Sicherheitstipps und -anleitungen – HIS
Die informationen in den folgenden Abschnitten enthalten Details zum Schutz Ihrer Host Integration Server-Umgebung, einschließlich Enterprise Single Sign-On.
Informationen zum einmaligen Anmelden finden Sie unter Enterprise Single Sign-On Basics.
SQL Server
Wenn Sie auf eine SQL Server-Datenbank zugreifen:
Verwenden Sie nur die integrierte Windows-Sicherheit, und beschränken Sie den Zugriff nur auf privilegierte Windows-Konten.
Verwenden Sie nur Host Integration Server-Sicherheitsgruppen, die mit dem Host Integration Server-Konfigurations-Assistenten erstellt wurden.
Allgemeine Überlegungen
Zusätzlich zu den allgemeinen Richtlinien an anderer Stelle in diesem Abschnitt können Die folgenden spezifischen Empfehlungen Ihnen helfen, die Sicherheit Ihrer Host Integration Server-Bereitstellung zu erhöhen. Da alle diese Aktionen während der Bereitstellung oder Konfiguration ausgeführt werden, befinden sich die Verfahren in den entsprechenden Abschnitten dieser Dokumentation. Während diese Empfehlungen für das gesamte Produkt gelten, enthält der Abschnitt Transaction Integrator Threat Mitigation auch Informationen speziell für TI-Benutzer.
Wenn Sie eine Verbindung über das SNA-Protokoll herstellen:
Wenn Sie eine Verbindung mit einem Upstream Host Integration Server-Computer herstellen, verwenden Sie die Client-/Serververschlüsselung.
Suchen Sie Upstream Host Integration Server-Computer innerhalb des Rechenzentrums mithilfe von sicheren Tokenring-, Ethernet-, Bus- und Tagkanal- oder ESCON-Glasfaserkanalanlagen.
Wenn Sie eine Verbindung über das TCP/IP-Protokoll herstellen:
Verwenden Sie Upstream Windows-Softwareroutercomputer oder Hardwarerouter, um den TCP/IP-Datenverkehr zu verschlüsseln.
Suchen Sie den Upstream Router innerhalb des Rechenzentrums, indem Sie entweder sichere Token ring- oder Ethernet-Verbindungen mit dem Host verwenden.
Verwenden Sie beim Verbinden eines SNA LU6.2-Netzwerks mit einem Mainframe oder IBM i mit dem Host Integration Server-Computer, der als SNA-Gateway zu einem nachgeschalteten Host Integration Server-Computer bereitgestellt wird, die Server-zu-Server-Datenverschlüsselung von Host Integration Server.
Verwenden Sie für SNA LU6.2-Netzwerkverbindungen mit Mainframe den IP-DLC-Linkdienst in Verbindung mit IPsec.
Verwenden Sie die Verschlüsselung, die Teil der Server-zu-Server- und Client-zu-Server-Verbindungen von Host Integration Server ist.
Wenn Sie eine Verbindung mit einer Mainframe-DB2 für z/OS herstellen, verwenden Sie IPsec für einen IP-DLC und auch NNS auf dem Zielsystem, um direkte Verbindungen mit DLUS- und APPN-Peerressourcen zu nutzen.
So schützen Sie unverschlüsselte Daten und Anmeldeinformationen in der Datei com.cfg:
Implementieren sie IPsec.
Stellen Sie den Host Integration Server-Computer in einem isolierten Netzwerksegment bereit.
Erhöhen Sie die Sicherheitseinstellungen für das Hostkonto, das für die Sitzungssicherheit verwendet wird.
Bei Verwendung des TN3270-Servers:
Beenden Sie den TN3270-Server, und starten Sie ihn neu, wenn eine neue Zertifikatsperrliste heruntergeladen wird. Andernfalls verwenden Sie eine veraltete Zertifikatsperrliste, die unerwünschten Zugriff auf den Host ermöglichen könnte.
Server-zu-Host-Sicherheit
Die folgenden Aktionen erhöhen die Server-zu-Host-Sicherheit, insbesondere in einem APPN-Netzwerk oder UDP-Sockets für HPR/IP-Protokolldatenverkehr:
Stellen Sie Host Integration Server in einem sicheren Netzwerksegment bereit, und verwenden Sie die Verschlüsselung, die Teil der Server-zu-Server- und Client-zu-Server-Verbindungen von Host Integration Server ist.
Verwenden Sie IPsec für die IP-DLC-Verbindung.
Verwenden Sie NNS auf dem Zielsystem, um direkte Verbindungen mit DLUS- und APPN-Peerressourcen zu nutzen.
Verwenden Sie eine direkte IP-DLC-Verbindung mit CS/390 (DLUS) und NNS oder eine direkte IP-DLC-Verbindung mit einem Peer-APPN-Knoten.
Zusätzliche Sicherheitsempfehlungen
Achten Sie schließlich wie in den folgenden Empfehlungen auf den Zugriff auf jede Datei, Verbindung oder andere Produktkomponente:
Wenn Sie Transaction Integrator verwenden, platzieren Sie alle Objekte, die zu CICS oder IMS wechseln, in einer Remoteumgebung, die einmaliges Anmelden für Enterprise erfordert.
Seien Sie bei Ihrer Zugriffssteuerungsliste (Access Control List, ACL) wachsam. Obwohl es möglich ist, Host Integration Server zu installieren und eine vorherige ACL zu erben, sollten Sie alle vorhandenen ACLs entfernen und durch neue ersetzen.
Speichern Sie Druckerdefinitionstabellen (PDTs) und Druckerdefinitionsdateien (PDFs) an einem sicheren Speicherort, um zu verhindern, dass sie durch eine nicht autorisierte Datei ersetzt werden.
Da Ablaufverfolgungsdateien nicht verschlüsselte Daten enthalten können, speichern Sie sie immer an einem sicheren Speicherort, und löschen Sie sie, sobald die Ablaufverfolgungsanalyse abgeschlossen ist.
Minimieren Sie den unerwünschten Zugriff auf den Resync-Dienst, indem Sie ihn auf demselben Computer wie die Von ihr verwaltete Anwendung ausführen.
Aktivieren Sie LUA Security für den TN3270-Zugriff auf den Host, und fügen Sie dann das Dienstkonto dem Ordner Konfigurierte Benutzer hinzu. Dies ermöglicht unter anderem die Verschlüsselung, wenn der TN3270-Dienst LUs auf einem anderen Server verwendet.
Aktivieren Sie LUA Security für den TN5250-Zugriff auf den Host. Dies erhöht die Sicherheit, indem eine explizite Zuweisung von LUs zu Benutzerdatensätzen erforderlich ist.
Wenn Sie die Druckfunktion verwenden, die dem TN3270-Server zugeordnet ist, konfigurieren Sie die Anzeige und den Drucker neu, um denselben Port zu verwenden. Dies ist erforderlich, da diese beiden Elemente getrennt konfiguriert werden, oft versehentlich für unterschiedliche Ports und anschließend für unterschiedliche Sicherheitseinstellungen konfiguriert werden.
Verwenden Sie bei Verwendung der TN3270- oder TN5250-Server immer IPsec. Obwohl Daten zwischen Client und Server ohne IPsec sicher sein können, können dieselben Daten zwischen dem Server und dem Host anfällig werden. Die Verwendung von IPsec reduziert die Angriffsfläche, stellt die Datenverschlüsselung sicher und macht den Zugriff nur für autorisierte Benutzer verfügbar.