Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le informazioni contenute nelle sezioni seguenti illustrano in dettaglio la protezione dell'ambiente Host Integration Server, incluso Enterprise Single Sign-On.
Per informazioni su Single Sign-On, vedere Enterprise Single Sign-On Basics.For information about Single Sign-On, see Enterprise Single Sign-On Basics.
SQL Server
Quando si accede a un database di SQL Server:
Usare solo la sicurezza integrata di Windows e limitare l'accesso solo agli account Di Windows con privilegi.
Usare solo i gruppi di sicurezza Host Integration Server creati con la Configurazione guidata Host Integration Server.
Considerazioni generali
Oltre alle linee guida generali in questa sezione, le raccomandazioni specifiche seguenti consentono di aumentare la sicurezza della distribuzione di Host Integration Server. Poiché tutte queste azioni vengono eseguite durante la distribuzione o la configurazione, le procedure si trovano nelle sezioni appropriate di questa documentazione. Mentre queste raccomandazioni si applicano all'intero prodotto, la sezione Transaction Integrator - Mitigazione delle Minacce offre anche informazioni specifiche per gli utenti TI.
Quando ci si connette tramite il protocollo SNA:
Quando ci si connette a un computer Host Integration Server upstream, usare la crittografia client/server.
Individuare i computer upstream host Integration Server all'interno del data center usando gli allegati secure Token Ring, Ethernet, Bus e Tag Channel o ESCON Fiber Channel.
Quando ci si connette tramite il protocollo TCP/IP:
Usare i computer router software Windows upstream o i router hardware per crittografare il traffico TCP/IP.
Individuare all'interno del data center il router upstream usando connessioni Token Ring sicure o Ethernet con l'host.
Quando si connette una rete SNA LU6.2 a un mainframe o a IBM i, con il computer Host Integration Server distribuito come gateway SNA a un computer Host Integration Server downstream, usare la crittografia dei dati tra server.
Per le connessioni di rete SNA LU6.2 al mainframe, usare il servizio di collegamento IP-DLC insieme a IPsec.
Usare la crittografia che fa parte delle connessioni da server a server e da client a server del Host Integration Server.
Quando ci si connette a un mainframe DB2 per z/OS, usare IPsec su un IP-DLC e usare anche NNS nel sistema di destinazione per utilizzare connessioni dirette alle risorse DLUS e APPN Peer.
Per proteggere i dati e le credenziali non crittografati nel file com.cfg:
Implementare IPsec.
Distribuire il computer Host Integration Server in un segmento di rete isolato.
Aumentare le impostazioni di sicurezza nell'account host usato per la sicurezza della sessione.
Quando si usa il server TN3270:
Arrestare e riavviare il server TN3270 ogni volta che viene scaricato un nuovo CRL. In caso contrario, si usa un CRL non aggiornato, che potrebbe consentire l'accesso indesiderato all'host.
Sicurezza da server a host
Le azioni seguenti aumentano la sicurezza da server a host, in particolare in una rete APPN o socket UDP per il traffico del protocollo HPR/IP:
Distribuire Host Integration Server in un segmento di rete sicuro e usare la crittografia che fa parte delle connessioni da server a server host e da client a server.
Usare IPsec nella connessione IP-DLC.
Utilizzare NNS sul sistema di destinazione al fine di utilizzare connessioni dirette alle risorse DLUS e APPN Peer.
Usare una connessione diretta IP-DLC a CS/390 (DLUS) e NNS oppure una connessione IP-DLC diretta a un nodo APPN peer.
Raccomandazioni aggiuntive sulla sicurezza
Infine, come nelle raccomandazioni seguenti, prestare attenzione all'accesso a ogni file, connessione o altro componente del prodotto:
Quando si utilizza Transaction Integrator, posizionare tutti gli oggetti che passano a CICS o IMS in un ambiente remoto che richiede Enterprise Single Sign-On.
Prestare attenzione all'elenco di controllo di accesso (ACL). Sebbene sia possibile installare Host Integration Server e ereditare un ACL precedente, è necessario rimuovere gli ACL esistenti e sostituirli con quelli nuovi.
Archiviare le tabelle di definizione della stampante (PDT) e i file di definizione della stampante (PDF) in una posizione sicura per impedire la sostituzione con un file non autorizzato.
Poiché i file di traccia possono contenere dati non crittografati, archiviarli sempre in un percorso sicuro e eliminarli non appena l'analisi della traccia è stata completata.
Ridurre al minimo l'accesso indesiderato al servizio Resync eseguendolo sullo stesso computer dell'applicazione a cui fornisce servizio.
Abilitare la sicurezza LUA per l'accesso TN3270 all'host e quindi aggiungere l'account di servizio alla cartella Utenti Configurati. Tra le altre cose, fornisce la crittografia se il servizio TN3270 utilizza unità logiche su un altro server.
Abilitare la sicurezza LUA per l'accesso TN5250 all'host. Ciò aumenta la sicurezza richiedendo l'assegnazione esplicita delle LUs ai record utente.
Quando si usa la funzionalità di stampa associata al server TN3270, riconfigurare lo schermo e la stampante per usare la stessa porta. Ciò è necessario perché, poiché questi due elementi sono configurati separatamente, spesso sono configurati inavvertitamente in porte diverse e successivamente diverse impostazioni di sicurezza.
Usare sempre IPsec quando si usano i server TN3270 o TN5250. Anche se i dati potrebbero essere sicuri tra il client e il server senza IPsec, gli stessi dati potrebbero diventare vulnerabili tra il server e l'host. L'uso di IPsec riduce la superficie di attacco, garantisce la crittografia dei dati e rende disponibile l'accesso solo agli utenti autorizzati.
Più roba buona
Integrazione di rete (sicurezza)