セキュリティのヒントとガイダンス - HIS
次のセクションに含まれる情報では、Enterprise シングル サインオンなど、Host Integration Server 環境のセキュリティ保護について詳しく説明します。
シングル サインオンの詳細については、「 Enterprise Single Sign-On の基本」を参照してください。
SQL Server
SQL Server データベースにアクセスする場合:
Windows 統合セキュリティのみを使用し、特権のある Windows アカウントのみにアクセスを制限します。
ホスト統合サーバー構成ウィザードで作成された Host Integration Server セキュリティ グループのみを使用します。
一般的な考慮事項
このセクションの他の一般的なガイドラインに加えて、次の具体的な推奨事項は、ホスト統合サーバーの展開のセキュリティを強化するのに役立ちます。 これらのアクションはすべてデプロイまたは構成中に実行されるため、手順はこのドキュメントの適切なセクションに記載されています。 これらの推奨事項は製品全体に適用されますが、 トランザクション インテグレーターの脅威の軽減に 関するセクションでは、TI ユーザー専用の情報も提供します。
SNA プロトコルを使用して接続する場合:
アップストリームの Host Integration Server コンピューターに接続する場合は、クライアント/サーバー暗号化を使用します。
セキュリティで保護されたトークン リング、イーサネット、バスとタグ チャネル、または ESCON ファイバー チャネルの添付ファイルを使用して、データ センター内のアップストリーム ホスト統合サーバー コンピューターを検索します。
TCP/IP プロトコルを使用して接続する場合:
アップストリームの Windows ソフトウェア ルーター コンピューターまたはハードウェア ルーターを使用して、TCP/IP トラフィックを暗号化します。
セキュリティで保護されたトークン リングまたはホストへのイーサネット接続を使用して、データ センター内のアップストリーム ルーターを見つけます。
SNA LU6.2 ネットワークをメインフレームまたは IBM i に接続し、Host Integration Server コンピューターをダウンストリーム Host Integration Server コンピューターへの SNA ゲートウェイとして展開する場合は、Host Integration Server サーバー間データ暗号化を使用します。
メインフレームへの SNA LU6.2 ネットワーク接続の場合は、IP-DLC リンク サービスを IPsec と組み合わせて使用します。
Host Integration Server サーバー間接続とクライアント間接続の一部である暗号化を使用します。
メインフレーム DB2 for z/OS に接続する場合は、IP-DLC で IPsec を使用し、ターゲット・システムで NNS を使用して DLUS および APPN ピア・リソースへの直接接続を利用します。
com.cfg ファイル内の暗号化されていないデータと資格情報を保護するには:
IPsec を実装します。
分離されたネットワーク セグメントに Host Integration Server コンピューターを展開します。
セッション セキュリティに使用するホスト アカウントのセキュリティ設定を増やします。
TN3270 サーバーを使用する場合:
新しい CRL がダウンロードされるたびに TN3270 サーバーを停止して再起動します。 それ以外の場合は、古い CRL を使用します。これにより、ホストへの不要なアクセスが許可される可能性があります。
サーバー間セキュリティ
次のアクションにより、特に HPR/IP プロトコル トラフィック用の APPN ネットワークまたは UDP ソケットで、サーバー間のセキュリティが強化されます。
セキュリティで保護されたネットワーク セグメントにホスト統合サーバーを展開し、Host Integration Server サーバー間接続とクライアント間接続の一部である暗号化を使用します。
IP-DLC 接続で IPsec を使用します。
ターゲット・システム上の NNS を使用して、DLUS および APPN ピア・リソースへの直接接続を利用します。
CS/390 (DLUS) と NNS への直接 IP-DLC 接続、またはピア APPN ノードへの直接 IP-DLC 接続を使用します。
その他のセキュリティに関する推奨事項
最後に、次の推奨事項のように、すべてのファイル、接続、またはその他の製品コンポーネントへのアクセスに注意してください。
トランザクション インテグレーターを使用する場合は、エンタープライズ シングル サインオンを必要とするリモート環境で CICS または IMS に移動するオブジェクトを配置します。
アクセス制御リスト (ACL) に注意してください。 ホスト統合サーバーをインストールし、以前の ACL を継承することはできますが、既存の ACL をすべて削除し、新しい ACL に置き換える必要があります。
プリンター定義テーブル (PDT) とプリンター定義ファイル (PDF) を安全な場所に保存して、不正なファイルに置き換えないようにします。
トレース ファイルには暗号化されていないデータが含まれている可能性があるため、常に安全な場所に保存し、トレース分析が完了したらすぐに削除します。
Resync サービスへの不要なアクセスを最小限に抑えるには、サービスを提供するアプリケーションと同じコンピューターで実行します。
ホストへの TN3270 アクセスに対して LUA セキュリティを有効にし、構成済みユーザー フォルダーにサービス アカウントを追加します。 特に、TN3270 サービスが別のサーバーで LU を使用する場合、暗号化が提供されます。
ホストへの TN5250 アクセスに対して LUA セキュリティを有効にします。 これにより、ユーザー レコードに LU を明示的に割り当てることで、セキュリティが向上します。
TN3270 サーバーに関連付けられている印刷機能を使用する場合は、同じポートを使用するようにディスプレイとプリンターを再構成します。 これは、これら 2 つの項目が個別に構成されるため、多くの場合、誤って異なるポートに構成され、その後異なるセキュリティ設定が行われるためです。
TN3270 または TN5250 サーバーを使用する場合は、常に IPsec を使用します。 IPsec を使用しないクライアントとサーバーの間のデータは安全ですが、サーバーとホストの間で同じデータが脆弱になる可能性があります。 IPsec を使用すると、攻撃対象領域が減り、データ暗号化が保証され、承認されたユーザーのみがアクセスできるようになります。