2.3 Sicherheit und Datenschutz

2.3.1 Bewährte Sicherheitsmaßnahmen

Es hat sich bewährt, zur Sicherheit Patches anzuwenden, die Sicherheitsschwachstellen am PlateSpin-Server-Host und PlateSpin Migrate-Client-Host beheben, genauso wie Sie auch bei anderen Windows-Servern in Ihrem Unternehmen vorgehen würden.

Micro Focus ist sich der Seitenkanal-Analyse-Schwachstellen bewusst, die in CVEs 2017-5715, 2017-5753 und 2017-5754 als „Meltdown“ und „Spectre“ beschrieben sind. Die aktuell empfohlenen Aktionen wurden auf die PlateSpin-Server-Images in der Cloud angewendet.

Wir empfehlen Ihnen dringend, Sicherheitsaktualisierungen anzuwenden, die derartige Bedrohungen ausschalten, wie von Microsoft für das Windows-Betriebssystem für die PlateSpin-Hosts empfohlen. Weitere Informationen finden Sie in der Dokumentation des Herstellers. Weitere Informationen finden Sie im Abschnitt Schützen Ihrer Windows-Geräte vor Spectre und Meltdown auf der Microsoft Support-Website.

2.3.2 PlateSpin Migrate und Anti-Virus-Anwendungen

Ein PlateSpin Migrate-Server speichert Protokolldateien und Datenbankdateien im PlateSpin Migrate-Installationsordner. Bei Ausführung der Migrationsaufträge aktualisiert der PlateSpin Migrate-Server diese Dateien regelmäßig. Anti-Virus-Anwendungen blockieren oder unterbrechen diese Aktualisierungen, wodurch die Leistung des PlateSpin Migrate-Servers beeinträchtigt wird. Anti-Virus-Anwendungen sollten entweder nicht auf dem PlateSpin Migrate-Server installiert werden oder der PlateSpin Migrate-Installationsordner muss zur Ausschlussliste der Anti-Virus-Anwendung hinzugefügt werden.

2.3.3 Konfigurieren von Ursprungs-Workloads zur Verbindungsherstellung mit TLS 1.2

PlateSpin Migrate-Server unterstützt Verbindungen mit dem Transport Layer Security(TLS)-Protokoll 1.0, 1.1 oder 1.2 gemäß den Protokollen, die auf dem Hostbetriebssystem aktiviert sind. PlateSpin Migrate-Server verwendet standardmäßig das TLS 1.2-Protokoll für Verbindungen mit Ursprungs-Workloads, wenn TLS 1.2 auf dem zugrunde liegenden Betriebssystem und Microsoft.NET Framework auf dem Migrate-Server-Host und dem Ursprungs-Workload aktiviert ist. Migrate beinhaltet keine Einstellung, die Clients zur Nutzung von TLS 1.2 für Verbindungen zwingt.

HINWEIS:Ältere Windows-Betriebssysteme wie Windows Server 2003 und 2008 bieten keine Unterstützung für TLS 1.2. Sie müssen das Protokoll TLS 1.0 oder TLS 1.1 in den Windows-Registrierungseinstellungen auf dem Migrate-Server-Host aktivieren, um diese Ursprungs-Workloads zu migrieren. Weitere Informationen finden Sie unter Konfigurieren von TLS-Protokollen für Migrate-Hosts im PlateSpin Migrate 2018.11-Installations- und Aufrüstungshandbuch.

So verbinden Sie einen Ursprungs-Workload mit dem Migrate-Server unter Verwendung von TLS 1.2:

  • Ursprungs-Workloads: Sowohl die Version des Windows-Betriebssystems als auch die Microsoft.NET Framework-Version müssen TLS 1.2 unterstützen oder zur Unterstützung von TLS 1.2 aktualisiert werden und das TLS 1.2-Protokoll muss in den Windows-Registrierungseinstellungen aktiviert sein.

    Für Windows-Betriebssysteme, die TLS 1.2 nicht standardmäßig unterstützen:

    1. Möglicherweise ist ein Microsoft-Update für .NET Framework auf dem Ursprungs-Workload erforderlich, damit die TLS-System-Standardversionseinstellungen unterstützt werden. Ein Neustart ist erforderlich.

    2. Konfigurieren Sie die Microsoft Windows-Registrierungseinstellungen, um die Auswahl von TLS 1.2 durch .NET Framework zu erzwingen, sobald eine Verbindung zwischen Workload und Migrations-Server hergestellt wird.

    Weitere Informationen und Anweisungen zur Konfiguration finden Sie im Abschnitt Unterstützung für TLS 1.2 des Artikels Bewährte Methoden für Transport Layer Security (TLS) mit .NET Framework in der Microsoft-Dokumentation.

  • Migrate-Server: Die Windows-Registrierungseinstellungen für das TLS 1.2-Protokoll müssen auf dem Migrate-Server-Host aktiviert sein. Weitere Informationen finden Sie unter Konfigurieren von TLS-Protokollen für Migrate-Hosts im PlateSpin Migrate 2018.11-Installations- und Aufrüstungshandbuch.

2.3.4 Sicherheit der Workload-Daten bei der Übertragung

Damit die Übertragung der Workload-Daten sicherer ist, können Sie die Migrationsaufträge so konfigurieren, dass die Daten bei der Übertragung an das Ziel verschlüsselt werden. Wenn die Verschlüsselung aktiviert ist, wird die Datenübertragung vom Ursprung über das Netzwerk an das Ziel mit 128-Bit-AES (Advanced Encryption Standard) verschlüsselt. Weitere Informationen zum Aktivieren der Verschlüsselung bei der Datenübertragung für einen Migrationsauftrag finden Sie unter Abschnitt 28.12, Datenübertragung verschlüsseln.

Sie können Ihren PlateSpin-Server für die Verwendung eines Datenverschlüsselungs-Algorithmus konfigurieren, der FIPS (Federal Information Processing Standards, Publication 140-2) entspricht. Wenn die FIPS-Konformität erforderlich ist, muss der Datenverschlüsselungs-Algorithmus vor der Installation des PlateSpin-Servers auf Ihrem System installiert werden. Weitere Informationen hierzu finden Sie unter Aktivieren der Unterstützung für FIPS-konforme Datenverschlüsselungs-Algorithmen (optional) in Ihrer Installationsanleitung.

Wenn FIPS in einem Ursprungs-Workload aktiviert ist, muss der Parameter EnforceFIPSCompliance auf dem PlateSpin Migrate-Server aktiviert sein, bevor der Ursprungs-Workload ermittelt werden kann. Weitere Informationen hierzu finden Sie unter Abschnitt 5.3, Erzwingen der FIPS-Konformität für FIPS-fähige Ursprungs-Workloads.

2.3.5 Sicherheit der Client-Server-Kommunikation

Die Datenübertragung zwischen dem PlateSpin-Server und dem PlateSpin Migrate-Client kann entweder über HTTP (Standard) oder HTTPS (Secure Hypertext Transfer Protocol) erfolgen. Aktivieren Sie SSL zur Sicherung der Datenübertragung zwischen dem Client und dem Server auf Ihrem PlateSpin-Server-Host und verwenden Sie HTTPS, wenn Sie die Server-URL angeben. Weitere Informationen hierzu finden Sie unter Herstellen einer Verbindung mit einem PlateSpin Migrate-Server.

2.3.6 Sicherheit von Berechtigungsnachweisen

Berechtigungsnachweise, die Sie für den Zugriff auf Quellen und Ziele in Workload-Migrationsaufträgen verwenden, werden durch die folgenden Maßnahmen geschützt:

  • Jeder PlateSpin Migrate-Server verfügt über einen eindeutigen, zufällig generierten Verschlüsselungsschlüssel, mit dem er Anmeldeinformationen für Ursprungs-Workloads und Zielplattformen verschlüsselt.

  • Migrate verwendet den Verschlüsselungsschlüssel des Servers mit branchenüblichen Sicherheitsalgorithmen, um Passwörter für Ursprungs- und Zielberechtigung zu verschlüsseln, und speichert sie verschlüsselt in der PlateSpin-Datenbank.

  • Berechtigungspasswörter können verschlüsselt in exportierten Daten gespeichert werden, indem ein vom Benutzer im Import-/Exportprogramm angegebenes Verschlüsselungspasswort verwendet wird.

  • Für die PlateSpin Migrate-Datenbank werden die gleichen Sicherheitsvorkehrungen wie für den PlateSpin-Server-Host (oder für den PlateSpin-Datenbank-Host, wenn Sie eine externe Datenbank verwenden) angewendet.

    HINWEIS:Um die Sicherheit der Kommunikation zwischen dem Migrate-Server-Host und einer externen PlateSpin-Datenbank zu verbessern, können Sie die Host-Betriebssysteme so konfigurieren, dass sie das Protokoll Transport Layer Security (TLS) 1.2 zur sicheren Kommunikation verwenden. Weitere Informationen finden Sie im Abschnitt Datenbankserver unter Systemanforderungen für PlateSpin-Server im PlateSpin Migrate 2018.11-Installations- und Aufrüstungshandbuch.

  • In Diagnosen können Passwörter enthalten sein, die für befugte Benutzer zugänglich sind. Sie sollten sicherstellen, dass Workload-Migrationsprojekte von befugten Mitarbeitern bearbeitet werden.

  • PlateSpin Migrate-Client kann Berechtigungsnachweise lokal auf dem Migrate Client-Host speichern. Die Passwörter werden vom PlateSpin Migrate-Client mithilfe von Betriebssystem-APIs im Cache gespeichert, verschlüsselt und sicher gespeichert.

2.3.7 Benutzerautorisierung und -authentifizierung

PlateSpin Migrate bietet einen rollenbasierten Benutzerautorisierungs- und -authentifizierungsmechanismus. Weitere Informationen hierzu finden Sie unter Abschnitt 4.1, Konfigurieren der Benutzerautorisierung und -authentifizierung.

HINWEIS:Wenn ein PlateSpin Migrate-Server in einer bestimmten Sprache installiert ist und ein PlateSpin Migrate-Client in einer anderen Sprache, verzichten Sie in den Autorisierungsberechtigungen auf sprachspezifische Zeichen. Die Verwendung solcher Zeichen in der Anmeldeberechtigung kann zu einem Kommunikationsfehler zwischen dem Client und dem Server führen und die Berechtigungen werden als ungültig abgelehnt.