Configuration Validation es una herramienta de SAP Solution Manager que permite verificar si los sistemas SAP están configurados de manera coherente con los requisitos establecidos por la compañía.
La herramienta funciona comparando uno o más sistemas contra un sistema de referencia, que puede ser un sistema real ya existente o un sistema virtual llamado Target System.
Target System
Un Target System es un sistema virtual que contiene los datos de configuración que se utilizarán como referencia para realizar la comparación con otros sistemas.
Estos datos de configuración se almacenan en Configuration Stores, que recopilan los campos o parámetros que Configuration Validation utilizará para analizar los sistemas. Los Stores son configurables, lo que permite seleccionar los campos o parámetros a revisar, el valor a comprobar y el operador que se aplicará al parámetro (igual a, entre, distinto a, etc.).
Configuration Validation ofrece varias opciones para crear un nuevo Target System. Se pueden crear como una copia de un sistema existente, lo que significa que contendrá los mismos Stores y valores que el original.
Otra opción es importar Target Systems preconfigurados desde la SAP SECURITY BASELINE, que cuenta con los valores recomendados por SAP basados en las mejores prácticas. Estos Target Systems preconfigurados también son modificables para adaptarlos al entorno y requisitos específicos de las organizaciones.
Los Target Systems proporcionados por SAP vienen clasificados por un indicador único, que consta de tres partes.
La primera es el nivel de criticidad definido mediante un valor numérico del 1 al 3. El valor más crítico (1) se refiere a necesidades de seguridad de alto impacto, los requisitos estándar (2) recomendados por SAP que deben cubrirse en todos los sistemas y, por último, los denominados Extended (3), que son requisitos más específicos que las organizaciones deberán valorar para su inclusión.
La segunda parte de la estructura aporta información sobre el tipo de tecnología, como ABAP (A), JAVA (J), HANA (H), BTP Platform (P) y Other (O) referida a Web Dispatcher o SAPGUI.
La tercera parte consta de un identificador nemotécnico único del requisito.
En la imagen de ejemplo se muestra un Target System Crítico (1), para un sistema ABAP (A) y referido a la política de Contraseñas (PWDPOL).
La herramienta también ofrece la posibilidad de crear un único Target System más amplio a partir de la unión de los Target Systems individuales de la SAP Security Baseline. Esta unión se realiza mediante la ejecución del programa DIAGCV_MERGE_TARGET_SYSTEMS en el sistema back-end de Solution Manager. También es posible transporte los Target System entre entornos utilizando el programa DIAGCV_TRANSPORT_TARGET_SYSTEM.
Listas de Comparación
Las listas de comparación permiten agrupar diferentes sistemas para obtener información de la configuración de todos ellos de manera simultánea. Es necesario definir los sistemas que deben compararse con los sistemas de referencia de forma periódica. Estas listas contienen los sistemas de comparación, no el sistema de referencia.
Existen 2 tipos de listas de comparación:
Las listas Estáticas, donde se seleccionarán los sistemas a incluir en una lista cerrada:
Las listas Dinámicas, normalmente contendrá sistemas del mismo entorno (por ejemplo, entornos de producción) o del mismo tipo (por ejemplo, ABAP), permitiendo actualizar la lista para incorporar nuevos sistemas, de forma automática, cada vez que se lance el análisis de seguridad.
Creación de informes y visualización de resultados
Los informes mostrarán resultados conformes o no conformes en función del conjunto de reglas definidos en los Target System.
La aplicación de Reporting de Configuration Validation permite realizar análisis en tiempo real para verificar el estado actual de un Target System o de una lista de comparación.
Configuration Validation permite la creación de reports Ad-hoc para comparar la configuración de un sistema o una lista de sistemas con un Target System, permitiendo planificar la ejecución del informe de forma regular, para posteriormente realizar un análisis de tendencias y realizar una comprobación de cumplimiento a lo largo del tiempo.
Notificación vía email
Configuration Validation permite enviar los resultados por correo electrónico.
Para realizar esta configuración se debe ejecutar el programa DIAGCV_SEND_CONFIG_VALIDATION en el back- end.
El programa cuenta con los siguientes campos:
- Target System: Seleccionar cualquiera de los Target System previamente creados.
- Comparison List: Seleccionar la lista de comparación correspondiente.
- Config store(s): Seleccionar Stores, permite selección múltiple.
- Email recipients: Destinatario, email de la persona que recibirá el informe, permite selección múltiple.
- Email greeting: Encabezado del email, se puede personalizar con código HTML.
- Email body: Cuerpo del mensaje, se puede personalizar con código HTML.
- Email ending: Cierre del email, se puede personalizar con código HTML.
- Compliance table header: Encabezado de la tabla del informe, se puede personalizar con código HTML.
- Attachment name: Nombre del adjunto.
- Sen to SAP inbox: Envio al inbox de SAP, varios valores posibles, “-“ (por defecto), no lo envía, “x” enviar al remitente.
- Attach results to email: “x” (por defecto), resultados adjuntos, ‘ ‘ resultados en el cuerpo del correo.
- Time range (today – days): Número de días (solo válido para System Recommendations).
- Send empty validation result: “x” (por defecto) envía todos los controles, ‘ ‘ no envía los vacíos.
- Use Item Description: “-“ (por defecto) utiliza como nombre el Store Group, “x” muestra la descripción y criticidad definidas en la configuración de los Stores.
- El campo Only non-compliant items: permite configurar el tipo de informe que será enviado, el valor “+” implica un resultado completo (controles que cumplen, controles que no cumplen, controles no encontrados y controles no evaluados, el valor “X” (controles que cumplen) y el valor “ “ (controles que cumplen y controles que no cumplen).
Para obtener un análisis completo era necesario utilizar el valor “+”, que incluye controles no evaluados de otros Target Systems. Tras una consulta que Inprosec realizó a SAP, se publicó una mejora a través de la nota 3149011 – Report DIAGCV_SEND_CONFIG_VALIDATION ignores the input field “Only non-compliant items”. Ahora, se puede hacer uso del valor “V” para que se muestren los controles que cumplen, controles que no cumplen y controles no encontrados).