Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describen los estándares admitidos para la protección de DB2.
Estándares de cifrado para DB2
En la tabla siguiente se describen los estándares de cifrado admitidos para DB2.
| Encryption | Autenticación | Datos |
|---|---|---|
| Kerberos | Sí | No |
| Secure Sockets Layer (SSL) V3 | Sí | Sí |
| Seguridad de la capa de transporte (TLS) V1 | Sí | Sí |
| Estándar de cifrado avanzado (AES) | Sí | No |
Configuración de protección
El proveedor de datos concede la ejecución en el paquete DB2 al grupo público de DB2
Al crear paquetes DB2, la herramienta de acceso a datos y el proveedor de datos establecen los permisos de ejecución en paquetes DB2 en PUBLIC, que incluye a todos los usuarios de DB2. Para aumentar la seguridad en el servidor DB2, se recomienda revocar los permisos de ejecución a PUBLIC en estos paquetes y conceder permisos de ejecución solo a usuarios o grupos de DB2 seleccionados.
Data Tools almacena las credenciales de autenticación en texto plano en el archivo Vínculo de Datos Universal (UDL)
El Asistente para orígenes de datos y los vínculos de datos almacenan las credenciales de autenticación (nombre de usuario y contraseña) en texto sin formato en el archivo Universal Data Link (UDL) o cadena de conexión (TXT). Se recomienda configurar el proveedor de datos para que use Enterprise Single Sign-On (ESSO), que almacena de forma segura las asignaciones de cuentas de Windows Active Directory a las credenciales de IBM DB2. El proveedor de datos recupera estas asignaciones en tiempo de ejecución para autenticar de forma segura a los usuarios de Windows en servidores remotos de bases de datos IBM DB2. Debe ejecutar el Proveedor de Datos en el mismo proceso con el Consumidor de Datos y las Herramientas de Datos.
El proveedor de datos se conecta mediante texto sin cifrar, utilizando nombre de usuario y contraseña.
El proveedor de datos se conecta a equipos de servidor DB2 remotos a través de una red TCP/IP o SNA mediante la autenticación básica, donde el nombre de usuario y la contraseña no están cifrados y se envían en texto sin formato. Se recomienda configurar el proveedor de datos para que use el cifrado de autenticación mediante Kerberos, Capa de sockets seguros (SSL) V3.0 o Seguridad de la capa de transporte (TLS) V1.0 o cifrado de autenticación mediante AES.
El proveedor de datos envía y recibe datos sin cifrar
El proveedor de datos envía y recibe datos sin cifrar. Se recomienda configurar el proveedor de datos para que use el cifrado de datos mediante Secure Sockets Layer (SSL) V3.0 o Seguridad de la capa de transporte (TLS) V1.0.
Los consumidores de datos y las herramientas de datos leen y escriben archivos de conexión hacia y desde carpetas no seguras
Los consumidores de datos y las herramientas de datos pueden leer y escribir archivos de conexión en carpetas no seguras y desde ellas. Debe almacenar archivos de vínculo de datos universales (UDL) en host Integration Server\Data Sources o en un directorio de programa y, a continuación, proteger la carpeta con derechos de administrador local. Debe conservar la información de conexión en los almacenes seguros de los consumidores de datos y las herramientas de datos y, a continuación, ejecutar el proveedor de datos dentro del mismo proceso con el consumidor de datos y las herramientas de datos.
Los consumidores de datos y las herramientas de datos pueden solicitar conexiones con propiedades no válidas
Los consumidores de datos y las herramientas de datos pueden solicitar conexiones con valores de propiedad de conexión no válidos. Debe usar los Data Consumers que crean conexiones mediante los objetos de conexión del Data Provider en lugar de pasar pares de nombre y valor de argumentos de cadena de conexión no verificados. Debe establecer un valor de tiempo de espera de conexión para cancelar los intentos de conexión no válidos.
Los consumidores de datos y las herramientas de datos pueden solicitar comandos con datos no válidos
Los consumidores de datos y las herramientas de datos pueden solicitar comandos con datos no válidos. Debe usar los consumidores de datos que crean comandos mediante el comando Proveedor de datos con objetos de parámetro, para validar los tipos de parámetros, en lugar de pasar cadenas de comandos no comprobadas con valores de datos en línea. Debe establecer un valor de tiempo de espera de comando para cancelar los intentos de comando no válidos. Debe usar la unidad de trabajo distribuida (DUW) de DRDA, en lugar de la unidad de trabajo remota (RUW), para proteger los consumidores de datos mediante transacciones de confirmación en dos fases.