Este capítulo destaca o processo de planejamento para uma instalação segura e descreve várias topologias de implantação recomendadas para os sistemas.
Para compreender melhor as suas necessidades de segurança, as seguintes perguntas devem ser feitas:
É possível proteger muitos dos recursos no ambiente de produção. Considere o tipo dos recursos a serem protegidos ao determinar o nível de segurança a ser oferecido.
Ao usar o DIVAnet, proteja os seguintes recursos:
O DIVAnet é instalado em um servidor ligado a um ou mais discos (um disco local ou remoto diretamente conectado com o sistema DIVAnet). O acesso independente (não realizado por meio do DIVAnet) a esses discos representa um risco de segurança. Esse tipo de acesso externo pode ser feito por meio de um sistema fraudulento que leia ou grave dados nesses discos ou por meio de um sistema interno que acidentalmente permita acesso a esses dispositivos de disco.
Recursos de dados e softwares de banco de dados são usados para construir sistemas DIVAnet. Geralmente, os dados residem nos discos locais ou remotos conectados com os DIVAnet Systems. O acesso independente (não realizado por meio do DIVAnet) a esses discos representa um risco de segurança. Esse tipo de acesso externo pode ser feito por meio de um sistema fraudulento que leia ou grave dados nesses discos ou por meio de um sistema interno que acidentalmente permita acesso a esses dispositivos de disco.
O DIVAnet utiliza Origens e Destinos do DIVArchive, além de sistemas de arquivamento DIVA (disco ou fita) no processo de satisfazer as suas solicitações. O acesso independente indevido a esses discos do servidor e à mídia do sistema, que é geralmente controlado por DIVArchive Systems, é um risco à segurança. Origens/Destinos usados como áreas temporárias de armazenamento de dados para operações de cópia do DIVAnet devem ter acesso restrito, e você deve cogitar dedicar Origens/Destinos unicamente a operações do DIVAnet - e também deverá se certificar de que as transferências sejam criptografadas ou aconteçam em uma rede confiável.
As definições de configuração do DIVAnet System devem ser protegidas em relação a usuários não administradores no nível do sistema operacional. Em geral, essas definições são protegidas automaticamente por usuários administrativos no nível do sistema operacional. Tornar os arquivos de configuração graváveis para usuários não administrativos do sistema operacional representa um risco à segurança.
Em geral, os recursos descritos na seção anterior devem ser protegidos contra todos os acessos que não sejam root ou administrativos em um sistema configurado ou contra um sistema externo fraudulento que possa acessar esses recursos por meio da malha WAN ou FC.
Falhas de proteção nos recursos estratégicos podem variar entre acesso inadequado (ou seja, acesso a dados fora das operações normais do DIVAdirector) e corrupção de dados (exclusão inapropriada de ativos ou gravação em disco ou fita fora das permissões normais).
Esta seção descreve a instalação e a configuração de um componente de uma infraestrutura segura.
Para obter informações sobre a instalação do DIVAnet, consulte o manual Oracle DIVAnet Installation, Configuration, and Operations Guide na biblioteca de Documentação do DIVAnet 2.1:
https://docs.oracle.com/en/storage/#csm
Considere os seguintes pontos ao instalar e configurar o DIVAnet.
Você deverá instalar apenas os componentes necessários do DIVAnet. Por exemplo, se você pretende utilizar somente o DIVAnetUI em um computador cliente, cancele a seleção de Serviços DIVAnet na lista de componentes a serem instalados. Os proprietários e as permissões do diretório de instalação padrão do DIVAnet não devem ser alterados após a instalação sem que sejam consideradas as implicações de segurança dessas alterações.
A Oracle recomenda que você instale o componente ManagerAdapter no DIVArchive Manager System para oferecer mais segurança ao sistema. Se for necessário acesso externo à porta do DIVArchive Manager, recomendamos bloquear a porta usando o software de firewall. Além disso, geralmente não será necessário permitir acesso externo à porta do DIVAnet DbSync WebService.
Se você estabelecer conexão com uma instância remota do DIVArchive por meio de uma WAN, certifique-se de utilizar uma rede confiável. Além disso, considere se conectar com o site usando SSL/TLS na porta ManagerAdapter do site remoto.
Utilize o Zoneamento FC para negar acesso aos discos do DIVAnet conectados por meio de Canal de Fibra em relação a qualquer servidor que não exija acesso aos discos. De preferência, use um switch FC separado para estabelecer conexão física apenas com os servidores que exigem acesso.
Em geral, os discos SAN RAID podem ser acessados para fins administrativos por meio de TCP/IP ou, com mais frequência, por HTTP. Você deve proteger os discos contra acesso externo limitando o acesso administrativo aos discos SAN RAID somente a sistemas que estejam dentro de um domínio confiável. Além disso, altere a senha padrão nos arrays de discos.
Após a instalação de qualquer parte do DIVAnet, percorra a Lista de Verificação de Segurança em Apêndice A.