Proveedores de datos para seguridad y protección de DB2

Puede usar los proveedores de datos para DB2 (proveedor de datos) para conectar aplicaciones de consumidor de datos de Windows a servidores de administración de bases de datos relacionales de IBM DB2 remotos. El proveedor de datos funciona como un cliente solicitante de aplicaciones de arquitectura distribuida de bases de datos relacionales (DRDA) que admite el protocolo DRDA y formatos compatibles con los productos de servidor IBM DB2 que funcionan como servidores de aplicaciones DRDA.

Puede usar el proveedor de datos mediante la emisión de instrucciones de lenguaje de consulta estructurado. Estas instrucciones incluyen las de lenguaje de definición de datos para la administración y las de administración de manipulación de datos para operaciones de lectura y escritura. El proveedor de datos conecta las aplicaciones cliente de Windows a las bases de datos del servidor DB2 mediante un protocolo de control de transmisión sobre una red de protocolo de Internet (TCP/IP) o enrutamiento de alto rendimiento de arquitectura de red de sistemas (SNA) mediante el protocolo de Internet (HPR/IP) que usan una o varias de las características de seguridad opcionales que se describen más adelante en este tema.

Seguridad

Cuenta de usuario

Las herramientas del proveedor de datos, Herramienta de acceso a datos y vínculos de datos, se ejecutan en el contexto de una cuenta de usuario. La cuenta de usuario debe ser miembro de los grupos locales Administradores de HIS y Usuarios en tiempo de ejecución de HIS.

Lista de control de acceso a carpetas

Cada cuenta de usuario necesita la configuración Lista de control de acceso a carpetas asociada a los grupos locales de administradores de HIS y usuarios del entorno de ejecución de HIS.

Archivos de programa\Microsoft Host Integration Server 2013
Archivos de programa\Microsoft Host Integration Server 2013\system
Archivos de programa\Microsoft Host Integration Server 2013\ SysWOW64
Archivos de programa\Microsoft Host Integration Server 2013\traces
Documentos\Host Integration Server\Orígenes de datos

Protección

El proveedor de datos concede al grupo público DB2 permisos de ejecución para los paquetes de DB2

Al crear paquetes de DB2, la Herramienta de acceso a datos y el proveedor de datos establecen en PUBLIC los permisos de ejecución de los paquetes de DB2, que incluye a todos los usuarios de DB2. Para aumentar la seguridad del servidor DB2, es recomendable revocar los permisos de ejecución en PUBLIC de dichos paquetes y conceder permisos de ejecución solamente a usuarios o grupos de DB2 seleccionados.

El asistente para orígenes de datos y los vínculos de datos almacenan las credenciales de autenticación (nombre de usuario y contraseña) como texto sin formato en el archivo de vínculo de datos universal (UDL) o en el de cadenas de conexión (TXT). Se recomienda configurar los proveedores de datos para que usen Enterprise Single Sign-On (ESSO), que almacena de forma segura asignaciones de cuentas de Windows Active Directory a credenciales de IBM DB2. Los proveedores de datos recuperan estas asignaciones en tiempo de ejecución para autenticar de forma segura a los usuarios de Windows en servidores remotos de bases de datos IBM DB2. Debe ejecutar el proveedor de datos en proceso con las herramientas de datos y el consumidor de datos.

DRDA admite un cifrado integrado débil basado en DES

DRDA admite la autenticación y el cifrado de datos integrados mediante tecnologías de Estándar de cifrado de datos (DES) débiles de 56 bits. Es recomendable configurar el proveedor de datos para que use cifrado de datos seguro mediante Capa de sockets seguros (SSL) V3.0 o Seguridad de la capa de transporte (TLS) V1.0. Para la autenticación de cifrado exclusivamente, puede usar el Estándar de cifrado avanzado (AES) para admitir el cifrado seguro de 256 bits.

El proveedor de datos se conecta mediante un nombre de usuario y una contraseña en texto sin formato y sin cifrar

El proveedor de datos se conecta a los equipos servidor de DB2 por medio de una red TCP/IP o SNA mediante la autenticación básica, en la que el nombre de usuario y la contraseña no están cifrados y se envían en texto sin formato. Es recomendable configurar el proveedor de datos para usar el cifrado de autenticación mediante Kerberos, Capa de sockets seguros (SSL) V3.0 o Seguridad de la capa de transporte (TLS) V1.0, o bien el cifrado de autenticación mediante AES.

El proveedor de datos envía y recibe datos sin cifrar

El proveedor de datos envía y recibe datos sin cifrar. Es recomendable configurar el proveedor de datos para usar el cifrado de datos mediante Capa de sockets seguros (SSL) V 3.0 o Seguridad de la capa de transporte (TLS) V 1.0.

Estándares de cifrado para DB2

En la tabla siguiente se describen los estándares de cifrado admitidos para DB2.

Cifrado Authentication data
Kerberos No
SSL V3
TLS V1
AES No

Las herramientas de datos y los consumidores de datos leen y escriben archivos de conexión hacia y desde carpetas no seguras

Las herramientas de datos y los consumidores de datos pueden leer y escribir archivos de conexión hacia y desde carpetas no seguras. Debe almacenar los archivos de vínculo de datos universal (UDL) o de cadena de conexión (TXT) en Host Integration Server\Data Sources o en un directorio de programa y, después, proteger la carpeta con derechos de administrador local. Debe conservar la información de conexión en los almacenes seguros de los consumidores de datos y de las herramientas de datos y, a continuación, ejecutar el proveedor de datos en proceso con las herramientas de datos y el consumidor de datos.

Los consumidores de datos y las herramientas de datos pueden solicitar conexiones con propiedades no válidas

Los consumidores de datos y las herramientas de datos pueden solicitar conexiones con valores de propiedad de conexión no válidos. Debe usar los consumidores de datos que crean conexiones con los objetos de conexión del proveedor de datos, en lugar de pasar pares nombre-valor de argumentos de cadenas de conexión sin comprobar. Debe establecer un valor de tiempo de espera de la conexión para cancelar los intentos de conexión no válidos.

Los consumidores de datos y las herramientas de datos pueden solicitar comandos con datos no válidos

Los consumidores de datos y las herramientas de datos pueden solicitar comandos con datos no válidos. Debe usar los consumidores de datos que crean comandos con el comando del proveedor de datos con objetos de parámetro para validar tipos de parámetro, en lugar de pasar cadenas de comandos sin comprobar con valores de datos en línea. Debe establecer un valor de tiempo de espera del comando para cancelar los intentos de comando no válidos. Debe usar la unidad de trabajo distribuida (DUW) de DRDA, en lugar de la unidad de trabajo remota (RUW), para proteger los consumidores de datos con transacciones de confirmación en dos fases.

Consulte también

Seguridad y protección