En este capítulo, se describe el proceso de planificación para una instalación segura y se describen viarias topologías de implementación recomendadas para los sistemas.
Para comprender mejor las necesidades de seguridad, deben hacerse las siguientes preguntas:
Puede proteger muchos de los recursos en el entorno de producción. Tenga en cuenta el tipo de recursos que desea proteger cuando determine el nivel de seguridad que se va a proporcionar.
Cuando utilice Oracle HSM, proteja los siguientes recursos:
Estos recursos de disco se utilizan para crear sistemas de archivos de Oracle HSM. Por lo general, están conectados mediante canal de fibra (FC). El acceso independiente a estos discos (no por medio de Oracle HSM) presenta un riesgo de seguridad porque se omiten los permisos de directorio y archivo normales de Oracle HSM. Este tipo de acceso externo podría ser desde un sistema no fiable que lee o escribe los discos de FC o desde un sistema interno que accidentalmente proporciona acceso no root a los archivos del dispositivo básico.
El acceso independiente a cintas, por lo general en una biblioteca de cintas, donde se escriben los datos de archivos fuera de un sistema de archivos de Oracle HSM, es un riesgo para la seguridad.
Los volcados de sistemas de archivos que se crean desde samfsdump contienen datos y metadatos. Estos datos y metadatos deben estar protegidos a fin de evitar el acceso que no sea del administrador del sistema durante un volcado de rutina o una actividad de restauración.
Los clientes de Oracle HSM requieren acceso TCP/IP al MDS. Sin embargo, asegúrese de que los clientes estén protegidos del acceso WAN externo.
Los valores de configuración de Oracle HSM se deben proteger del acceso de usuarios que no sean administradores. En general, estos ajustes están protegidos automáticamente por Oracle HSM cuando usa la GUI de Manager. Tenga en cuenta que si habilita la opción de escritura de los archivos de configuración para usuarios que no sean el administrador, se genera un riesgo para la seguridad.
En general, los recursos descritos en la sección anterior deben estar protegidos contra el acceso de todos los usuarios que no sean root y que no sean administradores en un sistema configurado, o contra un sistema externo no fiable que pueda acceder a estos recursos por medio de WAN o tejido de canal de fibra.
Los fallos de protección de recursos estratégicos pueden incluir desde el acceso inadecuado (acceso a datos más allá de los permisos de los archivos POSIX de Oracle HSM) hasta daños en los datos (escritura en el disco o cinta más allá de los permisos normales).
En esta sección se describe cómo instalar y configurar un componente de infraestructura de manera segura. Para obtener información sobre la instalación de Oracle HSM, consulte la biblioteca de documentación del cliente de Oracle Hierarchical Storage Manager versión 6.0 en: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Tenga en cuenta los siguientes puntos cuando instale y configure Oracle HSM:
Para conectar los clientes de Oracle HSM a los servidores de MDS, proporcione una red TCP/IP separada y conmute el hardware que no esté conectado a ninguna WAN. Como el tráfico de metadatos se implementa mediante TCP/IP, un ataque externo a este tráfico es posible en teoría. Si se configura una red de metadatos separada, se mitiga este riesgo y se proporciona un rendimiento mejorado. La mejora de rendimiento se obtiene mediante un ruta de datos garantizada para los metadatos. Si no es factible proporcionar una red de metadatos separada, por lo menos deniegue el tráfico a los puertos de Oracle HSM desde la WAN externa y desde cualquier host no confiable en la red. Consulte Restrinja el acceso de red a los servicios críticos.
Use zonas de canal de fibra para denegar el acceso a los discos de Oracle HSM desde cualquier servidor que no requiera acceso a los discos. Preferiblemente, utilice un conmutador de FC separado para conectar físicamente sólo los servidores que necesitan acceso al disco.
Por lo general, puede accederse a los discos SAN RAID por motivos administrativos mediante TCP/IP o, lo que ocurre más habitualmente, mediante HTTP. Debe proteger los discos de acceso externo; para esto, limite el acceso administrativo a los discos SAN RAID sólo a sistemas dentro de un dominio de confianza. Además, cambie la contraseña predeterminada en las matrices de disco.
Primero, instale solo los paquetes que necesite. Por ejemplo, si no utilizará la gestión de almacenamiento jerárquico, instale sólo los paquetes de QFS. Los permisos de directorio y archivo y los responsables de Oracle HSM predeterminados no deberían cambiarse después de la instalación sin tener en cuenta las consecuencias de tales cambios sobre la seguridad.
Si tiene planificado configurar clientes compartidos, determine qué clientes deben tener acceso al sistema de archivos en el archivo hosts. Consulte la página del comando man hosts.fs(4). Configure sólo los hosts que requieren que se configure el acceso a un sistema de archivos particular.
Para obtener información sobre cómo reforzar el sistema operativo Oracle Solaris, consulte las Directrices de seguridad de Oracle Solaris 10 y las Directrices de seguridad de Oracle Solaris 11. Como mínimo, escoja una buena contraseña root, instale una versión actualizada del sistema operativo Oracle Solaris, y manténgase actualizado con los parches, en especial, con los parches de seguridad.
Lea la documentación de Linux sobre cómo reforzar los clientes Linux. Como mínimo, escoja una buena contraseña root, instale una versión actualizada de Linux, y manténgase actualizado con los parches, en especial, con los parches de seguridad.
Impida el acceso externo a las cintas de Oracle HSM desde afuera de Oracle HSM o limite dicho acceso solo a los administradores. Utilice zonas de canal de fibra para limitar el acceso a unidades de cinta sólo al MDS (o los posibles MDS si se configura un MDS de respaldo). Los clientes Solaris que se configuren para usar E/S distribuida necesitarán acceso a unidades de cinta. Además, limite el acceso a los archivos del dispositivo de cinta otorgando permisos sólo a usuarios root. El acceso sin autorización a cintas de Oracle HSM puede poner en peligro o destruir datos del usuario.
Defina y realice copias de seguridad de los datos de Oracle HSM mediante el comando samfsdump o el comando qfsdump. Limite el acceso a las cintas de volcado según lo recomendado para las cintas de Oracle HSM.
Para obtener información sobre la instalación del software de StorageTek SAM-Remote, consulte la biblioteca de documentación del cliente de Oracle Hierarchical Storage Manager and StorageTek QFS Software versión 6.0 en: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Para obtener información sobre la instalación segura de la GUI de Manager, consulte la biblioteca de documentación del cliente de Oracle Hierarchical Storage Manager and StorageTek QFS Software versión 6.0 en: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Después de instalar cualquiera de los paquetes de Oracle HSM, revise la lista de comprobación de seguridad en Apéndice A, Lista de comprobación de implementación segura.