Conseils et conseils de sécurité - HIS
Les informations contenues dans les sections suivantes détaillent la sécurisation de votre environnement Host Integration Server, y compris l’authentification unique d’entreprise.
Pour plus d’informations sur l’authentification unique, consultez Enterprise Single Sign-On Basics.
SQL Server
Lorsque vous accédez à une base de données SQL Server :
Utilisez uniquement la sécurité intégrée de Windows et limitez l’accès aux seuls comptes Windows privilégiés.
Utilisez uniquement les groupes de sécurité Host Integration Server qui ont été créés avec l’Assistant Configuration du serveur d’intégration hôte.
Considérations d’ordre général
En plus des instructions générales fournies ailleurs dans cette section, les recommandations spécifiques suivantes peuvent vous aider à renforcer la sécurité de votre déploiement Host Integration Server. Étant donné que toutes ces actions sont effectuées pendant le déploiement ou la configuration, les procédures se trouvent dans les sections appropriées de cette documentation. Alors que ces recommandations s’appliquent à l’ensemble du produit, la section Atténuation des menaces de l’intégrateur de transactions offre également des informations spécifiquement destinées aux utilisateurs de TI.
Lorsque vous vous connectez via le protocole SNA :
Lors de la connexion à un ordinateur amont Host Integration Server, utilisez le chiffrement client/serveur.
Localisez amont ordinateurs Host Integration Server dans le centre de données à l’aide des pièces jointes secure Token Ring, Ethernet, Bus et Tag Channel ou ESCON Fibre Channel.
Lorsque vous vous connectez via le protocole TCP/IP :
Utilisez amont ordinateurs de routeur logiciel Windows ou des routeurs matériels pour chiffrer le trafic TCP/IP.
Localisez le routeur amont dans le centre de données à l’aide de connexions Secure Token Ring ou Ethernet à l’hôte.
Lors de la connexion d’un réseau SNA LU6.2 à un mainframe ou IBM i, avec l’ordinateur Host Integration Server déployé en tant que passerelle SNA sur un ordinateur Host Integration Server en aval, utilisez le chiffrement des données de serveur à serveur Hôte Integration Server.
Pour les connexions réseau SNA LU6.2 au mainframe, utilisez le service de liaison IP-DLC conjointement avec IPsec.
Utilisez le chiffrement qui fait partie des connexions de serveur à serveur d’intégration d’hôte et de client à serveur.
Lors de la connexion à un ordinateur mainframe DB2 pour z/OS, utilisez IPsec sur un DLC IP, et utilisez également NNS sur le système cible pour utiliser des connexions directes aux ressources DLUS et APPN Peer.
Pour protéger les données et les informations d’identification non chiffrées dans le fichier com.cfg :
Implémentez IPsec.
Déployez l’ordinateur Host Integration Server dans un segment réseau isolé.
Augmentez les paramètres de sécurité sur le compte hôte utilisé pour la sécurité de session.
Lors de l’utilisation du serveur TN3270 :
Arrêtez et redémarrez le serveur TN3270 chaque fois qu’une nouvelle liste de révocation de certificats est téléchargée. Sinon, vous utiliserez une liste de révocation de certificats obsolète, qui peut autoriser un accès indésirable à l’hôte.
Sécurité de serveur à hôte
Les actions suivantes augmenteront la sécurité de serveur à hôte, en particulier sur un réseau APPN ou des sockets UDP pour le trafic de protocole HPR/IP :
Déployez Host Integration Server dans un segment réseau sécurisé et utilisez le chiffrement qui fait partie des connexions serveur à serveur d’intégration hôte et client à serveur.
Utilisez IPsec sur la connexion IP-DLC.
Utilisez NNS sur le système cible pour utiliser des connexions directes aux ressources DLUS et APPN Peer.
Utilisez une connexion IP-DLC directe à CS/390 (DLUS) et NNS, ou une connexion IP-DLC directe à un nœud APPN homologue.
Recommandations de sécurité supplémentaires
Enfin, comme dans les recommandations suivantes, soyez vigilant quant à l’accès à chaque fichier, connexion ou autre composant de produit :
Lorsque vous utilisez l’intégrateur de transactions, placez tous les objets qui vont à CICS ou IMS dans un environnement distant qui nécessite l’authentification unique d’entreprise.
Soyez vigilant quant à votre liste de contrôle d’accès (ACL). Bien qu’il soit possible d’installer Host Integration Server et d’hériter d’une liste de contrôle d’accès précédente, vous devez supprimer toutes les listes de contrôle d’accès existantes et les remplacer par de nouvelles.
Stockez les tables de définition d’imprimante (PDT) et les fichiers de définition d’imprimante (PDF) dans un emplacement sécurisé pour éviter leur remplacement par un fichier non autorisé.
Étant donné que les fichiers de trace peuvent contenir des données non chiffrées, stockez-les toujours dans un emplacement sécurisé et supprimez-les dès que l’analyse des traces est terminée.
Réduisez l’accès indésirable au service resynchronisation en l’exécutant sur le même ordinateur que l’application qu’il dessert.
Activez LUA Security pour l’accès TN3270 à l’hôte, puis ajoutez le compte de service au dossier Utilisateurs configurés. Entre autres choses, cela fournit un chiffrement si le service TN3270 utilise des unités logiques sur un autre serveur.
Activez la sécurité LUA pour l’accès TN5250 à l’hôte. Cela augmente la sécurité en exigeant l’attribution explicite d’unités logiques aux enregistrements utilisateur.
Lorsque vous utilisez la fonctionnalité d’impression associée au serveur TN3270, reconfigurez l’affichage et l’imprimante pour utiliser le même port. Cela est nécessaire car, étant donné que ces deux éléments sont configurés séparément, ils sont souvent configurés par inadvertance sur différents ports, puis sur des paramètres de sécurité différents.
Utilisez toujours IPsec lorsque vous utilisez les serveurs TN3270 ou TN5250. Bien que les données puissent être sécurisées entre le client et le serveur sans IPsec, ces mêmes données peuvent devenir vulnérables entre le serveur et l’hôte. L’utilisation d’IPsec réduit la surface d’attaque, garantit le chiffrement des données et rend l’accès disponible uniquement aux utilisateurs autorisés.