SAP UCON Szenarien erklärt: HTTP-Erlaubtliste, WebSocket-RFC und Rollenbau

In diesem Blogbeitrag werfen wir einen genaueren Blick darauf, wie SAP Unified Connectivity (UCON) die Systemsicherheit erhöht und gleichzeitig administrative Prozesse vereinfacht. Nachdem wir UCON in unserem vorherigen Blog als SAP-Sicherheitsframework für die RFC-Kommunikation eingeführt haben, konzentrieren wir uns nun auf die praxisnahen Tools und Kontrollmechanismen, die UCON in realen Systemlandschaften wirksam machen.

Inhalt

• Welche UCON Szenarien gibt es in SAP?
• Rollenbau-Szenario
• HTTP-Erlaubtlistenszenario
• WebSocket-RFC-Szenario
• UCON Berechtigungsobjekte
• Wie kann Ihnen smarterSec weiterhelfen?
• Fazit

Welche UCON Szenarien gibt es in SAP?

Im vorherigen Blogbeitrag haben wir uns auf das RFC-Basisszenario konzentriert. SAP UCON bietet jedoch weitere Szenarien, mit denen sich überwachen und einschränken lässt, wie externe Systeme mit internen Services und Schnittstellen interagieren.

• RFC-Basisszenario: Protokolliert und beschränkt, welche Remote Function Modules (RFMs) externe Systeme über RFC ausführen dürfen.
• Rollenbau-Szenario: Erweitert das RFC-Szenario, indem erlaubte RFC-Aufrufe bestimmten Benutzern oder Rollen zugeordnet werden, um eine feinere Berechtigungssteuerung zu ermöglichen.
• HTTP-Erlaubtlistenszenario: Beschränkt eingehende HTTP(S)-Zugriffe auf explizit freigegebene ICF-Services wie z. B. OData-, REST- oder SOAP-Endpunkte.
• WebSocket-RFC-Szenario: Steuert und beschränkt WebSocket-basierte Kommunikationskanäle, die für Echtzeit-Integrationen mit SAP-Systemen genutzt werden.

Rollenbau-Szenario

Das Rollenbau-Tool bietet eine strukturierte Möglichkeit, die im System verwendeten RFMs zu analysieren und zu organisieren. Um die aktuell genutzten RFMs zu identifizieren, muss zunächst die Protokollierungsphase im UCON Cockpit aktiviert werden (siehe UCON Konfiguration). In dieser Phase werden sämtliche RFC-Aufrufe aufgezeichnet.

Die protokollierten RFMs können anschließend im Rollenbau-Szenario ausgewertet und sogenannten Communication Assemblies (CAs) zugeordnet werden. CAs sind UCON-Objekte, mit denen RFMs anhand ähnlicher funktionaler oder sicherheitsrelevanter Eigenschaften gruppiert werden.

Nach ihrer Erstellung können diese CAs über die Transaktion PFCG in Berechtigungsrollen integriert werden. Dadurch können Administratoren den RFC-Zugriff mit dem rollenbasierten Berechtigungskonzept des Systems in Einklang bringen.

Wie werden Communication Assemblies (CAs) erzeugt?

Es ist wichtig zu verstehen, wie CAs und Berechtigungsrollen in UCON zusammenwirken, um einen strukturierten, rollenbasierten Zugriff auf externe RFCs zu gewährleisten.

1. Relevante RFMs auswählen
   • Ziel: Identifizieren der RFMs, die im System tatsächlich aufgerufen werden.
   • Nutzen: Hilft, eine übermäßige Rechtevergabe von Rollen zu vermeiden, indem ungenutzte oder veraltete Funktionen ausgeschlossen werden.
2. RFMs einem CA zuweisen
   • Ziel: Zusammengehörige RFMs gruppieren, um das Zugriffsverwaltung zu vereinfachen.
   • Nutzen: Macht die Verwaltung der Allowlist skalierbarer und wartungsfreundlicher.
3. CAs Rollen zuweisen
   • Ziel: Sicherstellen, dass die CAs (enthaltenen die gebündelten RFMs) den Berechtigungsrollen zugeordnet werden.
   • Nutzen: Erhöht die Einhaltung von Compliance-Anforderungen, indem die technische Einstellungen im System mit dem rollenbasierten Zugriffskonzept (RBAC) abgestimmt werden.

Weitere Informationen finden Sie unter Role Builder verwenden.

HTTP-Erlaubtlistenszenario

Die Steuerung, welche externen URLs mit Ihrem SAP-System interagieren dürfen, ist ein wichtiger Bestandteil zur Absicherung Ihrer Systemlandschaft. Das HTTP-Erlaubtlistenszenario in UCON bietet eine zentrale Kontrolle darüber, welche HTTP(S)-Aufrufe für verschiedene Funktionen zugelassen sind. Dazu zählen beispielsweise Redirects, Clickjacking-Schutz oder das Laden von CSS-Stylesheets.

Um auf die Allowlist zuzugreifen und diese zu verwalten, öffnen Sie das UCON Cockpit (Transaktion UCONCOCKPIT) und wählen das HTTP-Erlaubtlistenszenario aus.

Wie richtet man eine HTTP Allowlist ein?

Die Implementierung einer HTTP Allowlist in Ihrem SAP-System mithilfe des UCON-Frameworks ist ein strukturierter Prozess. Er trägt dazu bei, die Sicherheit zu erhöhen, ohne die Funktionalität zu beeinträchtigen.

1. Protokollierung

In der ersten Phase sind alle HTTP(S)-Aufrufe erlaubt. Ziel ist es, den gesamten HTTP-Verkehr über verschiedene Anwendungsfälle hinweg zu beobachten und zu protokollieren, ohne in laufende Prozesse einzugreifen. Diese Phase schafft Transparenz darüber, mit welchen externen URLs Ihr System kommuniziert.

• Ziel: Alle im System durchgeführten HTTP(S)-Aufrufe erfassen.
• Nutzen: Überblick über alle vom System durchgeführten HTTP-Aufrufe.

2. Allowlist erstellen

Auf Basis der in der Protokollierungsphase gesammelten Daten beginnen Sie, die relevanten URLs pro Kontexttyp in die Allowlist aufzunehmen. Das Tool hilft Ihnen dabei, häufige oder kritische Aufrufe zu identifizieren. Zudem können Sie gezielt festlegen, welche davon künftig zugelassen werden sollen.

• Ziel: Vertrauenswürdige URLs pro Kontexttyp definieren.
• Nutzen: Einfache Methode zum Erstellen von URLs, die für Kernfunktionen des Systems, Integrationen oder Dienste von Drittanbietern erforderlich sind.

3. Simulierte Prüfung

Sobald die Allowlist eingerichtet ist, wechseln Sie in die Simulationsphase. In dieser Phase sind, wie in der Protokollierungsphase, weiterhin alle HTTP-Aufrufe erlaubt. Das System zeigt jedoch nun an, welche HTTP-Aufrufe auf Basis der aktuellen Konfiguration zugelassen oder abgelehnt worden wären.

• Ziel: Sicherstellen, dass die Allowlist alle Anwendungsfälle abdeckt ohne den Alltagsbetrieb zu beeinträchtigen.
• Nutzen: Fehlende Einträge werden identifiziert und die Allowlist kann vor der endgültigen Umsetzung angepasst werden.

4. Aktive Prüfung

Nachdem Sie die Allowlist überprüft haben, können Sie in die Phase der aktiven Prüfung wechseln. In dieser Phase wird die Allowlist uneingeschränkt durchgesetzt. Es sind nur noch HTTP-Aufrufe zu URLs erlaubt, die auf der Allowlist stehen. Alle anderen Aufrufe werden abgelehnt.

• Ziel: Durch eine strikte Kontrolle der HTTP(S)-Kommunikation die Sicherheit stärken.
• Nutzen: Unautorisierte HTTP-Aufrufe werden automatisch blockiert.

Weitere Informationen darüber, wie Sie die HTTP Allowlist warten können, finden Sie in den folgenden SAP Dokumenten:

• HTTP Whitelist-Szenario: Prozess
• HTTP Whitelists verwalten

WebSocket-RFC-Szenario

Mit zunehmend verteilten und cloudbasierten Systemlandschaften gewinnt eine flexible, sichere und effiziente Remote-Kommunikation immer mehr an Bedeutung. Die klassische RFC-Kommunikation in SAP-Systemen basiert auf der CPI-C-Schnittstelle. In der Regel werden dafür Komponenten wie SAProuter und Gateway benötigt, häufig ergänzt durch VPN-Verbindungen für die netzwerkübergreifende Kommunikation

Um diese Einschränkungen zu adressieren, bietet SAP mit RFC over WebSocket eine moderne Alternative. Dabei werden HTTP- und WebSocket-Protokolle für Remote-fähige Funktionsaufrufe genutzt. Durch die Definition einer RFC-Destination mit dem Verbindungstyp „W“ kann die RFC-Kommunikation über HTTP/WebSocket erfolgen, ganz ohne Abhängigkeit von klassischer Infrastruktur.

Vorteile im Überblick:

• Macht die Abhängigkeit zu SAProuter und CPI-C obsolet
• Verwendet moderne HTTP-Infrastrukturen und unterstützt HTTP/2 Multiplexing
• Wird immer über SSL verschlüsselt
• Nahtlos Integration in die UCON Allowlisten

1. UCON WebSocket-RFC dauerhaft aktivieren (produktiver Einsatz)

• Rufe Transaktion RZ10 auf.
• Wählen Sie das Profil aus, für das die Änderungen vorgesehen sind.
• Wählen Sie unter „Profil bearbeiten“ die Checkbox für „Erweiterte Pflege“ aus.
• Überprüfen Sie ob die Parameter „ucon/websocketrfc/active“ und „rfc/websocket/external_active“ bereist gelistet sind.
• Falls Ja, ändern SIe den Wert des Parameters „ucon/websocketrfc/active“ auf „1“ (Standard: aktiv) und den Wert von „rfc/websocket/external_active“ auf “2” (Standard: Nur erlaubt, wenn UCON aktiv ist)
• Falls Nein, drücken Sie „F5“ um einen neuen Parameter mit den entsprechenden Werten zu erstellen.
• Um Ihre Änderungen zu speichern, gehen Sie zurück zur Ansicht „Profil bearbeiten“ und klicken Sie dann auf „Sichern“.

2. Konfiguration im UCONCOCKPIT

• Gehen Sie auf „Mehr“ → „Operationen“ → „Setup für UCON – WebSocket-RFC“.
• Entscheiden Sie, ob Sie gleiche oder dedizierte Communication Assemblies wollen.
• Wählen Sie zwischen transportierbaren (empfohlen: Z/Y Namensraum) oder lokalen Objekten aus.
• Wählen Sie aus, ob die Allowlist mandantenabhängig oder mandantenunabhängig sein soll.

3. Allowlist pflegen

• UCONCOCKPIT: Verwende den Editor im WebSocket-RFC-Szenario.
• Optional können blockierte RFMs (die standardmäßig protokolliert werden) direkt in die Allowlist verschoben werden.
• Sichern und aktivieren Sie die Allowlist, damit sie wirksam ist.

Weitere Informationen darüber, wie Sie WebSocket-RFC warten können, finden sie in den folgenden SAP Dokumenten:

• WebSocket-RFC-Szenario: Prozess
• WebSocket-RFC

Secure-by-Default Logs: Automatisiertes RFC und ICF Monitoring

Secure by Default ist ein Sicherheitskonzept von SAP, das darauf abzielt, die Systemsicherheit zu erhöhen, indem zentrale Schutzmechanismen standardmäßig aktiviert werden, ohne dass eine manuelle Konfiguration erforderlich ist.

In unserem vorherigen Blogbeitrag zu UCON haben wir erläutert, wie Administratoren das Logging aktivieren können, um Nutzungsdaten von RFC- und ICF-Aufrufen zu erfassen, bevor Einschränkungen umgesetzt werden. Diese Protokolle sind entscheidend, um zu erkennen, welche Schnittstellen tatsächlich verwendet werden. Auf dieser Basis lassen sich die für die UCON-Szenarien benötigten Allowlisten erstellen.

Ab SAP S/4HANA 2022 hat SAP im Rahmen der Secure by Default Initiative einen zusätzlichen Mechanismus eingeführt: die Secure-by-Default-Logs. Mit dieser Funktion werden alle RFC-Aufrufe (einschließlich WebSocket-RFC) sowie Zugriffe auf ICF-Services automatisch protokolliert, selbst dann, wenn die UCON-Protokollierung noch nicht explizit aktiviert wurde.

Wesentliche Merkmale und Vorteile

• Die automatische Protokollierung beginnt nach der Installation oder dem Upgrade.
• Nützlich für die Analyse vor der Umstellung auf UCON und die spätere Migration zu UCON.
• Ermöglicht ein transparentes Monitoring.

Wie kann man auf die Logs zugreifen?

Rufen Sie Transaktion SBDLOG auf und wählen Sie das gewünschte Szenario aus:

• Remote Function Calls (verweist auf UCONPHTL falls UCON bereits aktiv ist)
• WebSocket RFC (einsehbar auch wenn UCON bereits aktiv ist)
• Internet Communication Log (ICF Logs)

Wie importiere ich die Secure-by-Default-Logs in UCON?

In Transaktion UCONCOCKPIT:

• Gehen Sie auf „Operationen“ → „Unified Connect.: RFC-Basis einrichten“
• Wähle Sie „Daten aus Secure-by-Default-Protokoll laden“ aus.

UCON Berechtigungsobjekte

Bei der Verwendung der UCON-Tools ist eine ordnungsgemäße Verwaltung der Berechtigungen von entscheidender Bedeutung. Im Folgenden sind die wichtigsten Berechtigungsobjekte zur Steuerung der verschiedenen Funktionen aufgeführt:

• S_UCON_ADM (Administrationsberechtigung für UCON)
• S_UCON_WAD (HTTP-Erlaubtlisten-Administrationstabelle)
• S_UCON_WHI (HTTP-Erlaubtlistentabellen)
• S_UCON_WST (HTTP-Erlaubtlisten-Setup-Tabelle)

Abhängig von der Systemlandschaft und den administrativen Zuständigkeiten sollten diese Berechtigungsobjekte nach dem Least-Privilege-Prinzip vergeben werden.

Wie kann Ihnen smarterSec weiterhelfen?

Unsere smarterSec Security Platform (SSP) prüft Ihre UCON-Konfigurationen, analysiert Logs auf potenzielle Bedrohungen und identifiziert nicht eingespielte SAP-Hinweise. Zusätzlich ermöglichen wir mit dem SAP Security Risk Assessments eine schnelle und effiziente Analyse des aktuellen Sicherheits- und Compliance-Niveaus Ihrer SAP-Systeme.

Fazit

Das UCON-Framework ist ein zentraler Bestandteil einer Secure-by-Default-Architektur für moderne SAP-Systemlandschaften. Durch die gezielte Steuerung von RFC-, HTTP- und WebSocket-Kommunikation unterstützt UCON Unternehmen dabei, von offenen Kommunikationsmodellen zu einem kontrollierten, richtlinienbasierten Zugriff überzugehen, ohne bestehende Integrationen zu beeinträchtigen.

Mit den integrierten Funktionen ermöglicht UCON die Verwaltung von HTTP-Allowlist, die Simulation von Einschränkungen sowie die Analyse der Schnittstellennutzung durch Logging. Dadurch erhalten Administratoren die notwendige Transparenz, um Kommunikationsrichtlinien sicher umzusetzen.

Durch die Kontrolle und Einschränkung RFC-basierter Kommunikation zwischen Systemen und Benutzern reduziert SAP UCON die Angriffsfläche auf Anwendungsebene erheblich.

Um die Sicherheitslage einer SAP-Systemlandschaft ganzheitlich zu stärken, ist es ebenso wichtig, die Kommunikation auf Netzwerkebene abzusichern. In unserem Blogbeitrag Warum SAProuter-Sicherheit wichtiger als je zuvor ist erläutern wir, wie SAProuter als kontrolliertes Gateway zwischen SAP-Systemen und externen Netzwerken fungiert.

Zusammen tragen diese Maßnahmen zu einem mehrschichtigen Sicherheitsansatz bei. Dieser schützt SAP-Systeme sowohl vor Bedrohungen auf Anwendungsebene als auch auf Netzwerkebene.