SAP HANA: descripción general de seguridad
La seguridad significa proteger los datos críticos de la empresa del acceso y uso no autorizados, y garantizar que se cumplan las normas y el cumplimiento de la política de la empresa. SAP HANA permite al cliente implementar diferentes políticas y procedimientos de seguridad y cumplir con los requisitos de cumplimiento de la empresa.
SAP HANA admite varias bases de datos en un solo sistema HANA y esto se conoce como contenedores de bases de datos multiusuario. El sistema HANA también puede contener más de un contenedor de base de datos multiusuario. Un sistema de contenedores múltiples siempre tiene exactamente una base de datos del sistema y cualquier número de contenedores de bases de datos de múltiples inquilinos. Un sistema SAP HANA que está instalado en este entorno se identifica mediante un único ID de sistema (SID). Los contenedores de bases de datos en el sistema HANA se identifican mediante un SID y un nombre de base de datos. El cliente de SAP HANA, conocido como HANA studio, se conecta a bases de datos específicas.
SAP HANA proporciona todas las funciones relacionadas con la seguridad, como autenticación, autorización, cifrado y auditoría, y algunas funciones adicionales, que no son compatibles con otras bases de datos multiusuario.
A continuación se muestra una lista de funciones relacionadas con la seguridad, proporcionada por SAP HANA:
- Gestión de usuarios y roles
- Autenticación y SSO
- Authorization
- Cifrado de comunicación de datos en red
- Cifrado de datos en la capa de persistencia
Características adicionales en la base de datos HANA multiusuario -
Database Isolation - Implica prevenir ataques de inquilinos cruzados a través del mecanismo del sistema operativo
Configuration Change blacklist - Implica evitar que los administradores de la base de datos de inquilinos cambien ciertas propiedades del sistema
Restricted Features - Implica deshabilitar ciertas funciones de la base de datos que brindan acceso directo al sistema de archivos, la red u otros recursos.
Gestión de roles y usuarios de SAP HANA
La configuración de la gestión de roles y usuarios de SAP HANA depende de la arquitectura de su sistema HANA.
Si SAP HANA está integrado con las herramientas de la plataforma de BI y actúa como base de datos de informes, el usuario final y el rol se administran en el servidor de aplicaciones.
Si el usuario final se conecta directamente a la base de datos de SAP HANA, el usuario y el rol en la capa de base de datos del sistema HANA son necesarios tanto para los usuarios finales como para los administradores.
Todo usuario que desee trabajar con una base de datos HANA debe tener un usuario de base de datos con los privilegios necesarios. El usuario que accede al sistema HANA puede ser un usuario técnico o un usuario final, según los requisitos de acceso. Después de iniciar sesión correctamente en el sistema, se verifica la autorización del usuario para realizar la operación requerida. La ejecución de esa operación depende de los privilegios que se le hayan otorgado al usuario. Estos privilegios se pueden otorgar mediante roles en HANA Security. HANA Studio es una herramienta poderosa para administrar usuarios y roles para el sistema de base de datos HANA.
Tipos de usuario
Los tipos de usuarios varían según las políticas de seguridad y los diferentes privilegios asignados en el perfil de usuario. El tipo de usuario puede ser un usuario de base de datos técnica o el usuario final necesita acceso al sistema HANA para fines de generación de informes o para la manipulación de datos.
Usuarios estándar
Los usuarios estándar son usuarios que pueden crear objetos en sus propios esquemas y tienen acceso de lectura en los modelos de información del sistema. El acceso de lectura lo proporciona el rol PÚBLICO que se asigna a todos los usuarios estándar.
Usuarios restringidos
Los usuarios restringidos son aquellos usuarios que acceden al sistema HANA con algunas aplicaciones y no tienen privilegios de SQL en el sistema HANA. Cuando se crean estos usuarios, inicialmente no tienen ningún acceso.
Si comparamos usuarios restringidos con usuarios estándar:
Los usuarios restringidos no pueden crear objetos en la base de datos HANA o sus propios esquemas.
No tienen acceso para ver ningún dato en la base de datos, ya que no tienen un rol público genérico agregado al perfil como los usuarios estándar.
Pueden conectarse a la base de datos HANA solo mediante HTTP / HTTPS.