Abstraktes Bild einer Frau, die auf Büchern sitzt und an einem Laptop studiert

Stabile und performante Anwendungen für SAP HANA entwickeln

Virtual Forge, profile picture
Virtual Forge

Das Dokument von Patrick Boch behandelt die Entwicklung stabiler und performanter Anwendungen für SAP HANA sowie die Sicherheitsrisiken, die mit der Technologie verbunden sind, da HANA kritische Geschäftsdaten enthält und somit ein Ziel für Hacker darstellt. Es werden verschiedene Installationsszenarien, Programmierherausforderungen und Sicherheitstests vorgestellt, um HANA-Anwendungen abzusichern. Virtual Forge bietet Lösungen und Tools zur Optimierung und Absicherung von HANA-Anwendungen und zur Durchführung von Risikobewertungen.

Software
1 von 18
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
HANA Code Scanning - Stabile und performante Anwendungen für SAP HANA entwickeln Vorgestellt von Patrick Boch © 2015, Virtual Forge GmbH. All rights reserved.
SAP HANA: neue Technologie
3 Einführung Warum HANA für die SAP so wichtig ist Strategische Lösung S/4 HANA „wichtigste Innovation seit R/3“ Alle neuen und Bestandskunden sollen mittel- bis langfristig auf HANA umsteigen  HANA wird sich als Entwicklungsplattform etablieren
4 HANA Installationsszenarien „HANA as a data mart“ Vergleichbar mit „klassischem“ BW-Szenario, HANA sammelt Daten von (verschiedenen) Quellsystemen 3-stufiges Szenario mit HANA HANA ersetzt die „normale“ Relationale Datenbank HANA als technische Infrastruktur für native Applikationen Neue Anwendungsplattform (S/4 HANA)
HANA Sicherheit
6 Einführung Warum HANA für Hacker interessant ist Inhaltliche Überlegungen HANA enthält kritische Geschäftsdaten  Spionageziel HANA ist wichtig für die Geschäftsprozesse  Sabotageziel Technologische Überlegungen Betrugsmöglichkeiten IT- / Sicherheitsabteilungen haben mit HANA wenig Erfahrung
7 SAP HANA Architektur http://help.sap.com/saphelp_hanaplatform/helpdata/en/37/d2573cb24e4d75a23e8577fb4f73b7/content.htm
Risiken in SAP HANA
Schwachstellen können sein: XSS, SQL injection, ABAP code injection 9 Webanwendungen SAP HANA Systeme können einfach im Internet gefunden werden Unberechtigter Zugriff möglich Services können mißbraucht werden SAP HANA ist für typische Web- Angriffe verwundbar
Priviligierte Berechtigungen sind automatisch aktiviert, z.B. Betriebssystemkommandos 10 R-Serve R wird für statistische und erweiterte Datenanalysen verwendet SAP HANA kann mit R-Serve verbunden werden um R-Funktionalitäten aufzurufen R-serve ist ein getrennter Host, remote functions müssen aktiviert werden
ABAP Entwicklungen müssen auf Schwachstellen überprüft werden 11 Eigenentwicklungen SAP HANA Anwendungen sind über den Browser aufrufbar Neue Programmiersprachen - erhöhte Komplexität in der Entwicklung Webanwendungen müssen auf allen Ebenen abgesichert werden
Anwendungen für SAP HANA entwickeln
Herausforderungen HANA Entwicklung13 Für ABAP Entwickler neue Programmiersprachen: JavaScript SQLScript R Komplexes Rollenmodell JavaScript Entwicklern fehlt (Enterprise) Sicherheits-Know How Ihr Code – Ihre Verantwortung !
Lösungen für SAP HANA
15 Virtual Forge HANA Security Suite ABAP-Code für HANA optimieren (CodeProfiler) HANA Testfälle (HANA Readiness & Optimization) Automatisierte Korrektur („Quick Fix“ und ACE) HANA Konfiguration absichern (SystemProfiler´) Weitere Plattform für SystemProfiler Testfälle, z.B., e.g. Passwort-Parameter, Berechtigung, weitere CodeProfiler für HANA (CP4H) Eclipse und Web DIE Integration Weltweit erster HANA Code Scanner
16 Virtual Forge CodeProfiler for HANA (CP4H) Unterstützt SQLScript und XSJS Direkte Integration in Eclipse und WebIDE Inkl. Dokumentation und Lösungsansatz Umfassende Testfälle (22 für XSJS, 17 für SQLScript, Stand 08/2015) In Zukunft: Unterstützung von UI5 und R Weitere Integrationsszenarien (HANA Projekte, CTS+, Finding Management, Cockpit)
SAP Sicherheit und Qualität Wissen was zu tun ist: initiale Risikobewertung17 Machen Sie den Sofort-Test Besuchen Sie www.virtualforge.com Qualität Compliance Sicherheit Sichere SAP® - Systeme Risikobewertung / Penetrationstest • SAP Konfiguration • Eigenentwicklungen
Haben Sie Fragen oder Anmerkungen? Danke für Ihre Aufmerksamkeit18 Patrick Boch www.virtualforge.com @Virtual_Forge

Weitere ähnliche Inhalte

PDF
SAP HANA Platform
SAP Technology
 
PPTX
SAP HANA, Power Pivot, SQL Server – In-memory-Technologien im Vergleich
Marcel Franke
 
PPTX
Webinar - SAP BOPF
Cadaxo GmbH
 
PPTX
Webinar - ABAP CDS Views
Cadaxo GmbH
 
PDF
Übersicht über die SAP HANA Cloud Platform
Rui Nogueira
 
PDF
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...
Niels de Bruijn
 
PDF
Webinar - SAP Gateway
Cadaxo GmbH
 
PPTX
In Memory-Technologien im Vergleich - SQL Server Konferenz 2015
Marcel Franke
 
SAP HANA Platform
SAP Technology
 
SAP HANA, Power Pivot, SQL Server – In-memory-Technologien im Vergleich
Marcel Franke
 
Webinar - SAP BOPF
Cadaxo GmbH
 
Webinar - ABAP CDS Views
Cadaxo GmbH
 
Übersicht über die SAP HANA Cloud Platform
Rui Nogueira
 
MT AG Rapid Application Development mit APEX 5 (Important: latest version on ...
Niels de Bruijn
 
Webinar - SAP Gateway
Cadaxo GmbH
 
In Memory-Technologien im Vergleich - SQL Server Konferenz 2015
Marcel Franke
 

Was ist angesagt? (19)

PDF
Packaged Applications in APEX 5.0
Niels de Bruijn
 
PDF
Anwendungen mit SAP HANA
Detlev Sandel
 
PDF
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG
 
PDF
HEC Deutsch MHoetger Espresso Web 300117
Michael Hötger
 
PDF
SAP S/4HANA Enterprise Management
SERKEM GmbH
 
PPTX
APEX 5.0, und sonst?
Niels de Bruijn
 
PDF
MT AG 8 Gute Gründe warum Forms zu APEX
Niels de Bruijn
 
PDF
Wondering which SAP Enhancement pack scenario is valid for you?
Shekhar Bhartiya
 
PDF
SAP BW/4HANA - Ein Überblick
ISR Information Products AG
 
PDF
Agile Data Warehousing mit SAP BW/4HANA
ISR Information Products AG
 
PDF
Der HANA Effekt - Neue Möglichkeiten durch SAP's In-Memory Plattform
Detlev Sandel
 
PPTX
MT AG Data Vault Generator
MT AG
 
PDF
Tune up your APEX
MT AG
 
PDF
Salesforce einführen und mit SAP integrieren
Kathrin Schmidt
 
PDF
SAP NetWeaver Process Integration (in10 Minuten) www.Sapyourself.de
Mario Möllenbeck
 
PPTX
Analytic powerhouse parallel data warehouse und r
Marcel Franke
 
PDF
Salesforce einführen und mit SAP integrieren. Schnell, zuverlässig und kosten...
Kathrin Schmidt
 
PDF
MT AG 7 Gute Gründe warum APEX
Niels de Bruijn
 
PDF
Moderne & flexible Architektur mit BW/4HANA
ISR Information Products AG
 
Packaged Applications in APEX 5.0
Niels de Bruijn
 
Anwendungen mit SAP HANA
Detlev Sandel
 
MT AG Präsentation Rapid Application Development mit APEX 5
MT AG
 
HEC Deutsch MHoetger Espresso Web 300117
Michael Hötger
 
SAP S/4HANA Enterprise Management
SERKEM GmbH
 
APEX 5.0, und sonst?
Niels de Bruijn
 
MT AG 8 Gute Gründe warum Forms zu APEX
Niels de Bruijn
 
Wondering which SAP Enhancement pack scenario is valid for you?
Shekhar Bhartiya
 
SAP BW/4HANA - Ein Überblick
ISR Information Products AG
 
Agile Data Warehousing mit SAP BW/4HANA
ISR Information Products AG
 
Der HANA Effekt - Neue Möglichkeiten durch SAP's In-Memory Plattform
Detlev Sandel
 
MT AG Data Vault Generator
MT AG
 
Tune up your APEX
MT AG
 
Salesforce einführen und mit SAP integrieren
Kathrin Schmidt
 
SAP NetWeaver Process Integration (in10 Minuten) www.Sapyourself.de
Mario Möllenbeck
 
Analytic powerhouse parallel data warehouse und r
Marcel Franke
 
Salesforce einführen und mit SAP integrieren. Schnell, zuverlässig und kosten...
Kathrin Schmidt
 
MT AG 7 Gute Gründe warum APEX
Niels de Bruijn
 
Moderne & flexible Architektur mit BW/4HANA
ISR Information Products AG
 
Anzeige

Mehr von Virtual Forge (20)

PDF
How the U.S. Department of Defense Secures Its Custom ABAP Code
Virtual Forge
 
PDF
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
Virtual Forge
 
PDF
SAP HANA Security: New Technology, New Risks
Virtual Forge
 
PDF
Develop Stable, High-Performance Applications for SAP HANA
Virtual Forge
 
PDF
Application Security Management with ThreadFix
Virtual Forge
 
PDF
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
Virtual Forge
 
PDF
Is your SAP system vulnerable to cyber attacks?
Virtual Forge
 
PDF
How to assess the risks in your SAP systems at the push of a button
Virtual Forge
 
PDF
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...
Virtual Forge
 
PDF
Uninvited Guests: Why do hackers love our SAP landscapes?
Virtual Forge
 
PDF
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
Virtual Forge
 
PPTX
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Virtual Forge
 
PDF
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Virtual Forge
 
PPTX
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
Virtual Forge
 
PDF
Risks of Hosted SAP Environments
Virtual Forge
 
PDF
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Virtual Forge
 
PDF
Die Top 5 Mythen der SAP Sicherheit
Virtual Forge
 
PDF
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Virtual Forge
 
PDF
ABAP Code Qualität - Best Practices
Virtual Forge
 
PDF
Best Practices for Ensuring SAP ABAP Code Quality and Security
Virtual Forge
 
How the U.S. Department of Defense Secures Its Custom ABAP Code
Virtual Forge
 
How Pratt & Whitney Streamlined Their ABAP Security and Quality Code Review P...
Virtual Forge
 
SAP HANA Security: New Technology, New Risks
Virtual Forge
 
Develop Stable, High-Performance Applications for SAP HANA
Virtual Forge
 
Application Security Management with ThreadFix
Virtual Forge
 
ABAP Qualitäts-Benchmark: Eine Analyse von über 200 SAP Installationen
Virtual Forge
 
Is your SAP system vulnerable to cyber attacks?
Virtual Forge
 
How to assess the risks in your SAP systems at the push of a button
Virtual Forge
 
Case Study: Ensuring the Quality and Security of Custom SAP Applications at t...
Virtual Forge
 
Uninvited Guests: Why do hackers love our SAP landscapes?
Virtual Forge
 
Ungebetene Gäste: Warum lieben Hacker aus aller Welt unsere SAP Landschaften?
Virtual Forge
 
Case Study: Automated Code Reviews In A Grown SAP Application Landscape At EW...
Virtual Forge
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Virtual Forge
 
10 GOLDEN RULES FOR CODING AUTHORIZATION CHECKS IN ABAP
Virtual Forge
 
Risks of Hosted SAP Environments
Virtual Forge
 
Case Study: ABAP Development Life Cycle and Governance at THE GLOBE AND MAIL ...
Virtual Forge
 
Die Top 5 Mythen der SAP Sicherheit
Virtual Forge
 
Mobile Trends And The New Threats - Is Your SAP System Vulnerable to Cyber At...
Virtual Forge
 
ABAP Code Qualität - Best Practices
Virtual Forge
 
Best Practices for Ensuring SAP ABAP Code Quality and Security
Virtual Forge
 
Anzeige

Stabile und performante Anwendungen für SAP HANA entwickeln

  • 1. HANA Code Scanning - Stabile und performante Anwendungen für SAP HANA entwickeln Vorgestellt von Patrick Boch © 2015, Virtual Forge GmbH. All rights reserved.
  • 3. 3 Einführung Warum HANA für die SAP so wichtig ist Strategische Lösung S/4 HANA „wichtigste Innovation seit R/3“ Alle neuen und Bestandskunden sollen mittel- bis langfristig auf HANA umsteigen  HANA wird sich als Entwicklungsplattform etablieren
  • 4. 4 HANA Installationsszenarien „HANA as a data mart“ Vergleichbar mit „klassischem“ BW-Szenario, HANA sammelt Daten von (verschiedenen) Quellsystemen 3-stufiges Szenario mit HANA HANA ersetzt die „normale“ Relationale Datenbank HANA als technische Infrastruktur für native Applikationen Neue Anwendungsplattform (S/4 HANA)
  • 6. 6 Einführung Warum HANA für Hacker interessant ist Inhaltliche Überlegungen HANA enthält kritische Geschäftsdaten  Spionageziel HANA ist wichtig für die Geschäftsprozesse  Sabotageziel Technologische Überlegungen Betrugsmöglichkeiten IT- / Sicherheitsabteilungen haben mit HANA wenig Erfahrung
  • 9. Schwachstellen können sein: XSS, SQL injection, ABAP code injection 9 Webanwendungen SAP HANA Systeme können einfach im Internet gefunden werden Unberechtigter Zugriff möglich Services können mißbraucht werden SAP HANA ist für typische Web- Angriffe verwundbar
  • 10. Priviligierte Berechtigungen sind automatisch aktiviert, z.B. Betriebssystemkommandos 10 R-Serve R wird für statistische und erweiterte Datenanalysen verwendet SAP HANA kann mit R-Serve verbunden werden um R-Funktionalitäten aufzurufen R-serve ist ein getrennter Host, remote functions müssen aktiviert werden
  • 11. ABAP Entwicklungen müssen auf Schwachstellen überprüft werden 11 Eigenentwicklungen SAP HANA Anwendungen sind über den Browser aufrufbar Neue Programmiersprachen - erhöhte Komplexität in der Entwicklung Webanwendungen müssen auf allen Ebenen abgesichert werden
  • 13. Herausforderungen HANA Entwicklung13 Für ABAP Entwickler neue Programmiersprachen: JavaScript SQLScript R Komplexes Rollenmodell JavaScript Entwicklern fehlt (Enterprise) Sicherheits-Know How Ihr Code – Ihre Verantwortung !
  • 15. 15 Virtual Forge HANA Security Suite ABAP-Code für HANA optimieren (CodeProfiler) HANA Testfälle (HANA Readiness & Optimization) Automatisierte Korrektur („Quick Fix“ und ACE) HANA Konfiguration absichern (SystemProfiler´) Weitere Plattform für SystemProfiler Testfälle, z.B., e.g. Passwort-Parameter, Berechtigung, weitere CodeProfiler für HANA (CP4H) Eclipse und Web DIE Integration Weltweit erster HANA Code Scanner
  • 16. 16 Virtual Forge CodeProfiler for HANA (CP4H) Unterstützt SQLScript und XSJS Direkte Integration in Eclipse und WebIDE Inkl. Dokumentation und Lösungsansatz Umfassende Testfälle (22 für XSJS, 17 für SQLScript, Stand 08/2015) In Zukunft: Unterstützung von UI5 und R Weitere Integrationsszenarien (HANA Projekte, CTS+, Finding Management, Cockpit)
  • 17. SAP Sicherheit und Qualität Wissen was zu tun ist: initiale Risikobewertung17 Machen Sie den Sofort-Test Besuchen Sie www.virtualforge.com Qualität Compliance Sicherheit Sichere SAP® - Systeme Risikobewertung / Penetrationstest • SAP Konfiguration • Eigenentwicklungen
  • 18. Haben Sie Fragen oder Anmerkungen? Danke für Ihre Aufmerksamkeit18 Patrick Boch www.virtualforge.com @Virtual_Forge

Hinweis der Redaktion

  • #5: Different implementation scenarios with different implications regarding security: Data mart – data only replicated, still sensible data on there, but no processes. However: will probably be viewed with external / mobile devices (management) 3-tier: replacement for regular database, therefore all security considerations of a regular 3-tier need to be taken into account Plattform: means: has its own security toolset, own connections to other systems, own settings, makes everything more complex, see next slide
  • #7: Interesting for hackers, as business data are on HANA, reporting means lots of data coming through HANA, with S/4 also processes will be on HANA, along with all data – we will see later why this is important Technology wise: HANA is fairly new, especially as an application platform, which means fraud will likely not be detected as easily because some security issues have not been taking into account by IT / Security yet
  • #8: How complex SAP HANA really is – Also more standard web technologies, including all security issues and settings which need to be taken care of
  • #10: Most applications on HANA will be Webapplications The URL-structure is betraying HANA in some instance – developer studio can be found on the internet If HANA is accessible from the outside, unauthorized access is possible Services will be misused_ Hackers will probably try all available methods for attacking websites with HANA (will become more interesting with RAM-Scraping)
  • #11: R: statistical programming language, open source, used for data analysis R-serve: TCP/IP server allowing HANA to use R Getrennter Host, remote functions, privileged authorization: SSL communications Secure authentification Low privileges
  • #12: Custom development: ABAP security flaws still in there plus Web developments (SQL injection, XSS, as seen on previous slide) i.e. enlarged danger All security featuers need to be followed: SSL Authentification: one good HANA feature: Not a single db user, but web user = db user, therefore less privilege than with regular web apps
  • #16: Interesting for hackers, as business data are on HANA, reporting means lots of data coming through HANA, with S/4 also processes will be on HANA, along with all data – we will see later why this is important Technology wise: HANA is fairly new, especially as an application platform, which means fraud will likely not be detected as easily because some security issues have not been taking into account by IT / Security yet
  • #17: Interesting for hackers, as business data are on HANA, reporting means lots of data coming through HANA, with S/4 also processes will be on HANA, along with all data – we will see later why this is important Technology wise: HANA is fairly new, especially as an application platform, which means fraud will likely not be detected as easily because some security issues have not been taking into account by IT / Security yet