In diesem Abschnitt werden die Schritte bei der Planung und Implementierung einer sicheren Installation und Konfiguration aufgeführt. Außerdem werden verschiedene empfohlene Deployment-Topologien für die Systeme beschrieben und wird erläutert, wie Sie eine Bandbibliothek sichern.
Zum besseren Verständnis der Sicherheitsanforderungen müssen die folgenden Fragen gestellt werden:
Viele Ressourcen in der Produktionsumgebung können geschützt werden. Bedenken Sie, welche Ressourcen geschützt werden müssen, wenn Sie die erforderliche Sicherheitsstufe festlegen.
Das Bandlaufwerk muss vor jedem Benutzer im Internet geschützt werden. Muss das Bandlaufwerk jedoch auch vor den Mitarbeitern im Intranet Ihres Unternehmens geschützt werden?
In einigen Fällen kann ein Fehler im Sicherheitsschema einfach entdeckt und nur als eine Unannehmlichkeit eingestuft werden. In anderen Fällen kann ein Fehler großen Schaden für Unternehmen oder einzelne Kunden anrichten, die das Bandlaufwerk verwenden. Wenn Sie die Sicherheitsauswirkungen jeder Ressource kennen, können Sie diese richtig schützen.
Standardmäßig verwendet das Bandlaufwerk die in der folgenden Tabelle aufgeführten Ports. Die Firewall muss so konfiguriert sein, dass diese Ports zum Datenaustausch verwendet werden können, und dass alle nicht verwendeten Ports blockiert sind. Die Bandlaufwerke unterstützen IPv6 und IPv4.
Tabelle 2-1 Verwendete Netzwerkports
| Port | T10000D |
|---|---|
|
22 tcp - SSH VOP |
X |
|
22 tcp - SFTP |
X |
|
161 udp - SNMPV1 Anforderungen des Bandlaufwerk-Agents - eingehend, zustandsbehaftet |
X |
|
162 udp - SNMPV1 Bandlaufwerk-Traps und Benachrichtigungen zur Information - ausgehend, zustandslos für Traps, ausgehend, zustandsbehaftet für Informationen |
X |
|
23 tcp - TELNET |
|
|
21 tcp - FTP |
|
|
9842 tcp - EPT |
|
|
3331 OKM - Challenge- und Root-CA-Service |
X |
|
3332 OKM – Enrollment. Cyber-Sicherheit ist AES256 |
X |
|
3334 OKM – Verschlüsselungsschlüsselaustausch. Cyber-Sicherheit ist AES256 |
X |
|
3335 OKM – Cluster-Discovery. Cyber-Sicherheit ist AES256 |
X |
Die Ports 21 und 23 werden für T10000D-Kunden deaktiviert. Für Kunden, die Zugriff auf eine nicht sichere TELNET-Verbindung, einen nicht sicheren FTP-Server oder beides benötigen, besteht die Möglichkeit einer Konfiguration als Virtual Operator Panel (VOP).
VOP darf nur in Systemen installiert werden, die sich innerhalb derselben (durch eine Firewall) geschützten Netzwerkinfrastruktur befinden wie das Bandlaufwerk. Kundenzugriffskontrolle muss für die Systeme erzwungen werden, auf denen VOP installiert ist, um den eingeschränkten Zugriff auf das Bandlaufwerk zu gewährleisten. Informationen zu Ports, die von VOP verwendet werden, finden Sie unter Tabelle 2-1.
In dem folgenden VOP-Benutzerhandbuch finden Sie Anweisungen zum Starten der VOP-Installation im Web.
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop
In diesem Abschnitt werden die Änderungen an der Sicherheitskonfiguration dokumentiert, die nach der Installation vorgenommen werden müssen.
Das Passwort des benutzerdefinierten Admin-Kontos muss vom Kunden in der Site vorgenommen werden. Es gehört dem Kunden. Die Passwortsicherheit entspricht den Oracle-Standards. Eine unbegrenzte Anzahl von Passwörtern ist zur Verwendung während des Lebenszyklus des Bandlaufwerks verfügbar. Ein vergessenes Admin-Passwort kann zurückgesetzt werden. Das erste Passwort ist das Standardpasswort, das mit dem Bandlaufwerk verschickt wird.
Grundlegende Regeln zur Passwortverwaltung, wie Passwortlänge und Komplexität müssen für das Administratorpasswort angewendet werden.
Unter den Regeln für die Passwortverwaltung muss mindestens eine der folgenden Regeln beachtet werden.
Es muss eine Länge zwischen 8 und 16 Zeichen haben.
Kleinbuchstaben (a-z)
Großbuchstaben (A-Z)
Dezimalziffer (0-9)
Sonderzeichen (.?;:"{}[]()!@#$%&, ...)