Sistem se koristi i za upravljanje podacima o transakcijama te omogućuje analitiku u realnom vremenu. Radi se o sistemu koji ujedinjuje i procesuira najosetljivije podatke koje neka kompanija poseduje.

SAP HANA ima nekoliko ugrađenih sigurnosnih značajki. Ipak, danas napadači znaju da će im administratorski (sistemski ili čak fizički) pristup na nivou infrastrukture omogućiti da zaobiđu aplikacijsku role-based access (RBAC) kontrolu.

Zbog čega dolazi do sigurnosnih izazova u SAP HANA? 

  • Fizički gubitak ili pristup storage mediju otvara očiti problem pristupa čitljivim podacima;
  • Sistemski pristup podacima van aplikacije. Radi se o direktnom pristupu HANA bazi od strane root, Active Directory ili storage korisnika sa visokim sistemskim privilegijama. Upravo zato, ovakvi su korisnici česte mete vanjskih napadača koji će pokušati preuzeti ili ukrasti njihov identitet;
  • Kod instalacije u javnom cloudu (IaaS), dodatni izvor rizika je sistemski ili fizički pristup cloud administratora. Samim time dolazi do manjka kontrole pristupa na nivou infrastrukture;
  • Propušteno krpanje ili ažuriranje platforme koje ostavlja otvorene ranjivosti koje napadači iskorištavaju za dobivanje neovlašćenog pristupa podacima;
  • Izbjegavanje maskiranja i anonimiziranja osetljivih ili tajnih podataka unutar SAP HANA baze;
  • Loše upravljanje identitetima korisnika koji pristupaju podacima kroz aplikacije (npr. slabe lozinke i slično).

Tradicionalna rešenja za zaštitu perimetra data centra nisu dovoljna za zaštitu ovakvih sistema. Kriptiranje na nivou skladištenja (data-at-rest) uz adekvatne kontrole pristupa mnogo je sigurnije i efikasnije rešenje. To podjednako važi i za slučajeve kada je SAP HANA instalirana u lokalnom data centru odnosno javnom cloudu ili isporučena kao usluga.

Kriptiranje na nivou skladištenja podataka prva je (i često zanemarena) linija odbrane od sigurnosnih kršenja. Pre nego što donesu informisanu odluku o tipu zaštite, kompanije moraju razmotriti sve dostupne značajke koje neko rešenje pruža. Vrsta enkripcije neće uticati samo na sigurnost, već i na kapacitet i performanse skladištenja. Enkripcija će smanjiti kršenje podataka koji ne štete samo kompanijama, već i njihovim korisnicima, zainteresovanim strankama i partnerima.

Zaštita podataka uz CipherTrust Transparent Encryption

CipherTrust Transparent Encryption rešenje je proverena metoda za brzu i sigurnu zaštitu podataka u SAP HANA okoline. SAP je zvanično sertifikovao rešenje kao prikladno za upotrebu u svim SAP HANA sistemima.

CipherTrust Transparent Encryption štiti sve podatke kojima SAP HANA upravlja i obezbeđuje usklađenost sa regulativama o zaštiti podataka. Ovaj pristup kompanijama omogućuje da jednostavno šifriraju log volumes i podatke.

Omogućuje snažniji nadzor i transparentniju podelu dužnosti. Implementacija rešenja je brza, i to bez promena u samom SAP HANA sistemu, core bazi podataka ili hardveru.

SAP HANA. Kriptiranje

Kako CipherTrust Transparent Encryption funkcioniše?

CipherTrust platforma centralno upravlja svim enkripcijskim ključevima i omogućuje odvajanje ključeva od aplikacija i baza podataka. Ovo rešenje garantuje granularnu kontrolu pristupa i konfigurisane bezbednosne politike.

Kroz upravljanje životnim ciklusom svih ključeva, CipherTrust provodi generisanje, rotaciju, uništavanje te import i export ključeva. Rešenje takođe omogućava postavljanje kontrole pristupa zasnovanog na ulogama.

Koji su benefiti zaštite uz data-at-rest kriptiranje?

  • Uspostava snažne kontrole kroz ovlašćene kanale pristupa podacima
  • Sigurna enkripcija SAP HANA podataka koja spečava neovlašćeni pristup do osetljivih podataka za privilegovane korisnike
  • Uspostava kontrole pristupa do SAP HANA Persistence Layer bez potrebe za bilo kakvim promenama unutar SAP HANA ili povezanim aplikacijama i infrastrukturi
  • Enkripcija podataka u cloud okolini i drugoj multi-tenant infrastrukturi uz zadržavanje kontrole nad enkripcijskim ključevima

SAP HANA. Kriptiranje