2 安全安裝

本章概述安全安裝的規劃程序，並描述數種建議的系統部署拓樸。

瞭解您的環境

為了更進一步瞭解安全需求，請考量下列問題：

需要保護哪些資源？

您可以保護生產環境中的許多資源。請考量要保護的資源類型，然後決定提供的安全層級。

使用 DIVAnet 時，您必須保護下列資源：

DIVAnet 伺服器

DIVAnet 安裝在附加至一或多個磁碟 (可能是直接連接至 DIVAnet 系統的本機或遠端磁碟) 的伺服器上。單獨存取這些磁碟 (不是透過 DIVAnet) 會造成安全風險。這類外部存取可能是來自讀取或寫入這些磁碟的有問題系統，或是來自意外提供對這些磁碟裝置存取功能的內部系統。

資料庫

DIVAnet 系統是使用資料庫軟體和資料資源所建立。資料通常位於連接到 DIVAnet 系統的本機或遠端磁碟上。單獨存取這些磁碟 (不是透過 DIVAnet) 會造成安全風險。這類外部存取可能是來自讀取或寫入這些磁碟的有問題系統，或是來自意外提供對這些磁碟裝置存取功能的內部系統。

DIVArchive 來源、目的地和存檔媒體

DIVAnet 在滿足其要求的過程中會使用 DIVArchive 來源和目的地以及 DIVA 存檔系統 (磁碟或磁帶)。未經授權單獨存取這些伺服器磁碟和系統媒介 (這些通常是由 DIVArchive 系統控制) 會有安全風險。作為 DIVAnet 複製作業之暫時資料存放區的 Source/Destinations (來源/目的地) 應該限制存取，而且您應該考量將這些 Source/Destinations (來源/目的地) 單獨專用於 DIVAnet 作業，同時還要確保透過信任的網路進行加密或起始傳輸。

組態檔和設定值

DIVAnet 系統組態設定值必須受到保護，避免受到作業系統層次的非管理員使用者存取。一般而言，這些設定值會自動受到作業系統層次的管理使用者所保護。讓非管理作業系統使用者可寫入組態檔會造成安全風險。

必須防止哪些人存取資源？

一般而言，前節所述的資源必須受到保護，以防止被設定系統上的任何非管理員使用者存取，也要防止透過 WAN 或 FC 光纖來取這些資源的其他外部系統所存取。

策略性資源的保護萬一失敗將發生什麼情況？

如果保護策略資源失敗，可能會導致不適當的存取 (亦即正常 DIVAdirector 作業以外的存取資料) 甚至資料損毀 (錯誤地刪除資產，或者以正常權限以外的方式寫入磁碟或磁帶)。

建議的部署技術

本節描述安全基礎架構元件的安裝與組態。

如需安裝 DIVAnet 的相關資訊，請參閱「DIVAnet 2.0 文件庫」中的 Oracle DIVAnet Guide，網址為：

https://docs.oracle.com/en/storage/#csm

安裝和設定 DIVAnet 時，請考量以下各點。

DIVAnet 安裝

您應該只安裝需要的 DIVAnet 元件。例如，如果您計畫只從系統執行 DIVAnetUI，請於安裝期間在要安裝的元件清單中取消選取 DIVAnet Services (DIVAnet 服務)。安裝之後若要變更預設的 DIVAnet 安裝目錄權限和擁有者，必須考量變更所帶來的安全影響。

連線到 DIVArchive

Oracle 建議您在 DIVArchive Manager 系統上安裝 ManagerAdapter 元件，以提升系統安全性。如果不需要外部存取 DIVArchive Manager 連接埠，建議您使用防火牆軟體封鎖連接埠。此外，一般而言，允許外部網路存取 DIVAnet DbSync WebService (DIVAnet DbSync Web 服務) 連接埠並非必要。

如果您透過 WAN 連線到遠端 DIVArchive 執行處理，請確定是透過信任的網路進行連線。此外，連線到網站時，請考量使用 SSL/TLS 來連線到遠端網站的 ManagerAdapter 連接埠。

保護磁碟系統

使用「FC 分區」拒絕來自不需要存取透過「光纖通道」連線之 DIVAnet 磁碟的任何伺服器，讓這些伺服器無法存取 DIVAnet 磁碟。最好使用不同的 FC 交換器，而且實際上只連線到需要存取的伺服器。

SAN RAID 磁碟通常可以透過 TCP/IP 或更典型的 HTTP 來存取，以進行管理。您必須透過限制只有在信任網域內的系統才能夠對 SAN RAID 磁碟進行管理存取，來防止磁碟受到外部存取。此外，請變更磁碟陣列上的預設密碼。

安裝後組態

安裝 DIVAnet 的任何部分之後，請完成附錄 A 安全部署檢查清單中的「安全檢查清單」。