Para evitar possíveis ameaças de segurança, os clientes que utilizam o DIVAnet deverão estar muito atentos a questões de autenticação e autorização do sistema.
Essas ameaças de segurança podem ser minimizadas pela configuração adequada e pela utilização da lista de verificação pós-instalação contida no documento Apêndice A.
As funcionalidades de segurança críticas que fornecem proteção contra ameaças de segurança são:
Autenticação - Permite que apenas indivíduos autorizados tenham acesso ao sistema e aos dados.
Autorização - Controle de acesso a privilégios e dados do sistema. Esta funcionalidade se baseia na autenticação para garantir que os indivíduos obtenham apenas o acesso adequado.
Os serviços do DIVAnet podem executar a autenticação usando diversos métodos:
Certificados SSL / TLS - O DIVAnet consulta uma área de armazenamento confiável quando cria uma conexão de saída com um serviço DIVAnet remoto. Isso ajuda a garantir que o DIVAnet está sendo conectado com serviços genuínos do DIVAnet. Para criar uma conexão segura entre o ClientAdapter do DIVAnet e uma instância do DIVArchive, você deverá estabelecer a conexão por meio do ManagerAdapter usando um ConnectionType identificado como WebServices.
Regras de Acesso - Apesar de serem tecnicamente uma forma de controle de acesso, as regras de acesso podem filtrar as conexões de entrada com base no endereço IP de entrada. Esta funcionalidade é necessária para ajudar a assegurar que apenas os sistemas aprovados tenham o acesso apropriado a serviços do DIVAnet.
ADVERTÊNCIA:
Os serviços do DIVAnet utilizam senhas de banco de dados como parte de sua configuração. As senhas deverão ser imediatamente alteradas após a instalação e, após isso, a cada 180 dias (no mínimo). Após a alteração ter sido feita, você deverá armazenar as senhas em um local seguro, off-line, onde estarão disponíveis para o Oracle Support, se necessário.
É possível criar regras de acesso para limitar as operações que determinados usuários ou sistemas poderão executar no sistema de arquivamento distribuído. As regras de acesso podem ser executadas das seguintes maneiras:
Modo ClientAdapter /MultiDiva - Restringe os tipos de solicitações do DIVAnet que podem ser executadas.
ManagerAdapter - Restringe os tipos de solicitações do DIVArchive que podem ser executadas para satisfazer uma solicitação do DIVAnet (possivelmente feita por um sistema remoto).
As regras de acesso podem afetar solicitações iniciadas no DIVAnetUI ou em uma conexão de soquete da API (possivelmente iniciada por um sistema MAM ou um sistema de automação).
Uma solicitação do DIVAnet pode ter regras de acesso executadas no nível do DIVAnet ou no nível do DIVArchive. No nível do DIVAnet, o ClientAdapter processa a solicitação em que a requisição foi recebida. No nível do DIVArchive, um ManagerAdapter remoto processa solicitações do DIVArchive emitidas para satisfazer a solicitação do DIVAnet.
A Oracle recomenda que você crie regras mais restritivas que atendam às necessidades do seu aplicativo. Por exemplo, se apenas administradores precisarem executar exclusões globais, certifique-se de que outras pessoas tenha o acesso negado a essa funcionalidade. Se um grupo de usuários do sistema exigir acesso apenas a uma lista finita de Origens e Destinos, certifique-se de que esses usuários possam emitir somente solicitações para Origens e Destinos específicos.
Também considerem os ambientes usados para satisfazer solicitações. Por exemplo, se os usuários do ambiente local não tiverem motivo para fazer cópias onde os ambientes de origem de destino e os ambientes de destino não estejam no ambiente local (isso é possível por meio da utilização do DIVAnet), defina essas regras na configuração do ClientAdapter.
Por fim, considere construtos específicos nas solicitações que deseja excluir indistintamente. Por exemplo, se não for necessário incluir objetos que tenham somente o Nome do Objeto (sem a categoria), exclua todas as solicitações com categorias em branco.
Além disso, cada ClientAdapter WorkflowProfile contém a lista de mensagens válidas que podem ser processadas por solicitações designadas ao WorkflowProfile. No Modo MultiDiva, esse recurso fornece uma forma de excluir mensagens específicas do processamento (incluindo mensagens informativas).
A Oracle recomenda começar com as regras padrão definidas no arquivo AccessRules.xml.ini, mesmo que não defina as suas próprias regras de acesso. Para obter mais informações sobre as funcionalidades de Controle de Acesso do DIVAnet, consulte o manual Oracle DIVAnet Installation, Configuration, and Operations Guide em:
SSL/TLSO DIVAnet contém dados de certificado em dois lugares: uma área de armazenamento de chaves privadas, usada para Web services hospedados no sistema local e uma área de armazenamento de chaves públicas, usada para verificar Web services chamados remotamente. Você pode usar o Utilitário Java Keytool para alterar a senha da área de armazenamento de chaves e adicionar ou excluir certificados.
Consulte os seguintes itens para obter mais informações sobe a criação de áreas de armazenamento de chaves:
http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore
Somente as conexões de Web services do DIVAnet utilizam SSL/TLS. Nesta release, a conexão com o DIVArchive ou o DIVAnet por meio de um soquete de API do DIVArchive não utilizará SSL/TLS.
Os dados de certificado de chave privada do DIVAnet são armazenados em:
$DIVANET_HOME/Program/divanet/lib/diva129.jks
Exatamente um certificado deverá ser exibido nesta área de armazenamento de chaves. Este certificado é usado para Web services hospedados por serviços executados neste diretório $DIVANET_HOME. Recomendamos substituir o certificado enviado por um novo certificado e usar um certificado específico para cada ambiente DIVAnet na sua rede.
Você deverá alterar a senha desta área de armazenamento de chaves. Armazene as informações da senha em um novo arquivo chamado $DIVANET_HOME/Program/divanet/lib/diva129.properties e torne esse arquivo legível para serviços DIVAnet (no Linux esse usuário é divanetsvc), mas não legível para usuários eventuais do sistema (por exemplo, o usuário diva no Linux). Use o seguinte formato para o arquivo:
keystorePassword=newpassword
Às vezes chamados de armazenamento confiável, esses dados ficam localizados em:
$DIVANET_HOME/Java/lib/security/cacerts2
Estes dados de certificado são usados em chamadas de saída de Web services (incluindo o DIVAnetUI). É possível carregar várias chaves públicas nesta área de armazenamento de chaves.
Se você tiver adicionado um novo certificado autoassinado à área de armazenamento de chaves privadas do DIVAnet, exporte o certificado usando o utilitário keytool. Todos os aplicativos (serviços DIVAnet, DIVAnetUI etc.) que chamam WebServices neste ambiente deverão adicionar o certificado exportado à sua própria área de armazenamento de chaves públicas.