本章概述安全安裝的規劃程序,並描述數種建議的系統部署拓樸。
為了進一步瞭解安全需求,請考量下列問題:
您可以保護生產環境中的許多資源。請考量您想要保護的資源類型,然後決定提供的安全層級。
使用 DIVArchive 時,請保護下列資源:
建立 DIVArchive 系統會使用資料磁碟和快取磁碟資源。這些磁碟通常是連線至 DIVArchive 系統的本機或遠端磁碟。單獨存取這些磁碟 (不是透過 DIVArchive) 會造成安全風險。這類外部存取可能是來自讀取或寫入這些磁碟的惡意系統,或是來自意外提供對這些磁碟裝置存取功能的內部系統。
建立含有複雜物件的 DIVArchive 會使用資料庫磁碟、描述資料磁碟和備份磁碟資源。這些磁碟通常是連線至 DIVArchive 系統的本機或遠端磁碟。單獨存取這些磁碟 (不是透過 DIVArchive) 會造成安全風險。這類外部存取可能是來自讀取或寫入這些磁碟的惡意系統,或是來自意外提供對這些磁碟裝置存取功能的內部系統。
本節描述如何安全地安裝並設定基礎架構元件。如需安裝 DIVArchive 的相關資訊,請參閱 DIVArchive 7.4 Customer Documentation Library,網址為:
https://docs.oracle.com/en/storage/#csm
安裝和設定 DIVArchive 時,請考量以下各點:
對於 DIVArchive 服務元件相互間的連線、對描述資料資料庫的連線以及來自其用戶端的連線,請提供沒有連線至任何 WAN 的其他 TCP/IP 網路和交換器硬體。因為描述資料流量是使用 TCP/IP 來實行,理論上外部有可能會攻擊此流量。設定不同的描述資料網路可降低此風險,同時可提供更好的效能。如果區隔網路不可行,請至少拒絕來自外部 WAN 以及網路上任何不信任主機的 DIVArchive 連接埠的流量。請參閱限制對重要服務的網路存取。
對於不需要存取 DIVArchive 磁碟的任何伺服器,請使用 FC 分區來拒絕讓這些伺服器透過光纖通道存取 DIVArchive 磁碟。最好使用不同的 FC 交換器,而且僅實際連接到需要存取的伺服器。
SAN RAID 磁碟通常可以透過 TCP/IP 或更典型的 HTTP 來存取,以進行管理。您必須限制只有信任網域中的系統才能對 SAN RAID 磁碟進行管理存取,保護磁碟不受外部存取。同時,變更磁碟陣列上的預設密碼。