In questo capitolo viene presentato il processo di pianificazione di un'installazione sicura e sono descritte alcune topologie di distribuzione raccomandate per i sistemi.
Per comprendere meglio le esigenze di sicurezza, è necessario rispondere alle domande riportate di seguito.
È possibile proteggere tutte le risorse presenti nell'ambiente di produzione. Considerare il tipo di risorse che si desidera proteggere quando si stabilisce il livello di sicurezza da fornire.
Quando si utilizza Oracle HSM, proteggere le seguenti risorse:
Queste risorse disco vengono utilizzate per generare il file system Oracle HSM. Sono solitamente collegate tramite Fibre Channel (FC). Un accesso indipendente a questi dischi (non tramite Oracle HSM) presenta rischi per la sicurezza poiché solitamente vengono ignorate le autorizzazioni per file e directory Oracle HSM. Questo tipo di accesso esterno potrebbe essere eseguito da un sistema non autorizzato che esegue lettura o scrittura dei dischi FC, o da un sistema interno che può accidentalmente fornire accesso non root a file dispositivo raw.
L'accesso indipendente ai nastri, solitamente in una libreria a nastro, in cui i dati del file sono scritti durante la fase di disinstallazione da un file system Oracle HSM, è un rischio per la sicurezza.
Dump file system creati da samfsdump che contengono dati e metadati. Questi dati e metadati dovrebbero essere protetti dall'accesso eseguito da utenti diversi dall'amministratore di sistema nel corso di un dump di routine o di attività di ripristino.
I client Oracle HSM richiedono l'accesso TCP/IP a MDS. Tuttavia, è necessario garantire che i client siano protetti da accesso WAN esterno.
Le impostazioni di configurazione Oracle HSM devono essere protette dall'accesso non di tipo amministratore. In generale, queste impostazioni sono protette automaticamente da Oracle HSM quando si utilizza la GUI di Manager. Tenere presente che rendere i file di configurazione modificabili da parte di utenti senza diritti di amministrazione costituisce un rischio per la sicurezza.
In generale, le risorse descritte nella sezione precedente devono essere protette da tutti gli accessi non root e non di amministratore su un sistema configurato, o da un sistema esterno non autorizzato con accesso a queste risorse mediante fabric WAN o FC.
Gli errori nella protezione delle risorse strategiche possono comprendere accesso non appropriato (accesso ai dati non conforme alle autorizzazioni dei file POSIX Oracle HSM ordinarie) e danneggiamento dei dati (scrittura su disco o nastro non conforme alle autorizzazioni ordinarie).
In questa sezione viene descritto come installare e configurare in modo sicuro un componente infrastruttura. Per informazioni sull'installazione di Oracle HSM, consultare Oracle Hierarchical Storage Manager Release 6.0 Customer Documentation Library all'indirizzo: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs.
Considerare i seguenti punti quando si installa e configura Oracle HSM:
Per connettere client Oracle HSM a server MDS, fornire una rete TCP/IP distinta e un hardware switch non connesso a una rete WAN. Poiché il traffico dei metadati è implementato mediante TCP/IP, un attacco esterno ai danni di questo traffico è teoricamente possibile. Configurando una rete di metadati separata è possibile ridurre i rischi e ottenere prestazioni migliori. È possibile ottenere prestazioni migliorate fornendo un percorso dati garantito ai metadati. Se non è possibile ottenere una rete di metadati separata, bloccare il traffico alle porte Oracle HSM dalla rete WAN esterna e da qualsiasi host non attendibile sulla rete. Consultare la sezione Limitare accesso di rete a servizi fondamentali.
Utilizzare la suddivisione in zone FC per impedire l'accesso ai dischi Oracle HSM da qualsiasi server che non necessita di accesso ai dischi. È preferibile utilizzare un Fibre Channel switch separato per eseguire il collegamento fisico solo ai server che necessitano di accesso.
In genere è possibile accedere ai dischi RAID SAN per scopi di amministrazione mediante TCP/IP o più specificatamente mediante HTTP. È necessario proteggere i dischi dagli accessi esterni limitando l'accesso per scopi amministrativi ai dischi RAID SAN ai soli sistemi con un dominio attendibile. Inoltre, modificare la password predefinita negli array del disco.
Installare innanzitutto solo i pacchetti richiesti. Ad esempio, se non è necessaria la gestione della memorizzazione gerarchica, installare solo i pacchetti QFS. I proprietari e le autorizzazioni di file e directory Oracle HSM predefiniti non devono essere modificati dopo l'installazione senza aver preso in esame le implicazioni di tali modifiche a carico della sicurezza.
Se si desidera configurare client condivisi, stabilire quali client devono avere accesso ai file system nel file hosts. Consultare la pagina manhosts.fs(4). Configurare solo gli host che necessitano di accesso allo specifico file system configurato.
Per informazioni sulla protezione avanzata del sistema operativo Oracle Solaris, consultare "Oracle Solaris 10 Security Guidelines" e "Oracle Solaris 11 Security Guidelines". Come precauzioni minime, scegliere una buona password root, installare una versione aggiornata del sistema operativo Oracle Solaris e mantenere aggiornate le patch, specialmente quelle di sicurezza.
Verificare la documentazione di Linux per informazioni sull'impostazione della protezione avanzata dei client Linux. Come precauzioni minime, scegliere una buona password root, installare una versione aggiornata del sistema operativo Linux e mantenere aggiornate le patch, specialmente quelle di sicurezza.
Evitare l'accesso esterno ai nastri Oracle HSM dall'esterno di Oracle HSM oppure limitare tale accesso solo agli amministratori. Utilizzare la suddivisione in zone FC per limitare l'accesso alle unità nastro solo a MDS (o a MDS potenziale se è configurato un MDS di backup). I client Solaris configurati per l'utilizzo dell'I/O distribuito necessiteranno dell'accesso alle unità nastro. Inoltre, limitare l'accesso al file dispositivo a nastro consentendo solo le autorizzazioni root. Accessi non autorizzati ai nastri Oracle HSM possono compromettere o distruggere i dati dell'utente.
Impostare ed eseguire backup di dati Oracle HSM mediante i comandi samfsdump o qfsdump. Limitare l'accesso ai nastri dump come raccomandato per i nastri Oracle HSM.
Per informazioni sull'installazione sicura del software SAM-Remote, consultare Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 Customer Documentation Library all'indirizzo: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Per informazioni sull'installazione sicura della GUI Manager, consultare Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 Customer Documentation Library all'indirizzo: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Dopo aver installato i pacchetti Oracle HSM, consultare la lista di controllo di sicurezza in Appendice A, Lista di controllo per la distribuzione sicura.