ÜBERWACHUNGSSTRATEGIE FÜR HYBRIDE LANDSCHAFTEN
Datenbankwartung, Planen und Wiederherstellen von Datenbanksicherungen
Die Entscheidung, ob mehrere SAP-Instanzen pro Rechner eingerichtet werden, wird ebenfalls gemeinsam mit Ihrem Hardwarepartner getroffen. Grundsätzlich geht der Trend dahin, pro Rechner eine große Instanz mit vielen Workprozessen und großem SAP Extended Memory einzurichten. Sie sollten nicht unnötig viele Instanzen einrichten, da jede Instanz Verwaltungs- und Überwachungsaufwand erfordert. SAP gibt an, dass Sie Instanzen bis zu 512 GB Größe konfigurieren können.
Neue Risiken in SAP HANA: Neben den bekannten Risiken bestehen auch neue Risiken durch die Verwendung von SAP HANA. Ein sehr gutes Beispiel sind häufig verwendete Webanwendungen, die etwas neues im SAP Bereich darstellen. HANA Systeme bestehen im Gegensatz zu einem SAP ERP System hauptsächlich aus Webanwendungen, die in den vorherigen Versionen eher als optional zu betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im Internet aufgefunden werden. Das gilt übrigens auch für das SAP Portal oder Netweaver. Es gibt URL-Schemata die zum Auffinden des Systems beitragen. Dies gilt auch für andere SAP Systeme, die Webanwendungen verwenden. Damit ist auch die neue Technologie für typische Webangriffe verwundbar. Zu nennen sind hier SQL Injection, ABAP Code Injection oder XSS. Alle Risiken, die für ein normales SAP System bekannt sind, gelten auch für ein SAP-HANA System. Die Daten werden unverschlüsselt im RAM abgelegt. Erst dadurch gewinnt das System diesen Geschwindigkeitsvorteil. Hieraus resultieren Risiken wie ein auslesen durch Memory-scrapingmalware. Diese greifen Daten im Arbeitsspeicher ab. Verschlüsselung kostet Performance, daher wird diese standardmäßig nicht verwendet. Gerade während einer Migration läuft HANA in einem Parallelsystem, daher kommt zu Ihrer Landschaft mindestens ein neues System dazu. Beachten Sie darüber hinaus: HANA hat eigene Tools und eigene Einstellmöglichkeiten die gekannt und konfiguriert werden müssen. Unterm Strich muss beim Betrieb des Systems einfach mehr beachtet werden. Viele Einstellmöglichkeiten resultieren nicht selten in mehr Fehlern. Drei - Punkte - Plan zur HANA Sicherheit 1) Rollen und Berechtigungen Im einem bisherigen SAP System zählen Rollen und Berechtigungen sicherlich auch zu den Hauptsäulen eines sicheren Systems. Rollen und Berechtigungen funktionieren aber anders in einem HANA System. Es gibt zwei Nutzertypen: 1) Standard (eingeschränkt): Mit diesem Nutzertyp gibt es verschiedene Zugriffsmethoden auf die Datenbank. Hier werden beispielsweise die Technologien JDBC oder HTTP verwendet, um zwei Beispiele zu nennen.
Wann liegt ein CPU-bzw. ein Hauptspeicherengpass vor?
Nachdem Sie diese Anwendung auf Ihrem Präsentationsserver installiert haben, starten Sie die Datei SAPClientPlugin.exe. Das SAP-Client-Plug-in, das in Abbildung 3.9 zu sehen ist, wird gestartet. Als Präsentationsserverkomponenten werden in der neuesten Version der Microsoft (MS) Internet Explorer, MS Word, MS Excel, MS PowerPoint, MS Outlook, MS Project und der SAP Business Client unterstützt. Wählen Sie den MS Internet Explorer als Anwendung aus, und starten Sie diesen über die Schaltfläche Launch. Im Webbrowser führen Sie nun die Anwendung aus. Wenn Sie im Webbrowser an die Stelle in Ihrer Webtransaktion gelangt sind, an der Sie mit der Analyse beginnen wollen, schalten Sie den Trace mit dem Schalter Start Transaction ein. Vorher geben Sie Ihrer Analyse im Feld Business Transaction Name noch einen Namen. Das Plug-in protokolliert die Anfragen an den Webserver und modifiziert nun den HTTP-Strom so, dass dem SAP NetWeaver AS mitgeteilt wird, welche Traces eingeschaltet werden sollen. Jedes Mal, wenn Sie einen neuen Schritt im Webbrowser durchführen, beginnen Sie auch einen neuen Analyseschritt mit dem Schalter New Step. Sie können auch den Transaktionsschritten Namen geben, die Sie im Feld Executed Step Name eingeben können. Wenn Sie dies nicht tun, zählt die Analyseanwendung die Schritte mit Step-1, Step-2 etc. durch. Wenn Sie mit dem Teil der Transaktion, den Sie analysieren wollen, fertig sind, klicken Sie auf den Schalter Stop Transaction. Haben Sie in den Feldern SMD Host und SMD HTTP Port die entsprechenden Verbindungsdaten für Ihren SAP Solution Manager eingegeben, sendet die Analysetransaktion die auf dem Präsentationsserver gesammelten Daten an den SAP Solution Manager, um sie dort zusammen mit den auf dem SAP NetWeaver AS gesammelten Daten darstellen zu können.
SAP wird in Zukunft alle SAP Hinweise (SAP Notes) im SAP ONE Support Launchpad digital signiert bereitstellen. Damit soll die Sicherheit beim Einspielen der Updates erhöht werden. Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihre SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt. Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den Notwendigen Berechtigungen haben, müssen Sie nur noch die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen. Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt. Voraussetzungen um digital signierte SAP Hinweise zu nutzen Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein: Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich. Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können: Berechtigung für die Transaktion SLG1 Leseberechtigung für Berechtigungsobjekt S_APPL_LOG Berechtigung zum Schreiben und Löschen von Daten aus dem Anwendungsverzeichnis Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werden Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen. Umsetzung SAP Hinweis Nummer 2408073.
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Diese erreichen Sie entweder direkt über den Transaktionscode SM66 oder über SM50 > Springen > Systemweite Liste.
Die End-to-End-Laufzeitanalyse können Sie für eine Webtransaktion, aber auch andere Frontend-Komponenten oder für eine SAP-GUI-Transaktion einschalten, wenn dafür Bedarf besteht, weil z. B. die Transaktion über mehrere Systeme hinweg läuft.