COMPAREX wird SoftwareONE. Ab dem 1. April wird die COMPAREX AG ihren Markenauftritt in SoftwareONE ändern. Die Markenkonsolidierung ist Teil eines laufenden Integrationsprozesses im Zuge des Erwerbs der COMPAREX AG durch SoftwareONE.
Mehr Sicherheit für SAP HANA mit SELinux

SAP HANA mit SELinux

Höchste Sicherheit garantiert

Mehr Sicherheit für SAP HANA mit SELinux

Security-Enhanced Linux ist ein Linux Security Model (LSM), mit dem Sicherheitsrichtlinien definiert werden können, um obligatorische Zugriffskontrollen (Mandatory Access Controls, kurz MAC) zu implementieren, sodass eine hochgradig granulare Ebene zur Stärkung des Betriebssystems gegen jegliche Angriffe entsteht.

Die Vorteile von SELinux sind zwar offensichtlich, doch wurde in der Vergangenheit immer wieder davon abgeraten, den Modus "Enforcing" (wir gehen später darauf ein) für Server zu verwenden, auf denen SAP HANA gehostet wird, da es vereinzelte Kundenfälle gab, bei denen die Leistung der DB durch diese Konfiguration beeinträchtigt wurde. SAP HANA ist extrem ressourcenintensiv und erzeugt während des normalen Betriebs eine große Anzahl von Threads, so dass das Hinzufügen der Richtlinienprüfungen für alle Threads von SAP als Ursache für diese vereinzelten Leistungsprobleme angesehen wurde und weitere Tests nicht in Betracht gezogen wurden.

 

So unterstützt Red Hat SAP Kunden auf ihrem Weg zum Intelligent Enterprise

Schauen wir uns SELinux etwas genauer an.

Die zugrunde liegende Idee besteht darin, die möglichen Aktionen eines Zielobjekts (in der Regel ein Prozess) auf ein Ziel (Dateien, Speicher, E/A-Geräte, Netzwerkressourcen usw.) zu regulieren oder einzuschränken. Die Richtlinien enthalten Regeln, die jedes Mal ausgewertet werden, wenn ein Zielobjekt versucht, auf ein Ziel zuzugreifen, und demzufolge genehmigt oder nicht genehmigt wird. Abgesehen von MAC basiert SELinux auch auf rollenbasierter Zugriffskontrolle (Role-Based Access Control, kurz RBAC) und setzt diese um.

In SELinux werden Prozesse in Domänen ausgeführt, so dass sie voneinander getrennt sind. Jedem Benutzer (Prozess) wird ein Benutzername, eine Rolle und eine Domäne zugewiesen, und jedes Ziel ist mit einem Namen, einer Rolle und einem Typ gekennzeichnet. In den Richtlinien ist festgelegt, welchen Domänen ein Benutzer angehören muss, um eine Aktion auf einem Ziel auszuführen, z. B. um sich an einen Listening Port zu binden. Wenn ein Prozess kompromittiert wird, hat der Angreifer nur Zugriff auf die Ressourcen in der Domäne, der dieser Prozess zugewiesen wurde, wodurch die Gefahr vermieden wird, dass der Angreifer Zugriff auf Systemdateien hat und die Kontrolle über das gesamte Betriebssystem erlangt. Diese Funktion ist auch sehr nützlich für Anwendungen, die in Containern eingesetzt werden, da sie eine zusätzliche Isolationsebene zwischen den Containern und den Hosts, auf denen sie laufen, bietet.

SELinux verfügt über 3 Betriebsmodi:

  1. Enforcing: Die Richtlinien sind aktiv und werden durchgesetzt.
  2. Permissive: Das System verwendet die Richtlinien, verweigert aber nicht den Zugriff auf die Ziele, sondern schreibt nur die Genehmigungs- und Ablehnungsmeldungen in die Systemprotokolle (dieser Modus wird normalerweise verwendet, um Richtlinien zu testen, bevor sie in der Produktion eingesetzt werden).
  3. Disabled

Die Verwendung von SELinux im Enforcing-Modus und mit benutzerdefinierten Richtlinien kann Sicherheitsprobleme außer Kraft setzen, die im Kernel des verwendeten Betriebssystems vorhanden sein könnten und wird dringend empfohlen.

Red Hat Enterprise Linux umfasst SELinux seit der Veröffentlichung von Version 4 im Jahr 2005 (in Fedora war es bereits seit Version 2 verfügbar).

Im vergangenen Jahr wurde die Diskussion zu diesem Thema zwischen den Entwicklungsteams von Red Hat und SAP wieder aufgenommen und entschieden, SAP HANA auf RHEL-Hosts mit SELinux im Enforcing-Modus gründlich zu testen.

Die gute Nachricht ist, dass das Engineering-Team von Red Hat die „SAP HANA Validation Test Suite“ (die von SAP verwendet wird, um festzustellen, ob ein System in der Lage ist, SAP HANA DB auszuführen und zu verarbeiten) erfolgreich durchgeführt hat, ohne dass es zu einer Beeinträchtigung der DB-Leistung kam (der Rückgang betrug nur etwa 2%). Die Tests wurden bisher auf RHEL 8.2, RHEL 8.4, RHEL 8.6 und RHEL 9 durchgeführt, und zwar mit minimaler Paketinstallation, was eine bewährte Sicherheitspraxis ist, um die Anzahl der Prozesse und Anwendungen zu minimieren, die potenzielle Ziele von Angriffen sein könnten. Hier der Link zum veröffentlichten KB.

Der OSS-Hinweis mit den Empfehlungen für RHEL 8 auf Hosts, auf denen HANA läuft, wurde bereits dahingehend geändert, dass SELinux die Ausführung von SAP HANA im "unconfined mode" (d. h. in einer nicht eingeschränkten Domäne) ermöglichen kann.

Diese Ergebnisse sind außerordentlich hilfreich, denn ab sofort können Kunden ihre SAP HANA-DBs nach den höchsten Sicherheitsstandards und mit der Gewissheit betreiben, dass ihre Konfiguration sowohl von SAP als auch von Red Hat zugelassen ist.

Die SELinux-Tests sind nur ein Teil einer größeren Sicherheitsbewertung für RHEL-Hosts mit SAP HANA, die in Kürze als Whitepaper veröffentlicht werden soll.

Produkte von Red Hat zu den besten Konditionen erhalten

Unser Experten Team von SoftwareONE berät Sie gern bei der Auswahl und Beschaffung von passenden Red Hat Subskriptionen, die perfekt zu Ihren Anforderungen, Ihrer Infrastruktur und Ihren Unternehmenszielen passen.

Red hat advance

Kommentieren Sie diesen Artikel

Hinterlassen Sie einen Kommentar, um uns mitzuteilen, was Sie von diesem Thema halten!

Kommentar hinterlassen

Autor

Michael Hess

Solution Specialist Red Hat

Verwandte Artikel

How to Count IBM Licenses in Hyperthreaded Public Cloud
  • 28 Juni 2022
  • Randy Bal
  • IBM Cloud, Lizenzmanagement-Trainings, Publisher Advisory
  • IBM, Cloud, ILMT, hyperthreading

So zählen Sie IBM Lizenzen in einer Hyper Threaded Public Cloud

Beim IBM-Cloud-Einsatz gelten spezielle Lizenzanforderungen. Der Blogbeitrag zeigt, wie man IBM Lizenzen in einer Hyper Threaded Public Cloud zählt.

Acronis als Software as a Service

Acronis als Software as a Service

Praktisch, effizient und zuverlässig: Acronis mit SaaS und SoftwareONE aus der Cloud beziehen. Diese Vorteile machen Sie zum Cloud-Enthusiasten.

Oracle Enterprise Manager – How to Avoid Unexpected Licensing Challenges

Oracle Enterprise Manager – Was leistet OEM und was ist bei der Lizenzierung zu beachten?

Oracle Enterprise Manager (OEM) beinhaltet nützliche Tools, aber auch Lizenzierungs-Herausforderungen. Wir gehen dem Thema auf den Grund.