W związku z ciągle wzrastającą liczbą złośliwego oprogramowania (malware) rośnie potrzeba odpowiedniej ochrony przed ryzykiem uszkodzenia lub utraty danych. Firmowe systemy operacyjne powinny być zabezpieczone przed różnego rodzaju wirusami, robakami i innymi zagrożeniami. Standardowo organizacje wykorzystują narzędzia antywirusowe do skanowania na poziomie plików.

Wraz z rozszerzeniem zakresu działania złośliwego oprogramowania wymagania względem aplikacji antywirusowych wzrastają. Tym samym pojawia się ryzyko zagrożenia dla samego systemu SAP.

Ponad 50% not dotyczących bezpieczeństwa (security) publikowanych przez firmę SAP dotyczy luk, które mogą umożliwić zalogowanie się do systemu. Wirusy atakujące SAP mogą przykładowo wykradać hasła wprowadzane przez użytkowników, jak i inne poufne informacje, zablokować dostęp do stron internetowych, uszkodzić system operacyjny lub sektory startowe. Systemy SAP są podstawowymi i najbardziej krytycznymi w zapewnieniu ciągłości biznesu systemami w organizacjach i podobnie jak inne aplikacje, wymagają częstych poprawek w celu optymalizacji procesów. To z kolei wiąże się z potrzebą nadania uprawnień do systemu osobom trzecim i tym samym ze zwiększeniem ryzyka przechowywania i rozprzestrzeniania się niepożądanego oprogramowania na systemach SAP.

Aplikacja SAP codziennie procesuje bardzo wiele dokumentów, które mogą być przesyłane pomiędzy systemami lub też wgrywane bezpośrednio przez SAP GUI. Każdy z tych dokumentów może zawierać złośliwe oprogramowanie, które może doprowadzić do nieodwracalnych problemów. Odpowiednie zabezpieczenie się za pomocą SAP NetWeavera współpracującego z programem antywirusowym pozwoli uniknąć większości zagrożeń występujących przy codziennej pracy z SAP. Dobrym przykładem może być utrzymywanie bazy wiedzy lub dokumentacji w systemach SAP, gdzie przy każdym dostępie do dokumentu może być on skanowany pod kątem zagrożeń.

Interfejs dla antywirusa

Firma SAP nie dostarcza narzędzia, które umożliwi przeprowadzenie skanowania dla samego systemu, jednak udostępnia interfejs, dzięki któremu możliwe jest połączenie zewnętrznego oprogramowania do skanowania z platformą SAP NetWeaver. Dzięki temu firmy korzystające z SAP zyskują możliwość wybrania preferowanej aplikacji odpowiedzialnej za bezpieczeństwo w organizacji.

Integracja systemu SAP z zewnętrznym oprogramowaniem antywirusowym możliwa jest dzięki SAP NetWeaver Virus Scan Interface (NW-VSI). NW-VSI udostępnia interfejs dla serwerów aplikacyjnych ABAP oraz JAVA.

W tym rozwiązaniu każda ze stron jest odpowiedzialna za swoją część. Zewnętrzny dostawca oprogramowania dostarcza biblioteki wirusów, natomiast Virus Scan Interfejs odpowiada za procesowanie dokumentów na podstawie zebranych informacji. NW-VSI jest zintegrowany z SAP NetWeaver, monitoruje dane przesyłane przez aplikację SAP i chroni ją przed niepożądanym oprogramowaniem.

NW-VSI

SAP NetWeaver Virus Scan Interface jest interfejsem łączącym SAP NetWeaver i program antywirusowy. Daje możliwość skanowania plików lub dokumentów procesowanych przez system pod kątem zainfekowania wirusem. Mogą to być na przykład pliki Word, PDF, arkusze kalkulacyjne lub zdjęcia. Wszystkie te dokumenty są skanowane w poszukiwaniu wirusów, robaków lub trojanów przed samym wgraniem do systemu SAP. Dotyczy to zarówno aplikacji dostarczonych bezpośrednio przez firmę SAP, jak i własnych implementacji. Dane mogą zostać przeskanowane na przykład podczas importu plików dokumentów do SAP za pomocą SAP GUI lub też w przypadku przesyłania plików pomiędzy systemami SAP.

Dzięki połączeniu zewnętrznych aplikacji zabezpieczających i systemu SAP za pomocą NW-VSI uzyskano przejrzysty podział i łatwą integrację.

Aplikacja SAP decyduje, co dokładnie zostanie przeskanowane i kiedy. Z tego powodu każde skanowanie jest wymuszane przez VSI na żądanie. VSI oferuje możliwość wykorzystania kilku zewnętrznych narzędzi antywirusowych równocześnie. Dzięki temu w wypadku wykrycia zagrożenia NW-VSI decyduje, co należy zrobić z danym plikiem. Interfejs przekazuje plik do zewnętrznego programu antywirusowego, gdzie jest on weryfikowany w celu przepuszczenia z powrotem do interfejsu NW-VSI lub zablokowania w przypadku wykrycia zagrożenia.

Konfigurację całego rozwiązania można podzielić na trzy części. Pierwszą z nich jest konfiguracja serwera aplikacyjnego ABAP lub JAVA. Druga część dotyczy konfiguracji interfejsu VSI, a ostatnia część – samego narzędzia antywirusowego.

Virus Scan Engine

Virus Scan Engine zawiera logikę działania programu antywirusowego. Jest odpowiedzialny za skanowanie plików, porównywanie wzorów wirusów ze skanowanymi plikami, wykorzystywanie heurystycznych metod do rozpoznawania nowych wirusów oraz usuwanie zainfekowanego kodu z plików. Scan Engine weryfikuje i podejmuje określone akcje względem wirusów.

Virus Scan Engine (VSE) oraz SAP NetWeaver mogą zostać zainstalowane na jednym serwerze, co skutkuje szybszą komunikacją w porównaniu z wykorzystaniem połączeń RFC. Jednakże w tym wypadku można odnotować spadek wydajności systemu SAP w związku z obciążeniem, jakie generuje sam program antywirusowy. Możliwe jest również rozdzielenie VSE i SAP NetWeaver w celu uniknięcia problemów z wydajnością.

W tym wypadku komunikacja przebiega wolniej i możliwe jest zwiększenie ruchu w sieci organizacji przez ciągłe przesyłanie dokumentów do skanowania. W celu rozłożenia obciążenia każdego z silników antywirusa (VSE) można użyć Virus Scan Group, który wykorzystuje metodę „round robin”. Wszystkie VSE należące do danego producenta mogą być wcielone do jednej grupy, dzięki czemu podczas gdy jeden z VSE jest zajęty, dokument zostaje przekazany do kolejnego VSE w kolejce.

Virus Scan Adapter

Virus Scan Adapter jest łącznikiem pomiędzy zewnętrznym narzędziem skanującym i interfejsem SAP. Może być przykładowo oddzielną biblioteką lub też samym Virus Scan Enine. Virus Scan Adapter jest aplikacją odpowiedzialną za przesyłanie informacji od Scan Engine bezpośrednio do bibliotek interfejsu VSI. Adapter przygotowywany jest przez dostawcę oprogramowania antywirusowego na podstawie szablonów przekazanych przez SAP.

Virus Scan Server

Virus Scan Server to narzędzie dostarczane przez SAP jako część SAP NetWeaver. VSS jest osobnym serwerem RFC, pozwala przeprowadzać skanowanie na podstawie protokołu komunikacyjnego RFC. VSS jest wykorzystywany w przypadku, gdy VSE został zainstalowany na serwerze satelitarnym innym niż skanowany SAP NetWeaver. Głównym zadaniem VSS jest integracja skanerów wirusowych dostępnych przez VSA zainstalowane w pejzażu SAP.

VSS może działać w dwóch trybach:

  • application starter – VSS działa na tym samym systemie co system SAP;
  • self starter – działa na tym samym systemie lub systemie zdalnym. Wykorzystywany na przykład w sytuacji, gdy system SAP działa w architekturze 64-bitowej, a oprogramowanie antywirusowe w 32-bitowej.

Virus Scan Server posiada też kilka ograniczeń, które należy wziąć pod uwagę:

  • skanowanie przebiega wolniej, ponieważ każdy obiekt jest transportowany za pomocą RFC;
  • zwiększona pracochłonność w przypadku utrzymywania VSS na odrębnych systemach;
  • nie może być wykorzystywany do skanowania plików większych niż 30 MB.

Antywirus dla SAP

Do najważniejszych korzyści z uruchomienia aplikacji antywirusowych dla systemów SAP, zintegrowanych z SAP NetWeaver, należą między innymi:

  • ochrona przed SQL-injections;
  • ochrona przed Cross-site scripting;
  • ochrona przed OS-command injections;
  • ochrona z rozległymi opcjami filtrowania;
  • ochrona danych podczas przesyłania plików;
  • elastyczność dzięki wsparciu szerokiego zakresu platform systemowych.