Esta seção destaca o processo de planejamento e implementação de uma instalação e configuração seguras, descreve várias topologias de implantação recomendadas para o sistema e explica como proteger uma biblioteca de fitas.
Para melhor compreender suas necessidades de segurança, as seguintes perguntas devem ser feitas:
Muitos recursos no ambiente de produção podem ser protegidos. Considere os recursos que necessitam de proteção ao decidir o nível de segurança que você deve fornecer.
A unidade de fita deve ser protegida de todos na Internet. Mas a unidade de fita deve ser protegida dos funcionários na intranet da empresa?
Em alguns casos, uma falha no esquema de segurança é facilmente detectada e considerada nada mais do que uma inconveniência. Em outros casos, uma falha poderia causar um grande dano às empresas ou aos clientes individuais que utilizam a unidade de fita. Compreender as ramificações de segurança de cada recurso ajudará a protegê-lo adequadamente.
Por padrão, a unidade de fita utiliza as portas listadas na tabela a seguir. O firewall deve estar configurado para permitir que o tráfego use essas portas e que qualquer porta não utilizada seja bloqueada. As unidades de fita suportam IPv6 e IPv4.
Tabela 2-1 Portas de rede usadas
| Porta | T10000C |
|---|---|
|
22 tcp - SSH VOP |
X |
|
22 tcp - SFTP |
X |
|
161 udp - Solicitações do agente da Unidade de Fita SNMPV1 - com monitoramento do estado de entrada |
X |
|
162 udp - Unidade de Fita SNMPV1 intercepta e informa notificações - sem monitoramento do estado de saída para traps, com monitoramento do estado de saída para informações |
X |
|
23 tcp - TELNET |
|
|
21 tcp - FTP |
|
|
9842 tcp - EPT |
|
|
3331 OKM - desafio e serviço da Root CA |
X |
|
3332 OKM – Inscrição. Cyber strength é AES256 |
X |
|
3334 OKM – Troca de chaves de criptografia. Cyber strength é AES256 |
X |
|
3335 OKM – Descoberta de cluster. Cyber strength é AES256 |
X |
Nossos clientes terão as portas 21 e 23 desabilitadas para T10000C. Se um cliente solicitar acesso a um TELNET não seguro ou FTP não seguro, ou ambos, uma opção de configuração do VOP estará disponível.
O VOP só deve ser instalado em sistemas que estão na mesma infraestrutura de rede protegida que a unidade de fita. Os controles de acesso do cliente devem ser reforçados nos sistemas onde o VOP está instalado para garantir acesso restrito à unidade de fita. Consulte Tabela 2-1 para saber as portas usadas pelo VOP.
Consulte o guia do usuário do VOP a seguir para obter instruções de instalação do VOP pela Web.
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop
Esta seção mostra as alterações na configuração de segurança que devem ser efetuadas após a instalação.
A senha da conta de administração do cliente deve ser alterada pelo cliente no site e pertence ao cliente. A segurança da senha atende aos padrão da Oracle. Um número infinito de senhas está disponível para uso durante a vida útil da unidade de fita. Se a senha de administração for esquecida, ela poderá ser redefinida. A primeira senha é a senha padrão enviada com a unidade de fita.
As regras básicas de gerenciamento de senhas, como tamanho e complexidade da senha devem ser aplicadas à senha do administrador.
As regras de gerenciamento de senhas exigem pelo menos uma das regras a seguir.
Deve ter entre 8 e 16 caracteres de extensão
Letras minúsculas (a-z)
Letras maiúsculas (A-Z)
Dígito decimal (0-9)
Caracteres especiais (.?;:"{}[]()!@#$%&, ...)