Sugerencias e instrucciones de seguridad: HIS
La información contenida en las secciones siguientes detalla la protección del entorno de Host Integration Server, incluido el inicio de sesión único de empresa.
Para obtener información sobre el inicio de sesión único, consulte Enterprise Single Sign-On Basics.
SQL Server
Al acceder a una base de datos de SQL Server:
Use solo la seguridad integrada de Windows y restrinja el acceso solo a cuentas de Windows con privilegios.
Use solo los grupos de seguridad de Host Integration Server que se crearon con el Asistente para configuración de Host Integration Server.
Consideraciones generales
Además de las directrices generales de esta sección, las siguientes recomendaciones específicas pueden ayudarle a aumentar la seguridad de la implementación de Host Integration Server. Dado que todas estas acciones se realizan durante la implementación o configuración, los procedimientos se encuentran en las secciones adecuadas de esta documentación. Mientras que estas recomendaciones se aplican en todo el producto, la sección Mitigación de amenazas del integrador de transacciones también ofrece información específica para los usuarios de TI.
Cuando se conecta a través del protocolo SNA:
Al conectarse a un equipo de Host Integration Server ascendente, use el cifrado de cliente o servidor.
Busque equipos de Host Integration Server ascendentes en el centro de datos mediante el anillo de token seguro, Ethernet, bus y canal de etiquetas, o los datos adjuntos del canal de fibra ESCON.
Al conectarse a través del protocolo TCP/IP:
Use equipos de enrutador de software de Windows o enrutadores de hardware ascendentes para cifrar el tráfico TCP/IP.
Busque el enrutador ascendente dentro del centro de datos mediante el anillo de token seguro o las conexiones Ethernet al host.
Al conectar una red SNA LU6.2 a un sistema central o IBM i, con el equipo host Integration Server implementado como puerta de enlace de SNA a un equipo de Host Integration Server de nivel inferior, use el cifrado de datos de servidor a servidor de Host Integration Server.
En el caso de las conexiones de red LU6.2 de SNA al sistema central, use el servicio de vínculo IP-DLC junto con IPsec.
Use el cifrado que forma parte de las conexiones de servidor a servidor y cliente a servidor de Host Integration Server.
Al conectarse a un sistema central DB2 para z/OS, use IPsec en un IP-DLC y también use NNS en el sistema de destino para usar conexiones directas a recursos del mismo nivel DLUS y APPN.
Para proteger los datos y las credenciales sin cifrar en el archivo com.cfg:
Implemente IPsec.
Implemente el equipo host Integration Server en un segmento de red aislado.
Aumente la configuración de seguridad en la cuenta de host usada para la seguridad de la sesión.
Al usar el servidor TN3270:
Detenga y reinicie el servidor TN3270 cada vez que se descargue una nueva CRL. De lo contrario, usará una CRL obsoleta, que podría permitir el acceso no deseado al host.
Seguridad de servidor a host
Las siguientes acciones aumentarán la seguridad del servidor al host, especialmente en un socket UDP o red APPN para el tráfico de protocolo HPR/IP:
Implemente Host Integration Server en un segmento de red seguro y use el cifrado que forma parte de las conexiones de servidor a servidor y cliente a servidor de Host Integration Server.
Use IPsec en la conexión IP-DLC.
Use NNS en el sistema de destino para usar conexiones directas a recursos del mismo nivel DLUS y APPN.
Use una conexión IP-DLC directa a CS/390 (DLUS) y NNS, o una conexión IP-DLC directa a un nodo APPN del mismo nivel.
Recomendaciones de seguridad adicionales
Por último, como en las siguientes recomendaciones, tenga cuidado sobre el acceso a cada archivo, conexión u otro componente de producto:
Al usar el integrador de transacciones, coloque los objetos que vayan a CICS o IMS en un entorno remoto que requiera el inicio de sesión único de Empresa.
Esté atento a su lista de control de acceso (ACL). Aunque es posible instalar Host Integration Server y heredar una ACL anterior, debe quitar las ACL existentes y reemplazarlas por otras nuevas.
Almacene tablas de definición de impresora (PDT) y archivos de definición de impresora (PDF) en una ubicación segura para evitar que se reemplacen por un archivo no autorizado.
Dado que los archivos de seguimiento pueden contener datos no cifrados, almacenarlos siempre en una ubicación segura y eliminarlos tan pronto como se complete el análisis de seguimiento.
Minimice el acceso no deseado al servicio De resincronización ejecutándolo en el mismo equipo que la aplicación que ofrece.
Habilite la seguridad de LUA para el acceso TN3270 al host y agregue la cuenta de servicio a la carpeta Usuarios configurados. Entre otras cosas, esto proporciona cifrado si el servicio TN3270 usa LUs en otro servidor.
Habilite la seguridad de LUA para el acceso TN5250 al host. Esto aumenta la seguridad al requerir la asignación explícita de RU a los registros de usuario.
Al usar la característica de impresión asociada al servidor TN3270, vuelva a configurar la pantalla y la impresora para que usen el mismo puerto. Esto es necesario porque, dado que estos dos elementos se configuran por separado, a menudo se configuran accidentalmente en puertos diferentes y, posteriormente, diferentes opciones de seguridad.
Use siempre IPsec al usar los servidores TN3270 o TN5250. Aunque los datos pueden estar seguros entre el cliente y el servidor sin IPsec, esos mismos datos pueden convertirse en vulnerables entre el servidor y el host. El uso de IPsec reduce la superficie expuesta a ataques, garantiza el cifrado de datos y hace que el acceso solo esté disponible para los usuarios autorizados.
Más cosas interesantes
Integración de red (seguridad)