In questa sezione viene descritto il processo di pianificazione e implementazione per un'installazione e una configurazione sicure, vengono illustrate diverse topologie di distribuzione consigliate per i sistemi e viene spiegato come proteggere una libreria a nastro.
Per comprendere meglio le esigenze di sicurezza, è necessario rispondere alle domande riportate di seguito.
Nell'ambiente di produzione è possibile proteggere molte risorse. Identificare le risorse da proteggere quando si stabilisce il livello di sicurezza da impostare.
L'unità nastro deve essere protetta da chiunque navighi su Internet. Stabilire tuttavia se l'unità nastro deve essere protetta anche dai dipendenti che utilizzano la rete Intranet aziendale.
In alcuni casi un errore in uno schema di sicurezza viene rilevato facilmente e considerato semplicemente un inconveniente. In altri casi un errore può causare un danno grave alle società o ai singoli clienti che utilizzano l'unità nastro. Per proteggere correttamente ogni risorsa, è necessario comprenderne le ramificazioni in termini di sicurezza.
Per impostazione predefinita, l'unità nastro utilizza le porte elencate nella tabella riportata di seguito. È necessario che il firewall sia configurato in modo da consentire al traffico di utilizzare queste porte e bloccare eventuali porte non utilizzate. Le unità nastro supportano IPv6 e IPv4.
Tabella 2-1 Porte di rete utilizzate
Porta | T10000D |
---|---|
22 tcp - SSH VOP |
X |
22 tcp - SFTP |
X |
161 udp - richieste agente unità nastro SNMPV1 - in entrata con conservazione dello stato |
X |
162 udp - notifiche informative e di interrupt unità nastro SNMPV1 - in uscita senza conservazione dello stato per interrupt, in uscita con conservazione dello stato per informazioni |
X |
23 tcp - TELNET |
|
21 tcp - FTP |
|
9842 tcp - EPT |
|
3331 OKM - servizio challenge e root CA |
X |
3332 OKM - Iscrizione. Energia cibernetica: AES256 |
X |
3334 OKM - Cambio chiave di cifratura. Energia cibernetica: AES256 |
X |
3335 OKM - Ricerca automatica cluster. Energia cibernetica: AES256 |
X |
Le porte 21 e 23 saranno disabilitate per i clienti per T10000D. Se un cliente richiede l'accesso tramite TELNET o FTP non protetto, o entrambi, è disponibile un'opzione di configurazione di VOP.
VOP deve essere installato solo nei sistemi inclusi nella stessa infrastruttura di rete protetta dell'unità nastro. Per garantire un accesso limitato all'unità nastro, applicare i controlli dell'accesso del cliente ai sistemi in cui è installato VOP. Per un elenco delle porte utilizzate da VOP, vedere Tabella 2-1.
Per istruzioni sull'installazione di VOP per l'avvio Web, consultare il manuale dell'utente riportato di seguito.
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop
In questa sezione vengono indicate le modifiche alla configurazione di sicurezza da apportare dopo l'installazione.
La password dell'account admin del cliente deve essere modificata dal cliente sul sito ed è di proprietà del cliente. La sicurezza della password è conforme agli standard Oracle. È disponibile un numero infinto di password da utilizzare durante il ciclo di vita dell'unità nastro. Se si dimentica la password dell'account admin, è possibile reimpostarla. La prima password è la password predefinita inviata con l'unità nastro.
È necessario applicare alla password dell'amministratore le regole base per la gestione delle password, come la lunghezza e la complessità della password.
Le regole di gestione delle password richiedono l'applicazione di almeno una delle regole elencate di seguito.
Deve essere composta da 8 - 16 caratteri
Deve includere caratteri minuscoli (a-z)
Deve includere caratteri maiuscoli (A-Z)
Deve includere cifre decimali (0-9)
Deve includere caratteri speciali (.?;:"{}[]()!@#$%&, ...)