Post on 20-Jul-2015
transcript
Relatore:
Marco Cremonini Studente:
Giuseppe Restivo
Matr: 785940
Correlatore:
Dott: Massimo Manara
Dott: Andrea Cavalleri
Corso di Laurea Magistrale in: Sicurezza Informatica
SAP nel Cloud: Analisi della Sicurezza Logica e
Compliance
Obiettivi
Analisi del mercato di SAP Nel Cloud
Analisi dei costi: Cloud Vs OnPremise
Sicurezza Logica di SAP: Autorizzazioni
1/14
Cloud Computing
- Per utente comune: significa utilizzare un servizio
basato sul web, come ad esempio i servizi on-line per lo
storage, applicazioni, e-mail, elaborazioni testi.
- Per un utente tecnico: descrive un complesso di
sistemi, servizi e dispositivi collegati, che compongono
internet.
2/13
SAP nel Cloud (SLA)
SAP nel cloud significa spostare l’ambiente ERP, ovvero il proprio sistema gestionale esistente
nella piattaforma cloud.
Cloud Pubblica:
Altamente standardizzata:
- Nessun supporto di requisiti funzionali per gli utenti.
- Condivisione e istanza con altri clienti.
Mancanza di “know-how” IT.
Hosting esterno dei dati.
Soluzioni a basso costo.
Formazione degli utenti finali minima.
Soluzioni ideali per le piccole e medie imprese (PMI).
- bassa diversificazione dei processi di business.
Cloud Privata:
Altamente Customizzabile:
-Supporto di requisiti d’funzionali
Esistenza di “know-how” IT.
Hosting controllato e sicuro dei dati.
Costi elevati per le licenze.
Completa formazione degli utenti finali.
Soluzioni ideali per grandi imprese anche
multinazionali.
-Alta diversificazione dei processi di business
3/13
Benefici del modello SAP-SaaS
• Elimina i costi di capitale
• Deployment e produttività veloce
• Semplica l'uso e la Gestione
• Aumento di Flessibilità
• Affidabilità e Performance migliori
4/13
Cloud vs On-premise
Partendo da un campione di aziende intervistate[16], che hanno usato soluzioni ERP simili
nei casi cloud e on-premise è stata fatta un’analisi del TCO per un periodo di 4 anni.
Ovvero il costo totale di acquisto e di gestione di una soluzione tecnologica durante la sua
vita utile. È stato possibile osservare che: Il TCO generale Cloud è stato considerevolmente
inferiore rispetto a quello on-premise.
[16] Sanjeev Aggarwal - Laurie MacCabe "The Compellin TCO: Case for Cloud Computing in SMB and Mid-Market Enterprises”, Massachusetts
2011 5/13
SAP-ERP nel Cloud in Italia
In Italia: Mercato ancora in crescita
Criticità emerse:
- Scarsa maturità
dell’offerta.
- Cambiamento di
paradigma.
- Complessità e gestione
dei SLA.
- Banda a ” macchia di
leopardo”.
Diffusione servizi SaaS in Italia: Posta, CRM, HR, Collaborazione con i partner6/13
SAP NetWeaver
- È possibile realizzare un’architettura “service-oriented”
Componenti Integrabili:
- OpenSSO che include anche il modulo di autenticazione SAML.
- Governance and Compliance: “SAP BusinessObjects Access Control" (GRC) basato sui Web
Service che fornisce automaticamente auditing e reporting coprendo i requisiti di compliance.
7/13
Autorizzazioni SAP 1/2
• Master Record Utente
• Classi Oggetti
• Oggetti Autorizzativi
• Valori dei campi (fields)
8/13
Autorizzazioni SAP 2/2
Approccio basato sui Ruoli
• Ruolo Singolo: Contiene i dati di autorizzazione e le transazioni assegnate
al ruolo. Gli utenti assegnati al ruolo ereditano la struttura dei menu e le
transazioni.
• Ruolo Composto: raggruppa ruoli singoli.
• Ruolo Derivato: eredita la struttura dei menu e le transazioni dai ruoli
referenziati.
9/13
Il controllo autorizzativo SAP 1/2
Supponiamo di imporre un controllo di autorizzazione per la modifica delle
prenotazioni per i clienti.
1) Creare dei campi (fields)di attività “ACTVT” e “CUSTTYPE” e assegnare
un valore da controllare esempio (02 e B) rispettivamente.
2) Creare un authorization object (S_TRVL_BKS).
10/13
Il controllo autorizzativo SAP 2/2
L’AUTHORITY-CHECK: controlla se un utente ha appropriate autorizzazioni per
eseguire una particolare attività. Nel nostro caso
Quando questo accade, il sistema controlla i profili di autorizzazione nel master
record dell'utente per l’appropriato oggetto di autorizzazione (S_TRVL_BKS).
Se l'autorizzazione è trovata e contiene i valori corretti, la verifica è riuscita.
11/13
Fenomeno del Cyber-Crime
12/13
In base ai casi analizzati il Cloud porterà sicuramente dei vantaggi economici e gestionali. Però c’è
da considerare un’ aspetto importante che sta prendendo sopravvento soprattutto in quest’ultimo
periodo, ovvero il fenomeno del cyber-crime. Due sono gli aspetti da considerare:
1) Il fatto che le cloud possono fornire nuovi strumenti per il Cyber-Crime. Esempio l’attacco a Sony,
che tra l’altro era già stato documentato da un precedente studio del MIT. L’infrastruttura del
servizio Amazon EC2 permette di avviare dei server virtuali in ambiente cloud utilizzando
un’immagine personalizzata. Gli attacker hanno creato account falsi, e da li hanno attivato tante
macchine zombi al fine di perpetrare un DDoS.
1) Cyber-crime: si sta ispirando alla filosofia SaaS per distributire i propri servizi illegali.