利用远程数据中心加密 确保SAP HANA日志数据安全

作者：SUSE高级产品经理Hannes Kühnemund

       为SAP HANA 提供合适级别的保护至关重要。无论是客户数据、人力资源纪录、供应商详情还是财务信息，SAP HANA 中所处理的每一个数据领域都非常敏感。如果关键业务数据落入不法分子之手，后果将非常严重。企业可能会在财产、企业形象以及信誉等方面蒙受重大损失，还可能会由于违反法律法规要求而受到严重罚款。为了免受这些威胁的损害，SAP HANA 内置了一项加密功能，可对SAP HANA 服务器硬盘上的绝大多数累积数据（即数据卷）进行加密。然而，并没有内置功能可以对记录SAP HANA 数据库实时变化的日志文件进行加密，这些日志文件用于确保在出现系统故障等错误时可以恢复当前数据集。用户可以使用标准文件系统加密技术，然而只有在用户手动输入解密密钥之后，SAP HANA 才可以启动。

       为帮助SAP 用户扩展用于数据卷的直接加密功能以便将日志文件包含在内，SUSE Linux Enterprise Server for SAP Applications提供了远程数据中心加密功能，让用户能够在服务器的硬盘上直接对SAP HANA 日志文件进行加密。

用于日志文件的远程数据中心加密

       在数据中心内，服务器重启的情形并不少见。过去，在使用基于磁盘的加密方式时，服务器重启需要直接输入密码或利用服务器上的密钥文件才能对SAP HANA 日志文件进行解密。至于那些员工不在场无法进行解密的情形（例如如果数据中心断电导致服务器重启等情形），这种方法并不适用。这会造成严重的后果，因为如果不解密SAP HANA 日志文件便无法启动SAP HANA。

       凭借全新的远程数据中心加密功能，SUSE Linux Enterprise Servers for SAP Applications避免了这种情形。设置磁盘加密特性、运行SAP HANA 应用程序的所有硬盘的密钥文件将在中央服务器，即密钥服务器上得以恢复。这样可以确保在重启SAP HANA 服务器时不再需要手动输入解密密码。取而代之的是，SUSE 操作系统利用密钥服务器上的远程数据中心加密功能（关键字TLS/ KMIP）来验证自己的身份并自动接收密钥文件，这样SAP HANA 系统便能够再次开始运行，不出任何问题。如此一来，SAP HANA 数据会始终受到保护，免受未经许可的访问。

       因为密钥服务器包含SAP HANA 操作所需的密钥文件，所以我们建议使用防火墙、强大的加密法和定期备份等额外的专门安全措施来保护这些文件免受未经许可的访问。此外，这一中央服务器还应该仅供少数获得许可的员工使用。

更大的加密灵活性

       凭借全新的远程数据中心加密功能，SUSE Linux 操作系统有助于企业保护SAP HANA 中的业务关键型数据和日志卷不被滥用，不论是在企业自己的数据中心还是在云端。同时，自动身份验证增加了数据中心服务器加密的灵活性。

       SUSE 在用于SUSE Linux Enterprise Server for SAP Applications 12 的Service Pack 2 中推出了远程数据中心加密功能，该软件最初于2016年11月发布。除了SAP HANA 以外，这一全新的加密功能还可以用于提升其它各种SAP 和非SAP 应用程序的数据安全性。如需了解更多信息，敬请访问www.suse.com/products/sles-for-sap。

       如果关键业务数据落入不法分子之手，企业可能会在财产、企业形象以及信誉等方面蒙受重大损失，还可能受到严重罚款。

摘自《SAPinsider》2017年7月、8月和9月刊，已获得出版商WIS Publishing 的许可| SAPinsiderOnline.com

标签： linux 安全 标准 防火墙 服务器 企业 数据库 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。