2.3 セキュリティとプライバシー

2.3.1 セキュリティベストプラクティス

企業内におけるその他のWindowsサーバの場合と同様に、PlateSpin ServerホストおよびPlateSpin Migrate Clientホストについても、ベストプラクティスとしてセキュリティ脆弱性に対応するパッチを適用する必要があります。

Micro Focusは、サイドチャネル分析の脆弱性を認識しています。これは、CVEs 2017-5715、2017-5753、2017-5754で説明されており、メルトダウンおよびスペクターと呼ばれています。現在推奨されているアクションは、クラウド内のPlateSpin Serverイメージに適用済みです。

PlateSpinホスト用のWindowsオペレーティングシステムに対し、Microsoftの推奨に従って、このような脅威に対応するセキュリティ更新を適用することを強くお勧めします。ベンダ固有のドキュメントにその内容が詳述されています。MicrosoftサポートWebサイトで「スペクターとメルトダウンからWindowsデバイスを保護する」を参照してください。

2.3.2 PlateSpin Migrateおよびウィルス対策アプリケーション

PlateSpin Migrateサーバは、PlateSpinマイグレーションインストールフォルダにログファイルとデータベースファイルを格納します。マイグレーションジョブが実行中の間、PlateSpin Migrateサーバはこれらのファイルを頻繁にアップデートします。ウィルス対策アプリケーションはこれらのアップデートをブロックしたり中断したりするため、PlateSpin Migrateサーバのパフォーマンスに悪影響を与えます。ウィルス対策アプリケーションをPlateSpin Migrateサーバにインストールしないか、PlateSpin Migrateインストールフォルダをウィルス対策アプリケーションの除外リストに追加する必要があります。

2.3.3 TLS 1.2を使用して接続するためのソースワークロードの設定

PlateSpin Migrateサーバは、ホストオペレーティングシステムで有効になっているプロトコルに従って、トランスポート層セキュリティ(TLS) 1.0、1.1、または1.2のプロトコルを使用する接続をサポートします。Migrateサーバホストとソースワークロードの両方の基盤となるOSとMicrosoft .NET FrameworkでTLS 1.2が有効になっている場合は、ソースワークロードとの接続にデフォルトでTLS 1.2プロトコルを使用します。Migrateには、TLS 1.2を使用して接続することをクライアントに強制する設定はありません。

メモ:Windows Server 2003や2008などの古いWindowsオペレーティングシステムはTLS 1.2をサポートしません。これらのソースワークロードをマイグレートするには、MigrateサーバホストのWindowsレジストリの設定でTLS 1.0またはTLS 1.1のプロトコルを有効にする必要があります。『PlateSpin Migrate 2018.11インストールおよびアップグレードガイド』のMigrateホストのTLSプロトコルの設定を参照してください。

TLS 1.2を使用してソースワークロードをMigrateサーバに接続するには、次の手順に従います。

  • ソースワークロード: WindowsオペレーティングシステムとMicrosoft .NET Frameworkのバージョンの両方がTLS 1.2をサポートしている必要があります。または、TLS 1.2をサポートするようにこれらを更新する必要があります。さらに、Windowsレジストリの設定でTLS 1.2プロトコルを有効にする必要があります。

    デフォルトではTLS 1.2をサポートしないWindowsオペレーティングシステム:

    1. TLSシステムのデフォルトバージョンの設定に対するサポートを追加するには、ソースワークロード上で.NET Frameworkに対するMicrosoftアップデートが必要になる場合があります。再起動が必要です。

    2. Microsoft Windowsレジストリの設定を使用して、ワークロードがMigrateサーバに接続する際に.NET FrameworkがTLS 1.2を強制的に選択するようにします。

    情報および設定方法については、Microsoftドキュメントの『.NET Framework でのトランスポート層セキュリティ (TLS) のベスト プラクティス』のTLS 1.2のサポートを参照してください。

  • Migrateサーバ: MigrateサーバホストでTLS 1.2プロトコルに関するWindowsレジストリの設定を有効にする必要があります。『PlateSpin Migrate 2018.11インストールおよびアップグレードガイド』のMigrateホストのTLSプロトコルの設定を参照してください。

2.3.4 送信中のワークロードデータのセキュリティ

ワークロードデータの送信をより安全なものにするためには、送信先に送信するデータを暗号化するためのマイグレーションジョブを設定することができます。暗号化が有効な場合、ソースからターゲットへのネットワーク経由のデータ転送は、128ビットAES (Advanced Encryption Standard)を使用して暗号化されます。マイグレーションジョブのデータ転送中に暗号化を有効にする方法については、セクション 28.12, データ転送の暗号化を参照してください。

PlateSpin ServerがFIPS (Federal Information Processing Standards、Publication 140-2)に対応するデータ暗号化アルゴリズムを使用するように構成します。FIPSへの対応が必要な場合、PlateSpin Serverのインストール前にFIPSをシステムに設定する必要があります。『インストールガイド』のFIPS対応のデータ暗号化アルゴリズムのサポートを有効にする(オプション)を参照してください。

ソースワークロードでFIPSが有効な場合、ソースワークロードを検出する前に、PlateSpin MigrateサーバでEnforceFIPSComplianceパラメータが有効であることを確認します。詳細については、セクション 5.3, FIPS対応のソースワークロードへのFIPSコンプライアンスの適用を参照してください。

2.3.5 クライアントサーバ通信のセキュリティ

PlateSpin ServerとPlateSpin Migrate Client間のデータ転送は、HTTP (デフォルト)かHTTPS (Secure Hypertext Transfer Protocol)のいずれかを使用するように設定できます。サーバとクライアント間のデータ転送をセキュリティで保護するためには、PlateSpin Serverホスト上でSSLを有効にし、サーバのURLを指定時にHTTPSを使用します。PlateSpin Migrate Serverへの接続を参照してください。

2.3.6 資格情報のセキュリティ

ワークロードマイグレーションジョブのソースとターゲットにアクセスするために使用する資格情報は、次の方法で保護されます。

  • 各PlateSpin Migrateサーバはランダムに生成された固有の暗号化キーを持っており、これを使用してソースワークロードとターゲットプラットフォームの資格情報を暗号化します。

  • Migrateは、サーバの暗号化キーと業界標準のセキュリティアルゴリズムを使用してソースとターゲットの資格情報のパスワードを暗号化し、それらを暗号化した状態でPlateSpinデータベースに保存します。

  • インポート/エクスポートユーティリティでユーザが指定した暗号化パスワードを使用することにより、資格情報のパスワードを暗号化された状態でエクスポートデータ内に保存できます。

  • PlateSpin Migrateデータベースは、PlateSpin Serverホスト(外部データベースを使用している場合はPlateSpinデータベースホスト)で使用しているものと同じセキュリティ保護手段で保護されます。

    メモ:Migrate Serverホストと外部のPlateSpinデータベース間の通信のセキュリティを強化するには、ホストオペレーティングシステムを、トランスポート層セキュリティ(TLS) 1.2プロトコルを使用してセキュアな通信を行うように設定できます。『PlateSpin Migrate 2018.11インストールおよびアップグレードガイド』のPlateSpin Serverのシステム要件データベースサーバを参照してください。

  • パスワードを診断情報の中に含めることができます。その診断情報は、認定されたユーザがアクセスすることができます。ワークロードマイグレーションプロジェクトは認定されたスタッフにより処理されていることを保証してください。

  • PlateSpin Migrate Clientは、資格情報をMigrate Clientホスト上にローカルに保管できます。パスワードは、オペレーティングシステムのAPIを使用して、PlateSpin Migrate Clientによりキャッシュされ、暗号化され、安全に保管されます。

2.3.7 ユーザ権限および認証

PlateSpin Migrateは、役割ベースのユーザ権限および認証メカニズムを提供します。セクション 4.1, ユーザ権限および認証の設定を参照してください。

メモ:1種類の言語にローカライズしたPlateSpin Migrateサーバおよびそれとは別の言語にローカライズしたPlateSpin Migrate Clientをインストールしている場合は、それらの言語に固有の文字を使用した承認資格情報を使用しないでください。そのようなログイン資格情報を使用すると、クライアントとサーバとの間で誤った通信が発生し、その資格情報が無効として拒否されます。