Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Informationen in den folgenden Abschnitten beschreiben, wie Sie Ihre Host Integration-Serverumgebung sichern, einschließlich Enterprise Single Sign-On.
Informationen zum einmaligen Anmelden finden Sie unter Enterprise Single Sign-On Basics.
SQL Server
Beim Zugriff auf eine SQL Server-Datenbank:
Verwenden Sie nur die integrierte Windows-Sicherheit, und beschränken Sie den Zugriff nur auf privilegierte Windows-Konten.
Verwenden Sie nur Sicherheitsgruppen für Host-Integrationsserver, die mit dem Konfigurations-Assistenten für Host-Integrationsserver erstellt wurden.
Allgemeine Überlegungen
Zusätzlich zu den allgemeinen Richtlinien an anderer Stelle in diesem Abschnitt können Ihnen die folgenden spezifischen Empfehlungen helfen, die Sicherheit Ihrer HostIntegration Server-Bereitstellung zu erhöhen. Da alle diese Aktionen während der Bereitstellung oder Konfiguration ausgeführt werden, befinden sich verfahren in den entsprechenden Abschnitten dieser Dokumentation. Während diese Empfehlungen für das gesamte Produkt gelten, bietet der Abschnitt "Transaction Integrator Threat Mitigation " auch Informationen speziell für TI-Benutzer.
Wenn Sie eine Verbindung über das SNA-Protokoll herstellen:
Wenn Sie eine Verbindung mit einem upstream-Hostintegrationsserver-Computer herstellen, verwenden Sie die Client-/Serververschlüsselung.
Suchen Sie upstream Host Integration Server-Computer innerhalb des Rechenzentrums mithilfe sicherer Token Ring-, Ethernet-, Bus und Tag Channel- oder ESCON-Faserkanal-Anlagen.
Wenn Sie eine Verbindung über das TCP/IP-Protokoll herstellen:
Verwenden Sie Upstream-Windows-Softwareroutercomputer oder Hardwarerouter, um den TCP/IP-Datenverkehr zu verschlüsseln.
Suchen Sie den Upstreamrouter innerhalb des Rechenzentrums, indem Sie entweder sichere Tokenring- oder Ethernet-Verbindungen mit dem Host verwenden.
Wenn Sie ein SNA LU6.2-Netzwerk mit einem Großrechner oder IBM i verbinden und der Host Integration Server-Computer als SNA-Gateway zu einem nachgeschalteten Host Integration Server-Computer dient, verwenden Sie die Host Integration Server-zu-Server-Datenverschlüsselung.
Verwenden Sie für SNA LU6.2-Netzwerkverbindungen zu Großrechnern den IP-DLC Link Service in Verbindung mit IPsec.
Verwenden Sie verschlüsselung, die Teil der Server-zu-Server- und Client-zu-Server-Verbindungen des Hostintegrationsservers ist.
Wenn Sie eine Verbindung mit einem Großrechner DB2 für z/OS herstellen, verwenden Sie IPsec auf einem IP-DLC, und verwenden Sie auch NNS auf dem Zielsystem, um direkte Verbindungen mit DLUS- und APPN-Peerressourcen zu nutzen.
So schützen Sie unverschlüsselte Daten und Anmeldeinformationen in der Datei com.cfg:
Implementieren sie IPsec.
Stellen Sie den Hostintegrationsserver-Computer in einem isolierten Netzwerksegment bereit.
Erhöhen Sie die Sicherheitseinstellungen für das Hostkonto, das für die Sitzungssicherheit verwendet wird.
Bei Verwendung des TN3270-Servers:
Beenden Sie den TN3270-Server, und starten Sie den Server neu, wenn eine neue CRL heruntergeladen wird. Andernfalls verwenden Sie eine veraltete CRL, die unerwünschten Zugriff auf den Host ermöglichen könnte.
Server-zu-Host-Sicherheit
Die folgenden Aktionen erhöhen die Server-zu-Host-Sicherheit, insbesondere in einem APPN-Netzwerk oder UDP-Sockets für HPR/IP-Protokolldatenverkehr:
Stellen Sie Hostintegrationsserver in einem sicheren Netzwerksegment bereit, und verwenden Sie verschlüsselung, die Teil der Server-zu-Server- und Client-zu-Server-Verbindungen des Hostintegrationsservers ist.
Verwenden Sie IPsec für die IP-DLC-Verbindung.
Verwenden Sie NNS auf dem Zielsystem, um direkte Verbindungen mit DLUS- und APPN-Peerressourcen zu verwenden.
Verwenden Sie eine direkte IP-DLC Verbindung mit CS/390 (DLUS) und NNS oder eine direkte IP-DLC Verbindung mit einem Peer-APPN-Knoten.
Weitere Sicherheitsempfehlungen
Schließlich sollten Sie, wie in den folgenden Empfehlungen, jeden Zugriff auf Dateien, Verbindungen oder andere Produktkomponenten überwachen:
Platzieren Sie bei Verwendung von Transaction Integrator alle Objekte, die zu CICS oder IMS wechseln, in einer Remoteumgebung, für die einmaliges Anmelden für Unternehmen erforderlich ist.
Achten Sie auf Ihre Zugriffssteuerungsliste (Access Control List, ACL). Obwohl es möglich ist, Hostintegrationsserver zu installieren und eine vorherige ACL zu erben, sollten Sie vorhandene ACLs entfernen und durch neue ersetzen.
Speichern Sie Druckerdefinitionstabellen (PDTs) und Druckerdefinitionsdateien (Printer Definition Files, PDFs) an einem sicheren Speicherort, um zu verhindern, dass sie durch eine nicht autorisierte Datei ersetzt werden.
Da Ablaufverfolgungsdateien möglicherweise nicht verschlüsselte Daten enthalten können, speichern Sie sie immer an einem sicheren Speicherort, und löschen Sie sie, sobald die Ablaufverfolgungsanalyse abgeschlossen ist.
Minimieren Sie unerwünschten Zugriff auf den Resync-Dienst, indem Sie ihn auf demselben Computer wie die Anwendung ausführen, die es verwaltet.
Aktivieren Sie LUA Security für TN3270-Zugriff auf den Host, und fügen Sie dann das Dienstkonto dem Ordner "Konfigurierte Benutzer" hinzu. Dies bietet unter anderem Verschlüsselung, wenn der TN3270-Dienst LUs auf einem anderen Server verwendet.
Aktivieren Sie LUA Security für TN5250-Zugriff auf den Host. Dies erhöht die Sicherheit, indem eine explizite Zuweisung von LUs zu Benutzerdatensätzen erforderlich ist.
Wenn Sie die dem TN3270-Server zugeordnete Druckfunktion verwenden, konfigurieren Sie die Anzeige und den Drucker neu, um denselben Port zu verwenden. Dies ist erforderlich, da diese beiden Elemente separat konfiguriert sind, sie häufig versehentlich auf verschiedene Ports und anschließend unterschiedliche Sicherheitseinstellungen konfiguriert werden.
Verwenden Sie IPsec immer bei Verwendung der TN3270- oder TN5250-Server. Obwohl Daten zwischen Client und Server ohne IPsec sicher sind, können dieselben Daten zwischen dem Server und dem Host anfällig werden. Die Verwendung von IPsec reduziert die Angriffsfläche, stellt die Datenverschlüsselung sicher und stellt nur autorisierten Benutzern Zugriff zur Verfügung.