亚马逊云_华为云收藏_免费1年

时间:2021-09-24 10:30       来源: 微辰云

亚马逊云_华为云收藏_免费1年

越来越多的客户开始重视安全这一话题。一方面是身份验证,另一方面是加密(客户机+服务器数据+通信通道)。当然,授权也是一个重要的部分,但不是在这个博客的背景下,远离我的专业知识。正如你可能从字里行间读到的,我不喜欢授权概念。这些都是非常广泛的主题,现在我们将重点介绍服务器和客户机之间通信通道加密的x.509证书。

SAP提供了一些文档,但其中一些文档已经过时,或者与客户环境/需求不匹配,或者不全面。

大多数SAP文档都很简单具有一个网络接口和一个IP标签的环境。事实上,大多数客户都有多个接口,多个服务标签具有不同的网络区域和域。这里的大部分文档都缺少细节,对于复杂的环境及其高安全标准的有状态连接防火墙是无用的。

由于本主题的复杂性,第一部分将再次成为理论部分,第二部分将更加面向服务器上的命令。

开始要点:SAP HANA网络和通信安全SAP-HANA中的证书管理如何在SAP HANA 2.0中配置SSL2478769–在STRUST中获取具有使用者备用名称(SAN)的证书2487639–HANA基本操作系列–HANA和SSL–MASTER KBA

Darryl Griffiths Blog from 2014–SAP HANA–SSL Security Essential

不同场景:

1.1客户端和HANA驾驶舱通信

HANA XSA端口规范通过MTEXT:SAP note 2389709–安装前指定SAP HANA驾驶舱的端口

1.2SolMan通信

现在可以停用SLD,并使用LMDB作为主要数据采集系统。要使用此功能,您至少需要7.2 SP09的SP级别。(查看SAP note 2834711)

1.3作为ABAP通信

也许您现在要求这两个绿色框。因为很长一段时间以来,SAP建议使用虚拟主机名。为此,明智的做法是为每个服务添加一个IP标签,构建云服务器,这意味着一个具有名称和IP的自己的DNS记录。此上下文中的服务意味着如果您在一台服务器上运行多个服务(如多个租户)。使用MDC(或者像SAP现在所说的容器/租户),大数据学什么,您总是有一个systemDB和一个租户。如果在一台服务器上有一个HANA结构,这意味着在同一台服务器上运行一个附加的应用程序服务器,中央服务与HDB一起运行。对于每台服务器,您可以添加一个自己的IP标签以使其灵活。如果您这样做,您将配置这些虚拟名称上的所有通信,包括证书!如果您必须安装新的操作系统版本,您可以设置新的环境并切换应用程序(包括IP标签),不需要调整客户端通信。

每次安装SAP应用程序时,国家大数据,您都必须注意这些名称。配置适当的网络通信路由也很重要,因为根据默认情况,Linux服务器上的每个通信量都会通过默认的"默认网关",默认情况下,它是第一个接口eth0(我们以后需要证书的专有技术)。在AS ABAP服务器上,大数据培训哪好,这由"is/addr parameter"控制。在HANA上,大数据技术,您还可以配置每个接口。每个标签都应该有自己的IP.

SAP对所有属于物理主机名(systempki)的组件(host agent、DAA、SystemDB、Tenant)大多使用一个证书。如果您想灵活地更改服务器(硬件更改/OS升级),则需要将多个证书连接到不同的主机名。我们不是在谈论自签名证书。我们讨论的是来自受信任的根CA的签名证书。

对于那些不熟悉JDBC/ODBC/SQLDBC连接的人有一个短途旅行:

应用程序,包括实用程序、SAP应用程序、第三方应用程序和自定义应用程序,必须使用SAP HANA接口来访问SAP HANA。SQLDBC是大多数接口的基础;但是,应用程序并不直接使用它。

这是第一部分,为下一部分(实际部分)做准备。

您是否已经保护了HANA环境中的所有通信?您是否确定了所有与您的HANA数据库建立连接的客户端?您是否已经准备好由于使用虚拟主机名概念进行硬件更改/OS升级而更改服务器?是否可以在不更改所有客户端连接的情况下将租户切换到另一个systemDB?您是否已经准备好了多个接口(包括标签)以及适合防火墙规则和网络分段的有状态连接的适当路由?

如果您回答的问题是否定的,您应该等待本系列的第二部分

«

华为云_阿里云排名_学生机
« 上一篇 4月前

»
企业邮箱_千助网站建设_返现
下一篇 » 今天