Giriş: Tehdit Artık Kapının İçinde
Bir zamanlar SAP sistemleri “arka ofis uygulamaları” olarak görülürdü. Dışarıdan erişimi kısıtlıydı; siber güvenlik denince akla çoğunlukla network veya mail güvenliği gelirdi. Bugün tablo bambaşka. SAP artık üretimden finansa, tedarikten müşteri ilişkilerine kadar tüm süreçlerin kalbi — ve doğrudan saldırıların hedefi.
Saldırılar; kimlik hırsızlığı, Uzaktan Fonksiyon Çağrısının (Remote Function Call – RFC) kötüye kullanımı, yamalanmamış servisler ya da hatalı web ayarları üzerinden geliyor. Bu yüzden Basis’in rolü “sistemi çalıştırmak”tan çıkıp “sistemi korumak” noktasına evrildi.
Basis Katmanı: Görünmeyen Ama Kritik Güvenlik Duvarı
Saldırganlar çoğu zaman güvenlik duvarını (firewall) zorlamak yerine konfigürasyon hatalarına yaslanır. Bir parametre hatası, sağlam bir mimariyi bir anda savunmasız bırakabilir.
Yaygın hatalar:
- RFC’lerde yanlış “trusted” ayarları
- SAP_ALL gibi geniş rollerin süresiz atanması
- Transport güvenliği ve onay/inceleme kapılarının atlanması
- ICM/HTTP tarafında SSL/TLS eksikleri
Küçük “kolaylıklar” büyük açıklar üretir.
Gerçek Hayattan Üç Ders
Senaryo A — Test → Prod “Trusted” RFC Tuzakları
Bir lojistik firmasında test ortamı kolaylık olsun diye canlı sisteme (PRD – production) “trusted” RFC ile bağlandı. “Trusted”, çağrının hedef sistemdeki kullanıcı yetkileriyle çalışabilmesi demektir; yanlış kurguda yetki zinciri atlanır. Geliştirici testten canlı sisteme (PRD) istemeden veri değiştirdi; sevkiyat planları bozuldu.
Ders: Trusted sadece zorunlu noktalarda, asgari yetkiyle ve loglanarak kullanılmalı.
Senaryo B — Logların Devre Dışı Bırakılması
Disk alanı “tasarrufu” için SM20 kısıldı. Kaba kuvvet (Brute-force) denemeleri günlerce fark edilmedi; olay ancak kullanıcı şikâyetiyle görünür oldu.
Ders: Log tutmak değil, okunabilir ve alarm üreten loglara sahip olmak kritik.
Senaryo C — Yama İhmali, Bütünlük Kaybı
NetWeaver/HANA bileşenleri “çalışıyor” diye yıllarca güncellenmedi. Yayınlanan bir güvenlik notu uygulanmayınca sistem açığı kullanılarak (exploit) finansal tablolarda bütünlük bozuldu.
Ders: “Çalışıyor” = “güvenli” değildir. Yama (patch) ve test kültürü şart.
2025 yılında Jaguar Land Rover’a yönelik gerçekleşen büyük ölçekli siber saldırı, modern üretim şirketlerinde ERP ve operasyonel sistemlerin birbirine ne kadar bağımlı hale geldiğini gösteren çarpıcı bir örnek oldu. Şirketin üretim hatları ve tedarik zinciri haftalarca aksadı.
Bazı bağımsız güvenlik kaynakları, saldırının SAP NetWeaver altyapısında zamanında uygulanmamış bir güvenlik yamasıyla ilişkili olabileceğini öne sürdü. Her ne kadar bu bağlantı resmî olarak doğrulanmamış olsa da, olay SAP sistemlerinde düzenli yama yönetimi ve erişim kontrolünün kurumsal siber güvenlik stratejisindeki kritik rolünü bir kez daha gündeme taşıdı.
Jaguar Land Rover vakası bize şunu gösterdi:
SAP sistemlerinde güvenlik, yalnızca teknik bir konu değil — üretim, finans ve tedarik zincirinin kesintisiz devamlılığı için stratejik bir zorunluluktur.
Doğru yönetildiğinde ise SAP, işletmenin en güçlü savunma hattı hâline gelir.(Kaynaklar: The Guardian, SecurityWeek, GateKeeperHQ)
Basis Ekipleri İçin Güvenliğin Temel Alanları
Kullanıcı ve Rol Yönetimi
SAP sistemlerinde erişim güvenliği, yalnızca kullanıcı hesabı açmak veya rol atamakla sınırlı değildir. SU01, PFCG ve SUIM gibi araçlar son derece güçlüdür; ancak yanlış yapılandırıldıklarında güvenlik riski doğurabilirler. Gereksiz roller düzenli olarak temizlenmeli, geçici hesaplar otomatik olarak kapatılmalı ve görev bazlı yetkilendirme prensibi uygulanmalıdır.
Ayrıcalıklı Erişim (Privileged Access Management – PAM)
Ayrıcalıklı erişimler, en büyük risk alanlarından biridir. Acil Durum Erişimi (Firefighter) senaryolarında SAP_ALL gibi geniş yetkiler kalıcı değil, sadece geçici ve kayıt altına alınmış oturumlar aracılığıyla verilmelidir. Bu süreç; SAP GRC Access Control, SAP Emergency User Management (SUEM) veya üçüncü taraf PAM çözümleriyle yönetilmeli, her erişim talebi için onay, oturum kaydı (session recording) ve raporlama mekanizması oluşturulmalıdır.
Çok Faktörlü Kimlik Doğrulama (MFA)
Güvenlik zincirinin son halkası kimlik doğrulamadır. Çok Faktörlü Kimlik Doğrulama (MFA) artık bir tercih değil, zorunluluktur. Basis, geliştirici ve ayrıcalıklı kullanıcılar başta olmak üzere, SAP GUI, Fiori Launchpad/NWBC, HANA DB ve web servisleri gibi tüm erişim noktalarında MFA uygulanmalı; bu doğrulama süreci kurumsal kimlik sağlayıcısı (IdP) üzerinden SAML 2.0 veya OAuth entegrasyonuyla sağlanmalıdır.
Transport Güvenliği
SAP sistemlerinde her transport, yalnızca bir değişiklik paketi değil, aynı zamanda potansiyel bir güvenlik riski taşır. Bu nedenle transport süreçleri rastgele değil, mutlaka denetlenebilir ve onaylı bir yapıda yürütülmelidir. Tüm transportlar, SAP Solution Manager (ChaRM), SAP Cloud ALM veya benzeri yönetim araçları üzerinden onay iş akışlarına tabi tutulmalı ve STMS (Transport Management System) bu süreçlerle entegre şekilde çalışmalıdır. Üretim sistemine (PRD) ulaşan her paketin, Quality Gate mekanizmasıyla güvenlik ve uygunluk kontrolünden geçtiğinden emin olunmalıdır. Böylece yalnızca teknik olarak doğru değil, güvenlik açısından da onaylı kodlar canlı sisteme taşınır.
Özel Geliştirme (ABAP) Güvenliği ve Kod Taraması
SAP sistemlerinde özel geliştirmeler (Z-kodlar), çoğu zaman fark edilmeden en büyük güvenlik risklerinden biri haline gelir. Altyapı ne kadar sağlam olursa olsun, güvensiz bir ABAP kodu tüm koruma katmanlarını devre dışı bırakabilir. Bu nedenle transport aşamasına gelmeden önce kodların güvenlik açısından taranması ve onaylanması kritik öneme sahiptir.
Statik Kod Analizi (SAST): SAP’nin yerleşik aracı olan Code Vulnerability Analyzer (CVA) veya üçüncü parti güvenlik tarama çözümleri kullanılarak, her kodun transport öncesinde güvenlik testinden geçirilmesi gerekir.
Güvenlik Onayı: Tüm geliştirmeler, SQL injection, yetki kontrolü eksiklikleri, RFC istismarları gibi zafiyet türlerine karşı zorunlu güvenlik incelemesinden geçmeli ve yalnızca onaylı kodlar canlı sisteme aktarılmalıdır.
Log ve İzleme Kültürü
Bir sistemin güvenliği, yalnızca olayların kaydedilmesiyle değil, bu kayıtların anlamlı şekilde izlenmesiyle sağlanır. SAP sistemlerinde SM20, ST03N, STAD gibi loglar yalnızca saklanmamalı; SIEM veya UEBA gibi analiz araçlarıyla ilişkilendirilerek (korelasyon kurularak) yorumlanmalıdır. Gerçek güvenlik, “logların varlığıyla” değil, olayların görünür ve analiz edilebilir hale gelmesiyle mümkündür.
Ek Bilgi Kaynağı
SAP Basis katmanında en sık karşılaşılan ve genellikle göz ardı edilen kritik güvenlik hatalarını öğrenmek ve bu hataları önlemek için bu makalemizi keşfedin!
Sistemler Arası İletişim Güvenliği (RFC, Gateway, ICM, SICF)
SAP altyapısında en çok göz ardı edilen alanlardan biri, sistemler arası iletişim noktalarıdır. RFC, Gateway ve ICMkatmanlarında alınacak basit önlemler, saldırı yüzeyini büyük ölçüde azaltır. Gereksiz RFC bağlantıları kapatılmalı, reginfo ve secinfo dosyaları güncel tutulmalı, ICM üzerinde TLS (Transport Layer Security) zorunlu hale getirilmelidir.
Ayrıca SICF seviyesinde yalnızca gerekli servisler aktif olmalı; kullanılmayan veya anonim erişime açık servisler kapatılmalıdır. Aktif servisler ise SSO2, X.509 sertifika ya da kullanıcı/parola gibi uygun kimlik doğrulama yöntemleriyle korunmalı; başarısız giriş denemeleri sınırlandırılmalıdır. Bu önlemler, özellikle Fiori, OData ve dış entegrasyon servisleri için hayati önem taşır.
SAP Router Güvenliği (Hardening)
SAP Router, sistemler arası veya dış bağlantıların güvenli şekilde yönlendirilmesini sağlar; ancak yanlış yapılandırıldığında doğrudan bir saldırı kapısına dönüşebilir. Bu nedenle SAPROUTTAB dosyasında yalnızca yetkili ve bilinen IP adreslerine izin verilmeli, varsayılan kural olarak *“D ” (tüm erişimleri reddet) prensibi kullanılmalıdır. dev_rout log dosyaları düzenli olarak izlenmeli ve iletişimde SNC (Secure Network Communication) şifrelemesi aktif hale getirilmelidir. Bu yapı, dış bağlantıların güvenliğini garanti altına alırken, SAP Router’ın ağ savunma zincirinde zayıf halka olmasını engeller.
Veritabanı Katmanı Güvenliği
Özellikle SAP HANA ortamlarında veritabanı güvenliği kritik öneme sahiptir. Üretim sisteminde SYSTEM kullanıcısı kilitlenmeli, DEFAULT _ SCHEMA _ OWNER hesapları kaldırılmalı ve denetim izi (audit trail) etkin olmalıdır. System ve tenant kullanıcılarının görev ayrımı net bir şekilde tanımlanmalı; verilerin disk üzerinde korunması için gerekiyorsa Transparent Data Encryption (TDE) özelliği aktif hale getirilmelidir.
SAP’ye Özgü Ağ Segmentasyonu
SAP mimarisinde uygulama (App), veritabanı (DB) ve web katmanlarının aynı ağda bulunması ciddi güvenlik riskleri yaratır. Bu katmanlar ayrı VLAN’lar üzerinde konumlandırılmalı, RFC Gateway için özel firewall kuralları tanımlanmalı ve SAP Cloud Connector mutlaka DMZ bölgesinde yapılandırılmalıdır. Özellikle 32xx, 33xx, 5xx13–5xx14 gibi SAP iletişim portları sıkı biçimde denetlenmeli ve sadece gerekli erişimlere izin verilmelidir.
SNC (Secure Network Communication) Şifrelemesi
SAP sistemleri arasındaki iletişimde güvenliğin sağlanması için SNC (Secure Network Communication) şifrelemesi etkin olmalıdır. Bu yapı, hem SAP GUI – uygulama sunucusu hem de sunucu – sunucu (RFC) iletişiminde veri bütünlüğü ve gizliliği sağlar. Kullanılan SAPCryptolib ve STRUST sertifikaları düzenli aralıklarla yenilenmeli ve geçerlilik süreleri takip edilmelidir.
Profil Parametre Güvenliği
SAP sistem parametreleri, kullanıcı erişiminden oturum süresine kadar birçok güvenlik mekanizmasını doğrudan etkiler. Bu nedenle login/min_password_lng, login/fails_to_user_lock ve rdisp/gui_auto_logout gibi kritik profil parametreleri düzenli olarak gözden geçirilmeli, güvenlik standartlarına uygun değerlerle tanımlanmalıdır.
Yedekleme ve Geri Yükleme
Veri güvenliği sadece yedek almakla sağlanmaz; alınan yedeğin geri yüklenebilir olması da en az o kadar önemlidir. Yedekler immütabl (değiştirilemez) depolarda saklanmalı ve düzenli aralıklarla restore tatbikatları yapılmalıdır. Çünkü “yedek var ama açılmıyor” durumu, yaşanabilecek en pahalı güvenlik senaryosudur.
SAP Güvenlik Yamaları ve Sistem Güncelliği
SAP ortamlarında güvenliğin sürdürülebilir olması, sistemlerin düzenli olarak güncellenmesine bağlıdır. SAP Security Notes her ay takip edilmeli; NetWeaver, Kernel, ABAP ve HANA bileşenleri güncel tutulmalıdır. Yama uygulama süreci test, onay ve üretim (PRD) adımlarını izlemeli; acil durumlarda hotfix prosedürü devreye alınmalıdır.
Saldırı Türlerine Göre Pratik Önlem Seti (Hızlı Rehber)
Saldırı Türü | Önerilen Önlemler |
Kimlik Hırsızlığı / Şifre Kırma (Credential Theft / Brute-force) | MFA (Çok faktörlü kimlik doğrulama), güçlü parola politikaları, başarısız giriş kilidi (lockout), servis hesaplarının izolasyonu, SIEM alarmı |
RFC / Güven İstismarı / Yanal Hareket (Trust Abuse / Lateral Movement) | RFC izin listesi (whitelist), trusted bağlantı kısıtlaması, çağrı loglaması, SNC ile şifreleme |
Zararlı Yazılım / Fidye Saldırısı (Malware / Ransomware) | EDR (Tehdit algılama ve yanıt sistemi), değiştirilemez (immutable) yedekleme, ağ segmentasyonu, düzenli geri yükleme (restore) tatbikatı |
Kimlik Avı / İş E-postası Dolandırıcılığı (Phishing / BEC) | DMARC/DKIM/SPF yapılandırması (e-posta kimlik doğrulama), kullanıcı farkındalık eğitimi, kritik işlemlerde çift onay mekanizması |
DDoS / Erişilebilirlik Saldırıları | WAF (Web uygulama güvenlik duvarı), reverse proxy, internet servis sağlayıcı (ISP) tabanlı DDoS koruması |
Güncellenmemiş Açıklar (Unpatched Exploits) | Zafiyet taraması (vulnerability scanning), hızlı yama (patch) uygulaması, geri alma planı (rollback procedure) |
Proaktif Güvenlik Kültürü: Reaktif Olmanın Bedeli
Bir güvenlik açığı yaşandıktan sonra alınan önlem genellikle hem pahalıdır hem de geç kalınmıştır. Gerçek güvenlik, olaylara tepki vermekle değil, onları öngörmekle sağlanır. Bu nedenle kurumlar, proaktif bir güvenlik kültürüoluşturmalıdır: düzenli kontrol listeleri ve otomasyon süreçleriyle riskleri erken fark etmek, her ay SAP Security Notesgüncellemelerini takip etmek, üç ayda bir sistem denetimleri yürütmek ve yılda en az bir kez sızma testi (penetration test) gerçekleştirmek bu kültürün temel adımlarıdır. Güvenliği yalnızca teknik bir konu değil, doğrudan iş riski yönetiminin bir parçası olarak ele almak gerekir.
Uyumluluk ve Denetim (Compliance)
SAP sistemlerinde güvenlik yalnızca teknik önlemlerle sınırlı değildir; aynı zamanda uyumluluk ve denetim gereksinimlerini de kapsar. KVKK, ISO 27001 ve SOX gibi standartlar, verinin nasıl saklandığı, kimlerin eriştiği ve hangi işlemlerin izlenebilir olduğu konularında açık kurallar getirir. Bu nedenle yetki matrislerinin belgelendirilmesi, log saklama sürelerinin mevzuata uygun olması ve tüm sistem değişikliklerinin izlenebilir biçimde kaydedilmesikritik önem taşır. Basis ekipleri artık sadece teknik operasyonun değil, aynı zamanda kurumun uyumluluk stratejisinin de aktif bir oyuncusudur.
Modern SAP Mimarilerinde Güvenlik: Bulut ve Fiori’ye Uyum
SAP artık yalnızca şirket içi sistemlerden ibaret değil; bulut, hibrit ve Fiori tabanlı mimariler güvenlik yaklaşımını kökten değiştirdi. Bu yeni ortamda erişim, veri ve bağlantı noktalarının her biri farklı güvenlik katmanları gerektirir.
SAP BTP Güvenlik Modeli: Bulut tarafında SAP Business Technology Platform (BTP), yetkilendirmeyi Role / Role Collection mantığıyla yönetir. OAuth 2.0 tabanlı kimlik doğrulama ve Destination Services üzerinden sağlanan güvenli dış bağlantılar, BTP uygulamalarının temel güvenlik omurgasını oluşturur.
Fiori Güvenliği: Fiori Launchpad üzerinde doğru rol tasarımı yapmak, yalnızca kullanıcı deneyimi değil, güvenlik açısından da kritiktir. Her Fiori uygulamasının arka planda hangi OData servislerini çağırdığını ve bu servislerin SICFdüzeyinde hangi uç noktaları kullandığını bilmek gerekir. Bu uçlar yalnızca gerekli servisler için açık olmalı ve uygun kimlik doğrulama yöntemleriyle korunmalıdır.
SAP Cloud Connector Güvenliği: On-prem sistemlerle bulut arasındaki bu köprü, yanlış yapılandırıldığında en zayıf halka haline gelir. Bu nedenle ACL (Access Control List) kayıtları düzenli olarak gözden geçirilmeli, yalnızca gerekli sistem ve servisler için bağlantı açık bırakılmalıdır. Cloud Connector mümkünse DMZ bölgesinde konumlandırılmalı ve sertifika yönetimi titizlikle yürütülmelidir.
Otomasyon ve Sürekli İzleme: “Manuel Olmaz”
SAP ortamında onlarca kontrol alanını manuel şekilde izlemek artık gerçekçi değildir. Etkin güvenlik, otomasyon ve sürekli izleme kültürüyle sağlanır.
Merkezi Log Yönetimi: SAP, işletim sistemi ve veritabanı logları tek bir merkezde toplanmalı ve bir SIEM çözümüne akıtılmalıdır. Bu loglar üzerinde korelasyon kuralları tanımlanmalı; davranış analitiği (UEBA) ile olağandışı aktiviteler otomatik tespit edilmelidir.
SAP Çözümleriyle İzleme: SAP Solution Manager güvenlik izleme (alerting) senaryoları veya büyük ölçekli sistemlerde SAP Focused Run, otomatik sapma tespiti ve uyarı mekanizmaları sağlar. Bu araçlar, manuel kontrolün yerini sistematik gözetime bırakır.
Zafiyet Yönetimi (Vulnerability Management): SAP ortamına özel güvenlik tarayıcıları —örneğin SecurityBridgeveya Onapsis— düzenli olarak çalıştırılmalı; elde edilen bulgular doğrudan değişiklik (change) süreçlerine entegre edilmelidir. Böylece tespit edilen her açık, kontrolsüz değil yönetilen bir risk haline gelir.
İşletim Sistemi ve Altyapı Katmanı Güvenliği
Bir SAP sisteminin güvenliği, üzerinde çalıştığı platformun sağlamlığıyla başlar. Uygulama güvenliğini konuşmadan önce, altyapının kendisinin güvenli olduğundan emin olmak gerekir.
İşletim Sistemi Güvenliği (OS Hardening): Gereksiz servisler devre dışı bırakılmalı, yerel firewall kuralları sıkılaştırılmalı ve SAP kullanıcıları yalnızca minimum yetkilerle çalıştırılmalıdır.
Düzenli Yama Yönetimi: Güvenlik yalnızca SAP yamalarından ibaret değildir. Linux, Windows veya AIX işletim sistemleri, hipervizör katmanı ve hatta donanım firmware’leri için düzenli bir yama politikası oluşturulmalıdır.
SAP Host Agent: Bu bileşen genellikle ihmal edilir, oysa izleme ve sistem yönetimi açısından kritik bir roldedir. SAP Host Agent her zaman güncel tutulmalı ve izleme/toplama yetkinlikleri doğru yapılandırılmalıdır.
Sonuç: Operatörden Savunma Mimarına Evrilen Basis Rolü
Basis uzmanı artık yalnızca “sistemi çalışır durumda tutan” değil, aynı zamanda “sistemi koruyan” kişidir. Artık sadece sistem kesintisi (downtime) değil, güvenlik ihlaline kadar geçen süre (compromise time) de bir başarı ölçütü haline geldi. Başarılı sistemlerin arkasında; MFA kullanımını zorunlu kılan, yamaları zamanında uygulayan, süreçlerini otomatikleştiren, bulut ve hibrit yapıyı iyi anlayan, parametrelerini ve süreçlerini titizlikle belgeleyen bir Basis kültürü vardır.
Çünkü sistemleri koruyan duvarlar değil; dikkatli insanlar ve disiplinli süreçlerdir.