En este capítulo, se describe el proceso de planificación para una instalación segura y se describen viarias topologías de implementación recomendadas para los sistemas.
Para comprender mejor las necesidades de seguridad, debe hacerse las siguientes preguntas:
Puede proteger muchos de los recursos en el entorno de producción. Tenga en cuenta el tipo de recursos que desea proteger cuando determine el nivel de seguridad que va a proporcionar.
Al usar DIVAnet, debe proteger los siguientes recursos:
DIVAnet se instala es un servidor conectado a uno o más discos (ya sea un disco local o remoto conectado directamente al sistema DIVAnet). El acceso independiente a estos discos (no por medio de DIVAnet) presenta un riesgo de seguridad. Este tipo de acceso externo podría ser desde un sistema no fiable que lee estos discos o escribe en ellos, o desde un sistema interno que accidentalmente proporciona acceso a estos dispositivos de disco.
Se utilizan software de base de datos y recursos de datos para crear sistemas DIVAnet. Los datos, normalmente, se encuentran en discos locales o remotos conectados a los sistemas DIVAnet. El acceso independiente a estos discos (no por medio de DIVAnet) presenta un riesgo de seguridad. Este tipo de acceso externo podría ser desde un sistema no fiable que lee estos discos o escribe en ellos, o desde un sistema interno que accidentalmente proporciona acceso a estos dispositivos de disco.
DIVAnet utiliza orígenes y destino de DIVArchive, además de sistemas de archivos DIVA (disco o cinta) mientras responde a sus solicitudes. El acceso independiente injustificado a estos discos de servidor y medio del sistema, que suelen ser controlados por los sistemas DIVArchive, constituye un riesgo de seguridad. Los orígenes/destinos que se utilizan como almacenes de datos temporales para operaciones de copia de DIVAnet deben tener acceso restringido, y usted debe considerar la posibilidad de dedicar estos orígenes/destinos únicamente a las operaciones de DIVAnet y de asegurarse que las transferencias estén cifradas o se inicien en una red de confianza.
Los valores de configuración de los sistemas DIVAnet deben estar protegidos de usuarios que no sean administradores en el nivel del sistema operativo. En general, estos valores de configuración están protegidos automáticamente por usuarios administradores en el nivel del sistema operativo. Si habilita la opción de escritura de los archivos de configuración para usuarios del sistema operativo que no sean administradores, se genera un riesgo para la seguridad.
En general, los recursos descritos en la sección anterior deben estar protegidos del acceso de todos los usuarios que no sean administradores en un sistema configurado, o de sistemas externos no fiables que puedan acceder a estos recursos por medio de tejido de FC o WAN.
Los fallos de protección de recursos estratégicos pueden incluir desde el acceso inadecuado (acceso a datos más allá de las operaciones normales de DIVAdirector) hasta daños en los datos (supresión errónea de archivos, o escritura en el disco o la cinta más allá de los permisos normales).
En esta sección, se describen la instalación y la configuración de un componente de infraestructura segura.
Para obtener información acerca de la instalación de DIVAnet, consulte la Guía de instalación, configuración y operaciones de Oracle DIVAnet en la biblioteca de Documentación de DIVAnet 2.1, disponible en:
https://docs.oracle.com/en/storage/#csm
Tenga en cuenta los siguientes puntos cuando instale y configure DIVAnet.
Debe instalar solo los componentes de DIVAnet que necesita. Por ejemplo, si planifica ejecutar solamente DIVAnetUI desde una computadora cliente, anule la selección de DIVAnet Services (Servicios de DIVAnet) de la lista de componentes que se deben instalar durante la instalación. Los permisos y los propietarios del directorio de instalación por defecto de DIVAnet no se deben cambiar después de la instalación sin tener en cuenta las consecuencias para la seguridad que puedan tener estos cambios.
Oracle recomienda la instalación del componente ManagerAdapter en el sistema DIVArchive Manager para una mayor seguridad del sistema. Si no se requiere acceso externo al puerto de DIVArchive Manager, se recomienda bloquear el puerto con software de firewall. Además, a menudo no será necesario permitir el acceso de redes externas al puerto del DIVAnet DbSync WebService (Servicio web DbSync de DIVAnet).
Si se conecta a una instancia remota de DIVArchive mediante una WAN, asegúrese de conectarse por medio de una red de confianza. También considere la posibilidad de conectarse al sitio mediante SSL/TLS al puerto ManagerAdapter del sitio remoto.
Utilice las zonas de canal de fibra para denegar el acceso a los discos de DIVAnet conectados mediante canal de fibra desde cualquier servidor que no requiera acceso a los discos. Preferiblemente, utilice un switch de FC separado para conectar físicamente solo los servidores que necesitan acceso al disco.
Por lo general, se puede acceder a los discos SAN RAID por motivos administrativos mediante TCP/IP o, con mayor frecuencia, mediante HTTP. Debe proteger los discos de acceso externo; para esto, limite el acceso administrativo a los discos SAN RAID solo a sistemas que se encuentran dentro de un dominio de confianza. Además, cambie la contraseña por defecto en las matrices de disco.
Después de instalar cualquier parte de DIVAnet, revise la lista de comprobación de seguridad en el Apéndice A.