Conseils et conseils de sécurité-HIS

les informations contenues dans les sections suivantes détaillent la sécurisation de votre environnement Host Integration Server, y compris Enterprise Single Sign-On.

pour plus d’informations sur l’authentification unique, consultez Enterprise notions de base d’une seule Sign-On.

SQL Server

lorsque vous accédez à une base de données SQL Server :

  • utilisez uniquement Windows la sécurité intégrée et restreignez l’accès aux comptes de Windows privilégiés uniquement.

  • utilisez uniquement Host Integration Server les groupes de sécurité qui ont été créés avec l’assistant Configuration de Host Integration Server.

Considérations d’ordre général

outre les recommandations générales situées ailleurs dans cette section, les recommandations spécifiques suivantes peuvent vous aider à augmenter la sécurité de votre déploiement Host Integration Server. Étant donné que toutes ces actions sont effectuées au cours du déploiement ou de la configuration, les procédures se trouvent dans les sections appropriées de cette documentation. Tandis que ces recommandations s’appliquent à l’ensemble du produit, la section sur l’atténuation des menaces de l' intégrateur de transactions fournit également des informations spécifiques pour les utilisateurs de l’intelligence temporelle.

Lorsque vous vous connectez par le biais du protocole SNA :

  • quand vous vous connectez à un ordinateur Host Integration Server en amont, utilisez le chiffrement client/serveur.

  • localisez les ordinateurs Host Integration Server en amont au sein du centre de données à l’aide d’un canal sécurisé token Ring, Ethernet, Bus et Tag, ou des pièces jointes fibre channel escon.

    Lorsque vous vous connectez via le protocole TCP/IP :

  • utilisez les ordinateurs du routeur de logiciel ou les routeurs matériels en amont Windows pour chiffrer le trafic TCP/IP.

  • Localisez le routeur en amont dans le centre de données à l’aide de connexions Token Ring sécurisées ou Ethernet vers l’ordinateur hôte.

  • lors de la connexion d’un réseau sna lu 6.2 à un macroordinateur ou à 400, avec l’ordinateur Host Integration Server déployé en tant que passerelle SNA sur un ordinateur Host Integration Server en aval, utilisez Host Integration Server chiffrement des données de serveur à serveur.

  • Pour les connexions réseau SNA LU 6.2 au macroordinateur, utilisez le service de liaison IP-DLC conjointement avec IPsec.

  • utilisez le chiffrement qui fait partie de la Host Integration Server connexions de serveur à serveur et de client à serveur.

  • Lors de la connexion à un macroordinateur DB2 pour z/OS, utilisez IPsec sur un protocole IP-DLC et utilisez également NNS sur le système cible pour utiliser des connexions directes aux ressources de l’homologue de la sécurité réseau et au niveau de la sécurité.

    Pour protéger les données et les informations d’identification non chiffrées dans le fichier com. cfg :

  • Implémentez IPsec.

  • déployez le Host Integration Server ordinateur dans un segment de réseau isolé.

  • Augmentez les paramètres de sécurité sur le compte hôte utilisé pour la sécurité de session.

    Lorsque vous utilisez le serveur TN3270 :

  • Arrêtez et redémarrez le serveur TN3270 chaque fois qu’une nouvelle liste de révocation de certificats est téléchargée. Dans le cas contraire, vous utiliserez une liste de révocation de certificats obsolète, ce qui pourrait permettre un accès indésirable à l’hôte.

Sécurité de serveur à hôte

Les actions suivantes vont augmenter la sécurité de serveur à hôte, en particulier sur un réseau APPN ou des sockets UDP pour le trafic de protocole HPR/IP :

  • déployez Host Integration Server dans un segment de réseau sécurisé et utilisez le chiffrement qui fait partie des connexions Host Integration Server serveur à serveur et client à serveur.

  • Utilisez IPsec sur la connexion IP-DLC.

  • Utilisez NNS sur le système cible pour utiliser des connexions directes aux ressources de l’homologue de la connexion réseau.

  • Utilisez une connexion IP-DLC directe à CS/390 (DLU) et NNS, ou une connexion IP-DLC directe à un nœud APPN de l’homologue.

    Recommandations de sécurité supplémentaires

    Enfin, comme dans les recommandations suivantes, soyez vigilant lorsque vous accédez à chaque fichier, connexion ou autre composant de produit :

  • lorsque vous utilisez Transaction Integrator, placez tous les objets qui vont vers CICS ou IMS dans un environnement distant qui requiert Enterprise Single Sign-On.

  • Soyez vigilant vis-à-vis de votre liste de contrôle d’accès (ACL). bien qu’il soit possible d’installer Host Integration Server et d’hériter d’une acl précédente, vous devez supprimer toutes les acl existantes et les remplacer par d’autres.

  • Stockez les tables de définition d’imprimante (PDTs) et les fichiers de définition d’imprimante (PDF) dans un emplacement sécurisé pour empêcher leur remplacement par un fichier non fiable.

  • Étant donné que les fichiers de trace peuvent contenir des données non chiffrées, les stocker toujours dans un emplacement sécurisé et les supprimer dès que l’analyse de trace est terminée.

  • Réduisez l’accès indésirable au service de resynchronisation en l’exécutant sur le même ordinateur que l’application qu’il service.

  • Activez la sécurité LUA pour l’accès TN3270 à l’ordinateur hôte, puis ajoutez le compte de service au dossier utilisateurs configurés. Cela permet, entre autres, le chiffrement si le service TN3270 utilise des unités logiques sur un autre serveur.

  • Activez la sécurité LUA pour l’accès TN5250 à l’hôte. Cela augmente la sécurité en exigeant une attribution explicite des lu aux enregistrements utilisateur.

  • Lorsque vous utilisez la fonctionnalité d’impression associée au serveur TN3270, reconfigurez l’affichage et l’imprimante pour utiliser le même port. Cela est nécessaire car, puisque ces deux éléments sont configurés séparément, ils sont souvent configurés par inadvertance sur des ports différents, et par la suite sur des paramètres de sécurité différents.

  • Utilisez toujours IPsec lorsque vous utilisez les serveurs TN3270 ou TN5250. Bien que les données puissent être sécurisées entre le client et le serveur sans IPsec, ces mêmes données peuvent devenir vulnérables entre le serveur et l’hôte. L’utilisation de IPsec réduit la surface d’attaque, garantit le chiffrement des données et rend l’accès disponible uniquement pour les utilisateurs autorisés.

Autres informations utiles

Intégration réseau (sécurité)

Intégration de données (sécurité)

Intégration d’application (sécurité)