In diesem Abschnitt werden die Schritte bei der Planung und Implementierung einer sicheren Installation und Konfiguration aufgeführt. Außerdem werden verschiedene empfohlene Deployment-Topologien für die Systeme beschrieben und wird erläutert, wie Sie eine Bandbibliothek sichern.
Damit Sie die Sicherheitsanforderungen besser verstehen, müssen die folgenden Fragen gestellt werden:
Viele Ressourcen in der Produktionsumgebung können geschützt werden. Bei der Entscheidung über die erforderliche Sicherheitsstufe berücksichtigen Sie die Ressourcen, die geschützt werden müssen.
Das Bandlaufwerk muss vor jedem Benutzer im Internet geschützt werden. Muss das Bandlaufwerk jedoch auch vor den Mitarbeitern im Intranet Ihres Unternehmens geschützt werden?
In einigen Fällen kann ein Fehler im Sicherheitsschema einfach entdeckt und nur als eine Unannehmlichkeit eingestuft werden. In anderen Fällen kann ein Fehler großen Schaden für Unternehmen oder einzelne Kunden anrichten, die das Bandlaufwerk verwenden. Wenn Sie die Sicherheitsauswirkungen jeder Ressource kennen, können Sie diese richtig schützen.
Standardmäßig verwendet das Bandlaufwerk die in der folgenden Tabelle aufgeführten Ports. Die Firewall muss so konfiguriert sein, dass der Datenverkehr diese Ports verwenden kann und dass alle nicht verwendeten Ports blockiert sind. Die Bandlaufwerke unterstützen IPv6 und IPv4.
Tabelle 2-1 Verwendete Netzwerkports
| Port | T10000A | T10000B | T10000C |
|---|---|---|---|
|
22 tcp - SSH VOP |
|||
|
22 tcp - SFTP |
|||
|
161 udp - SNMPV1 Anforderungen des Bandlaufwerk-Agents - eingehend, zustandsbehaftet |
X |
X |
X |
|
162 udp - SNMPV1 Bandlaufwerk-Traps und Benachrichtigungen zur Information - ausgehend, zustandslos für Traps, ausgehend, zustandsbehaftet für Informationen |
X |
X |
X |
|
23 tcp - TELNET |
X |
X |
X |
|
21 tcp - FTP |
X |
X |
X |
|
9842 tcp - EPT |
X |
X |
X |
|
3331 OKM - Challenge- und Root-CA-Service |
X |
X |
X |
|
3332 OKM – Enrollment. Cyber-Sicherheit ist AES256 |
X |
X |
X |
|
3334 OKM – Verschlüsselungsschlüsselaustausch. Cyber-Sicherheit ist AES256 |
X |
X |
X |
|
3335 OKM – Cluster-Discovery. Cyber-Sicherheit ist AES256 |
X |
X |
X |
VOP darf nur in Systemen installiert werden, die sich innerhalb derselben (durch Firewall) geschützten Netzwerkinfrastruktur befinden wie das Bandlaufwerk. Kundenzugriffskontrolle muss für die Systeme erzwungen werden, auf denen VOP installiert ist, um den eingeschränkten Zugriff auf das Bandlaufwerk zu gewährleisten. In Tabelle 2–1 werden die von VOP verwendeten Ports aufgeführt.
In dem folgenden VOP-Benutzerhandbuch finden Sie Anweisungen zum Starten der VOP-Installation im Web.
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop
In diesem Abschnitt werden die Änderungen an der Sicherheitskonfiguration dokumentiert, die nach der Installation vorgenommen werden müssen.
Das Passwort des benutzerdefinierten Admin-Kontos muss vom Kunden in der Site vorgenommen werden. Es gehört dem Kunden. Die Passwortsicherheit entspricht den Oracle-Standards. Eine unbegrenzte Anzahl von Passwörtern ist zur Verwendung während des Lebenszyklus des Bandlaufwerks verfügbar. Ein vergessenes Admin-Passwort kann zurückgesetzt werden. Das erste Passwort ist das Standardpasswort, das mit dem Bandlaufwerk verschickt wird.
Grundlegende Regeln zur Passwortverwaltung, wie Passwortlänge und Komplexität müssen für das Administratorpasswort angewendet werden.
Unter den Regeln für die Passwortverwaltung muss mindestens eine der folgenden Regeln beachtet werden.
Es muss eine Länge zwischen 8 und 16 Zeichen haben.
Kleinbuchstaben (a-z)
Großbuchstaben (A-Z)
Dezimalziffer (0-9)
Satzzeichen (.?;:"{}[]()!@#$%&, ...)