如果虚拟机被盗或复制,HANA加密是否可以保护数据?

2020-09-09 07:47发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的专家们!

通过订购我们的安全团队,我们需要在ERP系统上启用加密。

HANA 2.0 SPS3上的ERP 6.0 SPS8(NW 7.5)。

我们计划在HANA数据库上启用加密,即:

a)数据量加密

b)日志加密

c)备份加密(数据备份+存档的重做日志)

请告诉我-

1)如果仅在生产数据库上启用加密,会有任何问题吗? (例如在DEV(未加密的HANA DB)中创建的带有Trans Request等的示例)

2)如果黑客或云管理员可能窃取整个虚拟机(数据库和应用服务器SAP)或从VM备份(WHOLE VM,我不是在谈论数据库备份)中恢复,-

他可以从被盗的VM副本中"打开"/"解密"数据吗? (例如,仅启动SAP)

3)如果问题2为"是",在这种情况下我们如何保护\保护?

谢谢...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的专家们!

通过订购我们的安全团队,我们需要在ERP系统上启用加密。

HANA 2.0 SPS3上的ERP 6.0 SPS8(NW 7.5)。

我们计划在HANA数据库上启用加密,即:

a)数据量加密

b)日志加密

c)备份加密(数据备份+存档的重做日志)

请告诉我-

1)如果仅在生产数据库上启用加密,会有任何问题吗? (例如在DEV(未加密的HANA DB)中创建的带有Trans Request等的示例)

2)如果黑客或云管理员可能窃取整个虚拟机(数据库和应用服务器SAP)或从VM备份(WHOLE VM,我不是在谈论数据库备份)中恢复,-

他可以从被盗的VM副本中"打开"/"解密"数据吗? (例如,仅启动SAP)

3)如果问题2为"是",在这种情况下我们如何保护\保护?

谢谢...

付费偷看设置
发送
3条回答
Violet凡
1楼-- · 2020-09-09 08:16

Daulet,你好

有关HANA安全性的简要概述,请参阅以下内容:

SAP HANA安全性

关于您的问题:

1。 如果您的非生产环境是生产的克隆,则将对它进行加密,并且要求操作该密钥的良好做法是为非生产环境创建新密钥。 请参考以下有关加密密钥和克隆的SAP注释:2134846

2。 我假设除了虚拟机之外,基础存储也被盗了吗? 就像窃取VM一样,也许只会给您操作系统二进制文件? 人们会假设HANA软件,数据,日志和备份卷驻留在其他安装点上,也许在不同存储系统的一部分上?

因此,假设有人设法将其全部窃取,那么-由于数据加密所需的HANA VM的主密钥和根密钥驻留在该VM中(本质上是实例SSFS和系统PKI SSFS,因此,您需要保护VM和 研究可能使用支持硬件安全模块的加密软件在操作系统上对重要文件进行加密-该加密软件允许将密钥存储在VM和常规存储系统本身的外部。 用于虚拟化的技术(例如与VMWARE/VSphere结合使用)指的是以下内容,其中过程所需的密钥并未全部存储在来宾主机上:

vSphere加密如何保护您的环境

希望有帮助。

谢谢

-Naqi

lukcy2020
2楼-- · 2020-09-09 08:30

感谢Naqi,

对我们来说不是很好。

您能告诉我,SAP HANA多久使用一次SSF&SYSTEM PKI SSFS(根密钥等)? 仅在启动DB上? 还是随时?

如果仅在启动时,我们可以在启动后将密钥移动到另一个安全的地方?

示例我们只是启动数据库,然后将键(而不是复制)移动到安全位置。

亦是此间程序员
3楼-- · 2020-09-09 08:13

嗨,Daulet,

您可以从默认位置更改键的位置,但是它将需要驻留在数据库可访问的某个位置。 HANA文档将详细说明如何做到这一点。

还可以查看客户端数据加密,该方法将使用列加密-在这里您将需要有选择地决定表中的哪些列需要加密。 同样,这种类型的加密将仅允许从具有密钥的客户端访问以查看数据。

客户端数据加密

一周热门 更多>