1.14k likes | 3.18k Views
Windows Server による セキュアな SAP システムの 構築と運用. マイクロソフト株式会社. Agenda. はじめに セキュアな SAP システムの構築 - ハードニング セキュアな SAP システムの運用 - パッチマネジメント セキュアな SAP システムの運用 - アンチウイルスソフトウエア まとめ (参考)過去の脆弱性の整理. 1.はじめに. セキュリティインシデントの現状. コンピュータシステムを襲うウイルスの猛威 Code Red, Nimda, SQLSlammer, MSBlast, Sasser ….
E N D
Windows Server によるセキュアな SAP システムの構築と運用 マイクロソフト株式会社
Agenda • はじめに • セキュアな SAP システムの構築- ハードニング • セキュアな SAP システムの運用- パッチマネジメント • セキュアな SAP システムの運用- アンチウイルスソフトウエア • まとめ • (参考)過去の脆弱性の整理
セキュリティインシデントの現状 • コンピュータシステムを襲うウイルスの猛威 • Code Red, Nimda, SQLSlammer, MSBlast, Sasser …. 情報処理進行事業協会セキュリティセンター(IPA/ISEC)Web ページよりhttp://www.ipa.go.jp/security/txt/2003/12.html
SAP システム管理者の声 • SAP システムは、最もセキュアに保護したい • 基幹系である SAP システムは、保持するデータの価値が非常に高い • とは言っても、セキュリティ更新プログラムの適用は(以下の理由から)最小限に留めたい • (多くの場合)システム停止が必要 • 事前テストが必要 アベイラビリティ! セキュリティ! 運用コスト!
この文書の目的 • 今回ご紹介するセキュリティソリューションを実践する事で、以下の3つを実現できます SAP システムのセキュリティを強化する SAP システムのダウンタイムを抑える Windows ならではの低い運用コストを維持する SAP-Microsoft コンピテンスセンターにおける技術検証結果を是非ご活用下さい
(※)セキュリティ対策とは? • ウイルス、ワームからの防御 • クライアントサイド • アンチウイルス、パッチマネジメント、IDS etc • サーバーサイド • ハードニング(ネットワーク、サービス、他) • パッチマネジメント • アンチウイルス • Etc • 不正アクセスからの防御
2.セキュアな SAP システムの構築- ハードニング
ハードニングとは 定義:SAP システムの稼動に最低限必要なプラットフォーム 機能のみを残すこと 効果1:セキュリティの強化- SAP システムが無用な脆弱性リスクに晒される事を防止し、 コンピュータウイルス等による攻撃を最大限ブロックできる 効果2:アベイラビリティの確保- システム停止を伴うことが多いセキュリティ更新プログラム の適用頻度を最低限にとどめる事ができる 効果3:低い運用コストの維持- ユーザーサイドでのテストが必要なセキュリティ更新プログラム の適用頻度を最低限にとどめる事ができる
ネットワークのハードニング • SAP システムに不要な通信をブロックする為のパケットフィルタリングを実施する • IPSec ポリシースクリプトの適用(各ホスト単位) • ファイアウォール、ルータ、レイヤ3スイッチ、SAP Router などの配備(各サブネット単位) • サブネット単位、ホスト単位双方を組み合わせれば、よりセキュアな環境に
WWW(社外用) WWW(ITS 用) WWW(EP 用) (※)企業ネットワークにおける ネットワークハードニング例 WWW FTP 電話回線など Web DMZ セグメント RAS Router WWW(社外用) DNS Mail VPN RAS セグメント Proxy Firewall等 社内サーバーセグメント 社内セグメント File WWW(ITS 用) Mail Directory WWW(EP 用) DNS SAP サーバーセグメント ITS EP SAP DB ・・・
(※)ネットワークのハードニング・実装例 • 各ホスト単位のネットワークハードニングをまず実施 • 単一障害点(Single Point of failure)となる SAP サーバー群は、「SAP サーバーセグメント」として別のサブネットに含め、ネットワーク機器等によるハードニングを追加してよりセキュアにする • SAP セントラルインスタンス、DB インスタンスなど • それ以外のサーバー群は、順次セキュリティ更新プログラムを適用できるように冗長構成にしておく • SAP ダイアログインスタンス、ITS Agate/Wgate など
パケットフィルタリングに際しての注意点 • Active Directory (とその通信相手)は多くのポートで通信する点に注意する • どのポートが利用されているかが不明な場合は、ネットワークモニタなどのツールを活用する
サービスのハードニング • SAP システムの稼動に不要なサービスを無効化する • パフォーマンス上のメリットもある
サービス無効化に際しての注意点 • 無効化する前にサービスの内容をよく確認 • Windows Server セキュリティガイドを参照 • それぞれのシステム環境における入念なテストを実施した後、無効化するサービスを決定する • 別紙で掲げている 「SAP システムに必要なサービス」以外を、全て無条件に無効化してよい訳ではない
その他のハードニング • 対策 • OS, DB, Web, アプリケーション(SAP)といった様々な側面から詳細なハードニングを実施 • 効果 • セキュリティ設定を詳細にカスタマイズ
その他のハードニング • Windows Server セキュリティ運用ガイド • http://www.microsoft.com/japan/technet/security/prodtech/windows/windows2000/staysecure/default.asp • http://www.microsoft.com/japan/technet/security/prodtech/win2003/w2003hg/sgch00.asp • 脅威とその対策: Windows Server 2003 とWindows XP のセキュリティ対策 • http://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/default.asp • 設計から堅固な実装へ: IIS 5.0 セキュリティガイド • http://www.microsoft.com/japan/technet/prodtechnol/iis/iis5/deploy/depovg/securiis.asp • SQL Server セキュリティ資料 • http://www.sqlpassj.org/bunkakai/security/default.aspx • SAP Network Integration Guide, SAP Security Guide • http://service.sap.com/netweaver- SAP Netweaver Japan- SAP Netweaver in Detail – Network- SAP Netweaver in Detail – Security – Security in Detail • などなど
その他のハードニング(テンプレートを利用したハードニング)その他のハードニング(テンプレートを利用したハードニング) • Windows Server 2003 セキュリティガイドと添付のテンプレートを利用して効率よくハードニング • http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en#filelist
ハードニングにあたっての注意点 • 要求されるセキュリティレベルの明確化 • システムの仕様調査 • SAP システムだけでなく SAP 以外のシステムも • 必要なサービス、通信経路、ポート・・・ • ハードニング項目の洗い出し • サービス、ネットワーク、その他のハードニング • ハードニング実装に伴うコストと効果の予測 • ハードニング項目の決定 • 何を、どこまでやるか?の決定
ハードニングにあたっての注意点 • 各モジュール(OS, DB, Web, SAP)をセットアップする度に、そのとき可能なハードニングを都度実装する事が、セキュリティ上は最も望ましい • 但し、ネットワークから切り離したセットアップが出来るなどの場合は、ハードニングをある程度まとめて実装しても、特に問題はなし
ハードニングにあたっての注意点 • ハードニングを(一挙に行わず)ステップバイステップで実装していき、都度稼動確認を推奨 • いざという時はロールバックする システム構成のバックアップ(※1)、またはロールバック手段の確保 ハードニングのステップバイステップでの実装 サーバー毎やハードニング毎に繰り返す (問題が発生した場合はロールバックする) 稼動確認 最終セキュリティチェック(※2) (※1) Windows Server 2003 の ASR バックアップ、もしくはサードパーティのイメージバックアップツール。(※2)Microsoft Baseline Security Analyzer などを利用する。
3.セキュアな SAP システムの運用- パッチマネジメント
セキュリティ維持のプロセス 実施項目 作業内容 情報収集 セキュリティ脆弱性情報収集 現状分析 自社での影響と緊急度の判定 展開の計画策定 ステージング環境によるテスト実施 本番適用とロールバック パッチ展開 全社のポリシー適用状況の監視 ポリシー違反のフードバックプロセス実施 結果監視
情報収集(サーバーサイド・クライアントサイド)情報収集(サーバーサイド・クライアントサイド) • 毎月第2水曜日(日本時間)に、「月間セキュリティ情報サイト」より脆弱性情報をチェック • http://www.microsoft.com/japan/technet/security/bulletin/monthly.asp
現状分析 (サーバーサイド) • SAP システムのサーバー群に関与するか? • Windows Server 2003/2000 Server/NT Server • (利用している場合)IIS, SQL Server • ※ SAP サーバー上での Internet Explorer, Office, Windows Media の利用を禁止する等、運用を工夫すれば、これらの脆弱性はリスク評価の対象外にできる • 「最大深刻度」のレベルは? • 「回避策」は実装済みか?または追加実装可能か? • 例)ファイアーウォールで XXXX をブロックする
現状分析 (クライアントサイド) • SAP システムのクライアント群に関与するか? • Windows XP/2000/NT/Me/98 (Internet Explorer, Windows Media Player 等を含む), Office など • 「最大深刻度」のレベルは? • 「回避策」は実装済みか?または追加実装可能か?
現状分析 (サーバーサイド・クライアントサイド) • それぞれの脆弱性に対してアクションを決定 • セキュリティ更新プログラムを適用しない(※) • 無視(ノーアクション) • SAP サーバーに関係ない、「最大深刻度」が低い、ハードニングの結果「回避策」を既に実装できている場合 • 「回避策」を追加実装 • 追加ハードニングできる場合 • セキュリティ更新プログラムを適用する • 定常的な計画停止時に適用 • 定期的に計画停止していて、かつリスクが高くない場合 • 緊急適用 • リスクが高く、かつ迅速な対応が必要な場合 • サーバーサイドとクライアントサイドとで、とるべきアクションは全く異なる事に注意 (※)セキュリティ更新プログラム単体は適用しないとしても、サービスパックは適用を推奨。
(※)Microsoft セキュリティ更新プログラム一般公開までのテスティングプロセス 1~3週間前← 調査 & FIX Build Verification Testing Broad TestPass Package Test 脆弱性 報告 一般 公開 • 開発部門 • 調査 • FIX • 開発部門 • コードのパッケージ化 • 日本語化 • 開発部門 • ビルドの確認 • 各部署での広範囲なテスト • 開発部門 • Microsoft IT(全社IT部門) • Business Unit IT各ユニットのIT部門 • 全世界の各部署社員(約1000名) • サポート部門セキュリティ担当 • Japan Security Response Team • SWI Team(攻撃チーム) • Patch Validation Program参加企業(SAP 社を含む) モジュール 再作成へ 問題 発見 • 公開の可否を決定 • サポート部門 : お客様への影響度を判断 • Security Response Center : 脆弱性が残っているか? • 開発部門 : 別の不具合があるか?
(※)Microsoft セキュリティ更新プログラムの SAP 社による事前テスト • Microsoft は セキュリティ更新プログラム公式リリースの5-20日前に、 SAP 社開発チーム(カーネル& GUI 開発、SAP IT など)に対してセキュリティ更新プログラムを提供 • これらのセキュリティ更新プログラムのテスト中に SAP ソフトウエアに何らかの(互換性などの)問題が見つかった場合、Microsoft の関連部署に対する直接のコンタクト・パスを確保 • もしこれら既知の問題の解決が公式リリースに間に合わなかった場合は、SAP Note において情報公開
パッチ展開 (サーバーサイド・クライアントサイド) • 当該セキュリティ修正プログラムが SAP 環境において起こした障害事例がないかをチェック • SAP Note 30478, 62988, 664607 • 必ず開発環境・品質保証環境にて以下のテストを実行してから、本番環境へ適用する • サーバーサイドへの適用は特に慎重に行う • 緊急適用の場合であっても、以下のテストは必須 • セキュリティ修正プログラムのインストール • SAP の起動と停止 • セキュリティ修正プログラムのアンインストール • 計画停止時適用の場合は、より詳細なテスト
パッチ展開 (特にクライアントサイド) • クライアントOS、Widows Server 2003、SystemsManagement Server によりセキュリティ修正プログラムの展開を支援 企業システム向け機能およびツール OS自体の標準機能 ・OSの修正プログラムの自動ダウンロード機能 ・自動適用 (オプション) Windows Updateサイト ・社内用 Windows Update サイト ・Active Directoryとの連携でクライアントへの展開を集中管理 SoftwareUpdateServices(SUS) マイクロソフトセキュリティ情報サイト SMS SUSFeaturePack ・きめ細かいパッチの展開と管理 ・適用状況の把握とレポート機能 ・アプリケーションの配布機構との統合 インターネット経由のサービス
パッチ展開 (特にクライアントサイド) • ツールを利用したパッチ配布の大量展開 • 大量のサーバーに展開したい場合やクライアントに展開したい場合は配布ツールを利用することで配布の作業量を大幅に削減可能 • テスト作業完了済みプログラムのみの配布 • Software Update Services(SUS)にてWindows Update上の修正プログラムのうち承認したもののみを配布 • クライアントへの強制配布 • Active DirectoryとSUSにより定刻に修正プログラムを自動インストールする設定も可能 • Active DirectoryとSMSにより強制的に修正プログラムを自動インストールする設定も可能
結果監視 (サーバーサイド・クライアントサイド) • セキュリティ修正プログラム適用後の一定期間は、経過を観察する • SAP システムの稼動に問題が生じた場合 • SAP 社サポート部門へ問い合わせ • SAP Note 664607 に従った問題解決 • セキュリティ修正プログラムのアンインストール • セキュリティ修正プログラムの追加適用 • SAP Address Space Viewer の利用 • などなど
4.セキュアな SAP システムの運用- アンチウイルスソフトウエア
アンチウイルス・ソフトウエア • 既知のウイルスであれば、検知した時点で「隔離」、つまり感染をブロック可能 • アンチウイルス製品ベンダーは、新種を発見すると1~2時間で解析、クリティカルな場合は即座に定義ファイルを更新、公開 アンチウイルス ハードニング、セキュリティ更新プログラム適用 管理者の知識
SAP & Anti-virus 性能検証(途中結果) • アンチウイルス(Computer Associates 社 eTrust Anti-virus 7.0.140)リアルタイム監視環境下における SAP SD ベンチマーク • SAP に与えるパフォーマンス負荷は殆どなし • アンチウイルス非稼動環境とほぼ同等のスループット SQL Server プロセスの I/O Data Bytes/ sec eTrust 監視プロセスの I/O Data Bytes/ sec ※左のグラフと比べて縦軸の値が小さい事に注意
アンチウイルス・留意事項 • アンチウイルスソフトが不具合なく稼動する事が必須 • アンチウイルスソフトのファイルシステムドライバは Windows のカーネルモードで稼動 • 万一不具合があった場合、システム停止につながる危険性もあり • 本来であれば CPU 消費、メモリ消費ともに軽微なはず • 怪しい場合は、アンチウイルスソフトのサービス停止もしくは削除 • 可能な限り迅速に定義ファイルを更新する • 定義ファイル更新に多くのポートが利用される場合、定義ファイル配信サーバーに限って全ポートをオープンにする など • 定義ファイルサーバー自体が社内でセキュアに保護されている必要あり • アクセス(読込 or 書込)頻度の高いファイルは、アンチウイルスソフトのリアルタイム監視対象からはずす • DB サーバー上における DB 関連ファイル • データファイル、ログファイル、temp 領域など • アプリケーションのログファイル など
アンチウイルス・留意事項 • そもそも SAP サーバー上で不要な操作を行わない • ブラウザ、メーラー、メッセンジャー、Office などの不用意な起動は控える • 自社にとって最適なアンチウイルスソフトを選択する • ディスク I/O の所作、メモリ消費量、検知できる範囲とその感度、デフォルト設定、定義ファイル更新の速さ、サポート体制 など、ベンダーにより相違がある • 厳密に言うと、アンチウイルスソフトも検知において「万能」とはいえない • アンチウイルスソフトはファイルやレジストリへの何らかの書込動作によってウイルスを検知する仕組み • 検知範囲がより広い IDS (不正侵入検知・防御システム)の併用もありえる
まとめ • 運用コストを抑えつつもセキュリティリスクを極小化する為に、今出来る事は多く存在します • クライアントサイドのセキュリティ強化 • サーバーサイドのセキュリティ強化 • SAP システムのハードニング • SAP システムにおけるパッチマネジメント など • 一方で Microsoft はプラットフォームベンダーとして、Windows Server 他のセキュリティ強化、脆弱性解消に今後も努めていきます
(※) マイクロソフトが提供するサポートサービス • プロフェッショナル・サポート • http://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomscom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fprof_service.asp • 電話、FAX, mail でのQA、調査(一問一答方式)、オンサイトも有(移動時間+現地での作業時間×出動人数×30,000 円) • Datacenter 以外の全ての Microsoft 製品(英語版もOK) • 基本的には平日9:00-12:00, 13:00-19:00(24時間365日もあり) • オンデマンド:1インシデント28,000 円(複数のセット料金もあり) • プレミア・サポート • http://support.microsoft.com/default.aspx?scid=%2fisapi%2fgomscom.asp%3ftarget%3d%2fjapan%2fsupport%2fsupportnet%2fpremier.asp • TAM のアサイン(顧客システムニーズの把握)、一般未公開情報の提供、月例レポート&定例会議、24*365 対応
SAP と Microsoft のコラボレーション サブシステム開発 ユーザーデスクトップ 他システム連携 ユーザー認証基盤 ビジネスインテリジェンス SAP OS/DB プラットフォーム+システム運用管理
脆弱性・ウイルス情報 • 月刊セキュリティ情報 • http://www.microsoft.com/japan/technet/security/bulletin/monthly.asp • セキュリティ情報一覧 • http://www.microsoft.com/japan/technet/security/current.asp • ウイルス対策情報 • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/topics/virus/default.asp • マイクロソフトプロダクトセキュリティ警告サービス • http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
セキュリティ修正プログラムなどの入手元 • セキュリティ修正プログラム • http://www.microsoft.com/downloads/search.aspx?displaylang=ja(Windows, 日本語) • http://www.microsoft.com/downloads/search.aspx?displaylang=en(SQL Server, 英語) • サービスパック • http://www.microsoft.com/japan/windows/downloads/default.mspx(Windows Server, 日本語) • http://www.microsoft.com/sql/downloads/default.asp(SQL Server, 英語) • ホットフィックス • Microsoft プレミアサポート経由 (Windows Server) • http://service.sap.com/swcenter-3pmain(SQL Server)
ツール • ツール概要 • http://www.microsoft.com/japan/technet/security/tools/default.asp • セキュリティツールキット(無償) • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/stkintro.asp • Microsoft Baseline Security Analyzer • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/tools/Tools/mbsahome.asp
Windows Server System • Software Update Services • http://www.microsoft.com/japan/windowsserversystem/sus/default.mspx • Systems Management Server • http://www.microsoft.com/japan/technet/security/prodtech/sms/default.asp • ISA Server • http://www.microsoft.com/japan/isaserver/
過去の脆弱性の整理 • 1999 年から今までに見つかった脆弱性の数 • 1999 年 : 61 • 2000 年 : 100 • 2001 年 : 60 • 2002 年 : 72 • 2003 年 : 51 • 2004 年 : 24 (2004/7/26 現在) • このうち SAP サーバー環境で特に留意すべき脆弱性は、「対象」が Windows Server (IE, Win Media 等を除く)で、かつ「深刻度」が「緊急」のもの • 殆どの脆弱性にリスク緩和策(回避策)が呈示される