Suchen

Insbesondere SAP braucht Schutzschilde, Integritäts-Monitoring und Scanning

Zertifizierte Sicherheit für SAP-Systeme

Seite: 2/4

Firmen zum Thema

Zwischenschritt: virtuelle Patches

Der Schutz von SAP-Anwendungen kann eine komplexe Sache werden.
Der Schutz von SAP-Anwendungen kann eine komplexe Sache werden.
(Bild: Trend Micro)
Dieser Spagat zwischen der Forderung nach möglichst wenig Änderungen und der nach dem Schutz der Infrastruktur vor der Ausnützung der vorhandenen Sicherheitslücken lässt sich mit der Methode des virtual Patchings meistern. Das auch virtual Shielding genannte Verfahren mit Deep Security wirkt wie ein Software-Patch auf der Basis von schützenden Netzwerkregeln. Die virtuellen Patches sind jedoch kein Ersatz für die „echten“, verschaffen jedoch der IT-Abteilung mehr Zeit für das Aufspielen der Updates.

Im Lösungsmodul für Intrusion Detection and Prevention (IDS/IPS) schirmen die Regeln bekannte Schwachstellen in über das Netzwerk erreichbare Ressourcen, wie Anwendungen und Server, ab und verhindern, dass die Lücken ausgenützt werden. Darüber hinaus bieten die IDS/IPS-Regeln auch Schutz vor Zero-Day-Sicherheitslücken, für die es noch keinen Patch gibt, und blockieren unbekannte Schwachstellen durch die Überprüfung auf Protokollabweichungen, Regelübertretungen und Zeichen eines Angriffs des gesamten ankommenden und abgehenden Verkehrs.

Integrität der verschiedenen Systeme

Auch eine weitere SAP-Gepflogenheit kann zu Risiken für die Infrastruktur führen: Unternehmen, die SAP-Systeme „richtig“ betreiben wollen, nutzen prinzipiell drei komplett getrennte, idealerweise identische Umgebungen – eine Entwicklungs-, eine Test- und eine Produktionsplattform. Der Gedanke dahinter ist es, zu gewährleisten, dass etwa jede neu entwickelte oder aktualisierte Eingabemaske und Anwendung erst getestet werden kann, bevor sie auf die Produktionssysteme eingespielt wird.

Diese drei Plattformen sind aber in der Regel nicht ganz identisch, weder vom Standpunkt der Hardware noch von der Konfiguration her. Damit der saubere Übergang der Neuentwicklungen auf die Testplattform und dann in die Produktionsumgebung gewährleistet ist, sollten Abweichungen bezüglich des Patch-Standes der Betriebssysteme und in der Konfiguration dokumentiert sein.

Hier kann Deep Security die Integritätsüberwachung übernehmen. Die Software erkennt Änderungen im Dateisystem und in der Registry, zeigt die Unterschiede zwischen den drei Plattformen auf und kann sie bei Bedarf beseitigen.

Artikelfiles und Artikellinks

(ID:42278249)