Mehr Sicherheit für SAP HANA mit SELinux

Security-Enhanced Linux ist ein Linux Security Model (LSM), mit dem Sicherheitsrichtlinien definiert werden können, um obligatorische Zugriffskontrollen (Mandatory Access Controls, kurz MAC) zu implementieren, sodass eine hochgradig granulare Ebene zur Stärkung des Betriebssystems gegen jegliche Angriffe entsteht.

Die Vorteile von SELinux sind zwar offensichtlich, doch wurde in der Vergangenheit immer wieder davon abgeraten, den Modus "Enforcing" (wir gehen später darauf ein) für Server zu verwenden, auf denen SAP HANA gehostet wird, da es vereinzelte Kundenfälle gab, bei denen die Leistung der DB durch diese Konfiguration beeinträchtigt wurde. SAP HANA ist extrem ressourcenintensiv und erzeugt während des normalen Betriebs eine große Anzahl von Threads, so dass das Hinzufügen der Richtlinienprüfungen für alle Threads von SAP als Ursache für diese vereinzelten Leistungsprobleme angesehen wurde und weitere Tests nicht in Betracht gezogen wurden.

So unterstützt Red Hat SAP Kunden auf ihrem Weg zum Intelligent Enterprise

Die zugrunde liegende Idee besteht darin, die möglichen Aktionen eines Zielobjekts (in der Regel ein Prozess) auf ein Ziel (Dateien, Speicher, E/A-Geräte, Netzwerkressourcen usw.) zu regulieren oder einzuschränken. Die Richtlinien enthalten Regeln, die jedes Mal ausgewertet werden, wenn ein Zielobjekt versucht, auf ein Ziel zuzugreifen, und demzufolge genehmigt oder nicht genehmigt wird. Abgesehen von MAC basiert SELinux auch auf rollenbasierter Zugriffskontrolle (Role-Based Access Control, kurz RBAC) und setzt diese um.

In SELinux werden Prozesse in Domänen ausgeführt, so dass sie voneinander getrennt sind. Jedem Benutzer (Prozess) wird ein Benutzername, eine Rolle und eine Domäne zugewiesen, und jedes Ziel ist mit einem Namen, einer Rolle und einem Typ gekennzeichnet. In den Richtlinien ist festgelegt, welchen Domänen ein Benutzer angehören muss, um eine Aktion auf einem Ziel auszuführen, z. B. um sich an einen Listening Port zu binden. Wenn ein Prozess kompromittiert wird, hat der Angreifer nur Zugriff auf die Ressourcen in der Domäne, der dieser Prozess zugewiesen wurde, wodurch die Gefahr vermieden wird, dass der Angreifer Zugriff auf Systemdateien hat und die Kontrolle über das gesamte Betriebssystem erlangt. Diese Funktion ist auch sehr nützlich für Anwendungen, die in Containern eingesetzt werden, da sie eine zusätzliche Isolationsebene zwischen den Containern und den Hosts, auf denen sie laufen, bietet.

SELinux verfügt über 3 Betriebsmodi:

1. Enforcing: Die Richtlinien sind aktiv und werden durchgesetzt.
2. Permissive: Das System verwendet die Richtlinien, verweigert aber nicht den Zugriff auf die Ziele, sondern schreibt nur die Genehmigungs- und Ablehnungsmeldungen in die Systemprotokolle (dieser Modus wird normalerweise verwendet, um Richtlinien zu testen, bevor sie in der Produktion eingesetzt werden).
3. Disabled

Die Verwendung von SELinux im Enforcing-Modus und mit benutzerdefinierten Richtlinien kann Sicherheitsprobleme außer Kraft setzen, die im Kernel des verwendeten Betriebssystems vorhanden sein könnten und wird dringend empfohlen.

Red Hat Enterprise Linux umfasst SELinux seit der Veröffentlichung von Version 4 im Jahr 2005 (in Fedora war es bereits seit Version 2 verfügbar).

Im vergangenen Jahr wurde die Diskussion zu diesem Thema zwischen den Entwicklungsteams von Red Hat und SAP wieder aufgenommen und entschieden, SAP HANA auf RHEL-Hosts mit SELinux im Enforcing-Modus gründlich zu testen.

Die gute Nachricht ist, dass das Engineering-Team von Red Hat die „SAP HANA Validation Test Suite“ (die von SAP verwendet wird, um festzustellen, ob ein System in der Lage ist, SAP HANA DB auszuführen und zu verarbeiten) erfolgreich durchgeführt hat, ohne dass es zu einer Beeinträchtigung der DB-Leistung kam (der Rückgang betrug nur etwa 2%). Die Tests wurden bisher auf RHEL 8.2, RHEL 8.4, RHEL 8.6 und RHEL 9 durchgeführt, und zwar mit minimaler Paketinstallation, was eine bewährte Sicherheitspraxis ist, um die Anzahl der Prozesse und Anwendungen zu minimieren, die potenzielle Ziele von Angriffen sein könnten. Hier der Link zum veröffentlichten KB.

Der OSS-Hinweis mit den Empfehlungen für RHEL 8 auf Hosts, auf denen HANA läuft, wurde bereits dahingehend geändert, dass SELinux die Ausführung von SAP HANA im "unconfined mode" (d. h. in einer nicht eingeschränkten Domäne) ermöglichen kann.

Diese Ergebnisse sind außerordentlich hilfreich, denn ab sofort können Kunden ihre SAP HANA-DBs nach den höchsten Sicherheitsstandards und mit der Gewissheit betreiben, dass ihre Konfiguration sowohl von SAP als auch von Red Hat zugelassen ist.

Die SELinux-Tests sind nur ein Teil einer größeren Sicherheitsbewertung für RHEL-Hosts mit SAP HANA, die in Kürze als Whitepaper veröffentlicht werden soll.