Die SAP Business Technology Platform (SAP BTP) ist inzwischen in vielen Unternehmen angekommen – oft leise durch „nur ein paar Erweiterungen in der Cloud“ oder „ein kleines Integrationsszenario“. Spätestens wenn der erste produktive Use Case läuft, stehen Prüfer und Datenschützer vor der Frage:
„Wie prüfe ich das eigentlich – und was ist hier Standard, was ist kundenspezifische Verantwortung?“
Genau an dieser Stelle setzen die SAP BTP Security Recommendations an: SAP hat eine Sammlung von sicherheitsrelevanten Empfehlungen veröffentlicht, die Kunden helfen soll, die eigene BTP-Konfiguration zu bewerten und zu härten.
Der Beitrag soll einen kleinen Einblick bieten, wie man diese SAP BTP Security Recommendations als roten Faden für eine BTP-Prüfung einsetzen kann.
Was sind die SAP BTP Security Recommendations
Die BTP ist eine Platform as a Service (PaaS). Auf ihr werden die gewünschten Anwendungen in Form von Services betrieben. Die Security Recommendations beziehen sich genau auf diese einzelnen im Einsatz befindlichen Services. Es gibt also keinen fest definierten Satz von Prüfpunkten, sondern es muss zunächst ermittelt werden, welche Services im Einsatz sind.
Die SAP BTP Security Recommendations sind Teil der offiziellen SAP-Dokumentation und im SAP Help Portal im Bereich zur SAP Business Technology Platform verankert.
Kunden sollen damit unterstützt werden, die Sicherheit der BTP-Konfiguration zu bewerten, und konkrete Maßnahmen zur Härtung einzelner BTP-Services abzuleiten.
Sie sind beispielsweise unter folgender Internetadresse zu finden, von wo aus sie auch komplett als Excel-Datei heruntergeladen werden können:
Zugriff auf Organisationsstruktur der BTP
Für eine Analyse der eingesetzten Services kann das BTP Cockpit genutzt werden. Hier gilt es zunächst, die vorhandene Organisationsstruktur zu analysieren, über welche die Services, Benutzer mit Berechtigungen und Daten etc. verwaltet werden.
Die höchste Org-Einheit ist der Global Account, in dem übergeordnete Konfigurationen, wie etwa die grundsätzlich aufgrund des genutzten Vertrages zur Verfügung stehenden Services, Authentifizierungsmethoden für Anmeldung und ähnliches konfiguriert sind.
Der eigentliche „Betrieb“ der BTP findet aber in den Subaccounts statt, in denen die Services genutzt werden.
Innerhalb eines Subaccounts existieren die Spaces, die eine Verwaltung verschiedener Entwicklerteams und Aufgaben ermöglichen.
In jeder Organisationseinheit existiert eine eigene Benutzer- und Berechtigungsverwaltung, welche die Zugriffe innerhalb dieser Hierarchie-Ebene regelt. Im Gegensatz zu einem ABAP-System können beispielsweise für einen Prüfer keine übergeordneten Anzeigeberechtigungen vergeben werden, sondern es muss auf jede einzelne Organisationseinheit berechtigt werden, um die enthaltenen Objekte zu analysieren.
In Abb. 3 sind beispielsweise Benutzer mit den zugeordneten Berechtigungen in Form von Role Collections, also den ABAP-Sammelrollen entsprechend, auf Subaccount-Ebene dargestellt.
Anzeigeberechtigungen auf den verschiedenen Organisationsebenen werden über folgende Rollen bzw. Role Collections vergeben:
- Global Account: Global Account Viewer
- Subaccount: Subaccount Viewer
- Org Ebene (bei Einsatz der Cloud foundry Umgebung Laufzeitumgebung): Org Auditor
- Space: SpaceAuditor
Analyse der eingesetzten Services
Auf der Ebene des Global Accounts wird eine Übersicht der zur Verfügung stehenden Services angezeigt:
Der Zuordnung zu den Entities kann entnommen werden, wie vielen Subaccounts der einzelne Service jeweils zugeordnet ist.
Die Service-Zuordnungen lassen sich ebenfalls in den einzelnen Subaccounts unter Subscriptions und Instances analysieren.
Weitere Analysewerkzeuge
Neben einer Prüfung über das BTP Cockpit stehen noch weitere Analysewerkzeuge zur Verfügung. Die einzelnen Services stellen als Kommunikationsschnittstelle mit der Umgebung APIs (Application Programming Interface) zur Verfügung, die pro Service in der SAP Business Accelerator Hub über den folgenden Link dokumentiert sind:
URL SAP Business Accelerator Hub: https://api.sap.com
APIs können über die Kommandozeile oder mit Tools wie beispielsweise Postman aufgerufen werden.
Ein weiteres Tool ist das Command Line Interface (CLI), das eigene auf APIs basierende Befehle zur Verfügung stellt.
Fazit
Die SAP BTP ist als PaaS eine offene Architektur, deren Funktionsumfang und somit zu prüfenden Inhalte von der Anzahl und Art der genutzten Services abhängt. Ein gute Grundlage zur Erstellung eines Prüfleitfadens wird durch die SAP BTP Security Recommendations bereitgestellt.