2 安全安裝

本章概述安全安裝的規劃程序，並描述數種建議的系統部署拓樸。

瞭解您的環境

為了更進一步瞭解安全需求，請考量下列問題：

需要保護哪些資源？

您可以保護生產環境中的許多資源。請考量要保護的資源類型，然後決定提供的安全層級。

使用 DIVAnet 時，您必須保護下列資源：

DIVAnet 伺服器

DIVAnet 安裝在連接至一或多個磁碟 (可能是直接連接至 DIVAnet 系統的本機或遠端磁碟) 的伺服器上。單獨存取這些磁碟 (不是透過 DIVAnet) 會造成安全風險。這類外部存取可能是來自讀取或寫入這些磁碟的惡意系統，或是來自意外提供對這些磁碟裝置存取功能的內部系統。

資料庫

DIVAnet 系統是使用資料庫軟體和資料資源所建立。資料通常位於連接到 DIVAnet 系統的本機或遠端磁碟上。單獨存取這些磁碟 (不是透過 DIVAnet) 會造成安全風險。這類外部存取可能是來自讀取或寫入這些磁碟的惡意系統，或是來自意外提供對這些磁碟裝置存取功能的內部系統。

DIVArchive 來源、目的地和存檔媒體

DIVAnet 在滿足其要求的過程中會使用 DIVArchive 來源和目的地以及 DIVA 存檔系統 (磁碟或磁帶)。未經授權單獨存取這些伺服器磁碟和系統媒介 (這些通常是由 DIVArchive 系統控制) 會有安全風險。作為 DIVAnet 複製作業暫時資料存放區的 Source/Destinations (來源/目的地) 應該限制存取，而且您應該考量將這些 Source/Destinations (來源/目的地) 專供 DIVAnet 作業單獨使用，同時要確保透過信任的網路來加密或起始傳輸。

組態檔和設定值

DIVAnet 系統組態設定值必須受到保護，避免受到作業系統層次的非管理員使用者存取。一般而言，這些設定值會自動受到作業系統層次的管理使用者保護。讓非管理作業系統使用者可寫入組態檔會造成安全風險。

必須防止哪些人存取資源？

一般而言，前節所述的資源必須受到保護，以防止被設定系統上的任何非管理員使用者存取，也要防止透過 WAN 或 FC 光纖來取這些資源的其他外部系統所存取。

策略性資源的保護萬一失敗將發生什麼情況？

如果保護策略資源失敗，可能會導致不適當的存取 (亦即正常 DIVAdirector 作業以外的存取資料) 甚至資料損毀 (錯誤地刪除資產，或者以正常權限以外的方式寫入磁碟或磁帶)。

建議的部署技術

本節描述安全基礎架構元件的安裝與組態。

如需安裝 DIVAnet 的相關資訊，請參閱 DIVAnet 2.2 文件庫中的 Oracle DIVAnet Installation, Configuration, and Operations Guide，網址為：

https://docs.oracle.com/en/storage/#csm

安裝和設定 DIVAnet 時，請考量以下各點。

DIVAnet 安裝

只應安裝需要的 DIVAnet 元件。例如，如果您計畫只從用戶端電腦執行 DIVAnetUI，請於安裝期間取消選取要安裝之元件清單中的 DIVAnet Services (DIVAnet 服務) 核取方塊。安裝之後若要變更預設的 DIVAnet 安裝目錄權限和擁有者，必須考量變更所帶來的安全影響。

連線到 DIVArchive

Oracle 建議您在 DIVArchive Manager 系統上安裝 ManagerAdapter 元件，以提升系統安全性。如果不需要從外部存取 DIVArchive Manager 連接埠，建議您使用防火牆軟體封鎖連接埠。此外，通常不需要允許外部網路存取 DIVAnet DbSync WebService (DIVAnet DbSync Web 服務) 連接埠。

如果您透過 WAN 連線到遠端 DIVArchive 執行處理，請確定是透過信任的網路進行連線。此外，連線到網站時，請考量使用 SSL/TLS 來連線到遠端網站的 ManagerAdapter 連接埠。

保護磁碟系統

對於不需要存取 DIVAnet 磁碟的任何伺服器，請使用 FC 分區來拒絕讓這些伺服器透過光纖通道存取 DIVAnet 磁碟。最好使用不同的 FC 交換器，而且僅實際連接到需要存取的伺服器。

SAN RAID 磁碟通常可以透過 TCP/IP 或更典型的 HTTP 來存取，以進行管理。您必須限制只有信任網域中的系統才能對 SAN RAID 磁碟進行管理存取，保護磁碟不受外部存取。同時，變更磁碟陣列上的預設密碼。

安裝後組態

安裝 DIVAnet 的任何部分之後，請驗證附錄 A中的「安全檢查清單」。