Avantra Hardening Guide

Standardmäßig kann Avantra so konfiguriert werden, dass es HTTP oder HTTPS verwendet. In einer produktiven Umgebung empfehlen wir dringend sicherzustellen, dass Ihre WebUI (XANGUI)-Konfiguration so eingestellt ist, dass der sichere Port über HTTPS verwendet wird. Sie können auch die TLS-Chiffren festlegen, die für die Web-UI-Kommunikation verwendet werden dürfen. Schließlich sollten Sie in einem Multi-Netzwerk-Setup mit mehreren Schnittstellen sicherstellen, dass Ihre WebUI nur von der erforderlichen Schnittstelle aus zugänglich ist.

Managing your Web UI configuration

Standardmäßig kann Avantra so konfiguriert werden, dass es HTTP oder HTTPS verwendet. In einer produktiven Umgebung empfehlen wir dringend sicherzustellen, dass unsichere (HTTP) Anfragen an Ihre WebUI abgelehnt oder zumindest automatisch auf die sichere Version (HTTPS) umgeleitet werden.

Deaktivieren Sie den HTTP-Port, indem Sie ihn aus der Konfigurationsdatei entfernen. Wenn er aktiviert bleiben muss, empfehlen wir, standardmäßig die Umleitung von HTTP auf HTTPS zu aktivieren.

Managing your Web UI configuration

Standardmäßig wird Avantra mit einem vorinstallierten X.509-Zertifikat mit dem allgemeinen Namen "xandria" geliefert. In allen Fällen empfehlen wir dringend, dieses zu ersetzen und Ihr eigenes X.509-Serverzertifikat zu Ihrer Installation hinzuzufügen, um die gesamte Webschnittstellenkommunikation abzusichern.

Ersetzen Sie das Standard-X.509-Zertifikat durch Ihr eigenes CA-signiertes Zertifikat.

Replacing the Web UI certificate with your own certificate

Es ist wichtig sicherzustellen, dass der Dienstbenutzer, der die Avantra-OS-Dienste für Server/UI und Agent ausführt, keine anderen Berechtigungen hat, außer die Dienste auszuführen, z.B. nicht in der Administrator- oder SUDO-Gruppe. Ihr Benutzer sollte Lese-, Schreib- und Ausführungsberechtigungen für das Avantra-Installationsverzeichnis und die Gruppenmitgliedschaft für alle anderen Verzeichnisse haben, auf die Zugriff erforderlich ist.

Beschränken Sie den Betriebssystemdienstbenutzer auf die minimal erforderlichen Berechtigungen zur Ausführung.

Wir empfehlen dringend, den Härtungsleitfaden des Betriebssystems zu nutzen, der von Ihrem Betriebssystemanbieter bereitgestellt wird, z.B. SUSE, RHEL, Windows oder andere. Diese Leitfäden behandeln Themen wie Firewalls, Protokollierung und mehr.

Überprüfen Sie regelmäßig den Härtungsleitfaden für Ihr gewähltes Betriebssystem und implementieren Sie dessen Empfehlungen.

Avantra unterstützt die Konfiguration externer Identitätsanbieter über SAML oder Active Directory. Wir empfehlen die Verwendung eines externen Identitätsanbieters, da dies eine enge Integration in Unternehmenssysteme ermöglicht, z.B. für Joiner-, Mover- und Leaver-Prozesse (JML) sowie die Unterstützung der Zwei-Faktor-Authentifizierung (2FA). Wir empfehlen dringend die Verwendung von Konzepten wie 2FA über einen externen Identitätsanbieter.

Konfigurieren Sie einen externen Identitätsanbieter, idealerweise mit aktivierter 2FA.

Avantra ist als umfassende Managementplattform konzipiert, die leistungsstarke Funktionen zur Ausführung von Skripten und Befehlen auf entfernten Systemen zur Automatisierung bietet. Je nach Umgebung möchten Sie möglicherweise nicht die Ausführung von Betriebssystembefehlen in Ihrer Umgebung zulassen.

Stellen Sie sicher, dass Sie die Härtungsempfehlung AHG-A-01 anwenden, um die Zugriffsberechtigungen des OS-Benutzers, der die Agent-Dienste ausführt, erheblich einzuschränken. Dieser Agent sollte NUR die Berechtigungen zur Ausführung des Agenten sowie den Zugriff auf alle Skripte oder Befehle haben, die für Ihre spezifischen Szenarien erforderlich sind. Diese Schutzmaßnahme sollte dieses Risiko mindern.

Avantra ist als umfassende Managementplattform konzipiert, die leistungsstarke Funktionen zur Ausführung von Abfragen und Befehlen auf entfernten Datenbanken bietet (als Teil von Checks oder Automatisierung). Je nach Umgebung möchten Sie möglicherweise nicht die Ausführung von SQL-Befehlen mit Schreibzugriff in Ihrer Umgebung zulassen.

Stellen Sie sicher, dass Sie die Härtungsempfehlung AHG-A-02 anwenden, um die Zugriffsberechtigungen des Datenbankbenutzers, der zur Überwachung Ihrer verwalteten Datenbankobjekte verwendet wird, erheblich einzuschränken. Dieser Benutzer sollte NUR die Berechtigungen haben, die für Ihre spezifischen Szenarien erforderlich sind (in der Regel nur Lesezugriff und kein Zugriff auf Produktionsdaten). Diese Schutzmaßnahme sollte dieses Risiko mindern.

Ihre Avantra-Installation sollte vor anderen Benutzern Ihres Betriebssystems geschützt werden. Der einzige Benutzer, der Zugriff auf die Avantra-Dateien zum Lesen, Schreiben oder Ausführen benötigt, sollte der Avantra-Dienstbenutzer sein, der Ihre Betriebssystemdienste ausführt.

Stellen Sie sicher, dass die Berechtigungen im Avantra-Installationsverzeichnis für Gruppen und andere Benutzer eingeschränkt sind.

Avantra unterstützt die HTTPS-Kommunikation zwischen der UI und dem Server. Für die meisten Kunden ist dies kein Problem, da sich die UI meistens auf demselben Host wie der Server befindet und alle Kommunikationen intern sind. Sie können jedoch Avantra so einstellen, dass die sichere Kommunikationsoption a5s (HTTPS) (anstatt a5 (HTTP)) verwendet wird. Die Flags heißen "Network.master-ui-protocol" und "ui-master-protocol" und sind unter "Administration" → "Settings" → "Avantra Master" und "Administration" → "Settings" → "Avantra UI" zu finden.

Setzen Sie das Flag "Network.master-ui-protocol" auf a5s in den Avantra-Servereinstellungen unter "Administration" → "Settings" → "Avantra Master". Setzen Sie das Flag "ui-master-protocol" auf a5s in den Avantra-UI-Servereinstellungen unter "Administration" → "Settings" → "Avantra UI".

Avantra unterstützt die TLS-Versionen 1.0 → 1.3 für die Agentenkommunikation, und diese können basierend auf Ihren Organisationsrichtlinien aktiviert/deaktiviert werden. Wir ermutigen Kunden, diese Einstellungen so zu konfigurieren, dass sie den Unternehmensrichtlinien entsprechen.

Setzen Sie die Flags "Network.tls-cipher-suites" und "Network.tls-enabled-client-protocols" auf geeignete Werte in den Avantra-Servereinstellungen unter "Administration" → "Settings" → "Master".

Avantra hat sechs verschiedene Protokollstufen:

Sofern nicht für Support- oder Problemlösungszwecke erforderlich, empfehlen wir, das Protokollniveau auf ein Minimum zu reduzieren, um die im Betriebssystem erfassten Informationen in Ihren Protokolldateien zu minimieren.

Es gibt auch einen Überwachungsparameter, der auf Ihren Agenten eingestellt werden kann, um das Protokollieren zu deaktivieren, "TraceLevel", und der Wert sollte auf 0 gesetzt werden.

Standardmäßig sperrt Avantra ein Benutzerkonto nach 3 fehlgeschlagenen Anmeldeversuchen für einen Zeitraum von 5 Minuten. Dieses Verhalten kann geändert werden, um Ihren organisatorischen Anforderungen zu entsprechen. Verwenden Sie dazu die unten aufgeführten Flags in den Avantra-UI-Servereinstellungen unter "Administration" → "Settings" → "Avantra UI".

Passen Sie die Werte für die oben genannten Flags an die Anforderungen Ihrer Organisation an.

Standardmäßig kann Avantra beim Login eine Option "Remember Me" verwenden, um Benutzern die Beschleunigung zukünftiger Anmeldeversuche zu ermöglichen. Dieses Verhalten kann deaktiviert werden, um Missbrauch zu verhindern, indem Sie das Flag "remember-me" in den Avantra-UI-Servereinstellungen unter "Administration" → "Settings" → "Avantra UI" verwenden.

Setzen Sie das Flag "remember-me" auf "no" in den Avantra-UI-Servereinstellungen unter "Administration" → "Settings" → "Avantra UI".

Standardmäßig verfügt Avantra über eine Funktion zum Zurücksetzen von Passwörtern für lokale Konten, die per E-Mail an den Benutzer gesendet wird. Um dies zu deaktivieren, verwenden Sie das Flag "reset-password" in den Avantra-UI-Servereinstellungen unter "Settings" → "Avantra UI". Beachten Sie, dass dadurch alle Passwortzurücksetzungen für lokale Konten, einschließlich Administrator-Konten, deaktiviert werden.

Setzen Sie das Flag "reset-password" auf "no" in den Avantra-UI-Servereinstellungen unter "Administration" → "Settings" → "Avantra UI".

Avantra kann die Verwendung komplexer Passwörter für lokale Avantra-Konten (im Gegensatz zu Identitätsanbieter-Konten) vorschreiben, und dies kann innerhalb der Avantra UI konfiguriert werden. Sie finden dies unter "Administration" → "Settings" → "Password Policy".

Legen Sie die geeignete Passwort-Richtlinie fest, um den Anforderungen Ihrer Organisation zu entsprechen.

Das Avantra-Logbuch zeichnet alle Aktivitäten in Ihrem Avantra-System auf und ist sehr nützlich bei Audits und zur Klärung, wer welche Aktionen durchgeführt hat. Es ist standardmäßig aktiviert, aber die Einstellungen sollten überprüft werden, um sicherzustellen, dass sie den Anforderungen Ihrer Organisation entsprechen.

Überprüfen und aktualisieren Sie die Avantra-Logbuch-Einstellungen unter "Administration" → "Settings" → "Logbook".

Der Avantra-Server verfügt über eine Statistik- und Server-Gesundheitsübersicht, die auf Port 9058 aktiviert ist. Diese Seite gibt Ihnen Informationen über die Gesundheit Ihres Avantra-Servers, z.B. DB-Verbindungs-Pool-Infos, JVM-Heap-Größen, Remote-Verbindung zu verwalteten Agenten und vieles mehr. Dieser Webserver wird direkt vom Avantra-Dienst unabhängig von der Avantra-UI (XANGUI) gehostet. In einer gehärteten Umgebung sollte dieser Webdienst deaktiviert werden, es sei denn, er wird für Supportzwecke benötigt.

Deaktivieren Sie den Webdienst auf diesem Port, indem Sie das Flag "Web.http-server" auf "off" in den "Administration" → "Settings" → "Avantra Master" setzen.

In der Avantra-Webanwendung können Kunden nun manuell bestimmte Sicherheitsheader in die Konfigurationsdatei einfügen, um diese weiter zu implementieren, und diese Maßnahme stellt den Schutz vor Clickjacking, XSS-Angriffen, MIME-Sniffing usw. sicher. Weitere Informationen zu HTTP-Sicherheitsheadern finden Sie unter link.

Die folgenden neuen Konfigurationen können in xangui.cfg konfiguriert werden:

Es ist wichtig sicherzustellen, dass der Dienstbenutzer, der die Avantra-OS-Dienste für Server/UI und Agent ausführt, keine anderen Berechtigungen hat, außer die Dienste auszuführen, z.B. nicht in der Administrator- oder SUDO-Gruppe. Ihr Benutzer sollte Lese-, Schreib- und Ausführungsberechtigungen für das Avantra-Installationsverzeichnis und die Gruppenmitgliedschaft für alle anderen Verzeichnisse haben, auf die Zugriff erforderlich ist.

Beschränken Sie den Betriebssystem-Dienstbenutzer auf die minimal erforderlichen Berechtigungen zur Ausführung.

Es ist wichtig sicherzustellen, dass der Dienstbenutzer, der Ihre verwalteten Datenbanken überwacht und verwaltet, keine anderen Berechtigungen hat, außer denen, die erforderlich sind, um dieses Objekt erfolgreich zu überwachen und zu verwalten. Z.B. kein Zugriff auf Produktionsschemata oder zum Abfragen/Aktualisieren von Daten in der Datenbank.

Beschränken Sie die Berechtigungen des Benutzers für die Datenbankverwaltung auf die minimal erforderlichen Berechtigungen zur Ausführung, d.h. kein Zugriff auf Produktionsdaten und keine Berechtigungen zum Erteilen von Rechten.

Es ist wichtig sicherzustellen, dass der Dienstbenutzer, der Ihre verwalteten Objekte überwacht und verwaltet, keine anderen Berechtigungen hat, außer denen, die erforderlich sind, um dieses Objekt erfolgreich zu überwachen und zu verwalten.

Beschränken Sie die Berechtigungen des Benutzers für die Objektverwaltung auf die minimal erforderlichen Berechtigungen zur Ausführung, d.h. kein Zugriff auf Produktionsdaten und keine Administratorrechte.

Wenn Sie mehrere Kunden bedienen oder über mehrere Netzwerke mit SAP-Systemen verfügen, sollten Sie in Betracht ziehen, einen oder mehrere Agenten pro Netzwerk als Gateway einzurichten. Obwohl das Gateway selbst keine Sicherheitsfunktion hat, ermöglicht seine Verwendung das Verschärfen der Firewall-Regeln und das Sperren der Kommunikationswege zwischen dem Server und den entfernten Agenten.

Erstellen Sie eine Netzwerk-Topologie und verwenden Sie Agenten als Gateways, wenn Netzgrenzen überschritten werden oder um den Netzwerkverkehr von einem bestimmten Standort zu konzentrieren.

Der Avantra-Server muss in wenigen Situationen auf das Internet zugreifen. Diese Situationen sind vorhersehbar und können entweder durch ausgehende Firewall-Regeln in Ihrem Netzwerk oder durch die Verwendung eines Proxys konfiguriert werden. Häufige Situationen sind unten aufgeführt. Die vorgeschlagenen Endpunkte können basierend auf Ihrer individuellen Einrichtung weiter eingeschränkt werden, z.B. spezifische regionale API-Endpunkte für einen Cloud-Anbieter. Um die Endpunkte vollständig einzuschränken, empfehlen wir, Ihren Avantra-Server einzurichten, die ausgehenden Anfragen zu beobachten und diese auf die entsprechenden Endpunkte zu beschränken.

Beschränken Sie die ausgehende Netzwerkkonnektivität basierend auf Ihren erforderlichen Szenarien und konfigurieren Sie einen Proxy, falls erforderlich.

Der Avantra-Server erfordert eine begrenzte Anzahl eingehender Verbindungen. Diese Situationen sind vorhersehbar und können entweder durch eingehende Netzwerk-Firewall-Regeln in Ihrem Netzwerk oder durch die Verwendung eines Reverse-Proxys oder eines Lastenausgleichers konfiguriert werden.

Beschränken Sie die eingehende Netzwerkkonnektivität basierend auf Ihren erforderlichen Szenarien und konfigurieren Sie einen Lastenausgleich vor Ihrem Avantra, falls ein externer Zugriff entweder direkt auf die UI oder über die Mobile App erforderlich ist.