2.3 安全性和保密性

2.3.1 安全性最佳实践

作为安全性最佳实践,您应该将用于解决安全性漏洞的增补程序应用到 PlateSpin 服务器主机和 PlateSpin Migrate 客户端主机,如同您会对企业中的其他 Windows 服务器所做的那样。

Micro Focus 知道 CVE 2017-5715、2017-5753 和 2017-5754 中所述的旁路分析漏洞(称为 Meltdown 和 Spectre),已对云中的 PlateSpin 服务器映像运用最新的建议措施。

我们强烈建议您根据 Microsoft 的建议,对 PlateSpin 主机的 Windows 操作系统应用安全性更新来应对此类威胁。相关信息,请参见供应商文档。请参见 Microsoft 支持网站上的保护您的 Windows 设备免受 Spectre 和 Meltdown

2.3.2 PlateSpin Migrate 和防病毒应用程序

PlateSpin Migrate 服务器将日志文件和数据库文件储存在 PlateSpin Migrate 安装文件夹中。迁移作业运行期间,PlateSpin Migrate 服务器会不时更新这些文件。防病毒应用程序可能会阻止或中断这些更新,从而影响 PlateSpin Migrate 服务器性能。因此,不应在 PlateSpin Migrate 服务器上安装防病毒应用程序,或者必须将 PlateSpin Migrate 安装文件夹添加到防病毒应用程序的排除项列表。

2.3.3 配置使用 TLS 1.2 连接的源工作负载

PlateSpin Migrate 服务器支持根据其主机操作系统上启用的协议,使用传输层安全协议 (TLS) 1.0、1.1 或 1.2 进行连接。如果同时在 Migrate 服务器主机和源工作负载上的基础操作系统与 Microsoft .NET Framework 中启用 TLS 1.2,则 PlateSpin Migrate 服务器默认会使用 TLS 1.2 协议来与源工作负载建立连接。Migrate 不提供强制客户端使用 TLS 1.2 进行连接的设置。

注:早期的 Windows 操作系统(例如 Windows Server 2003 和 2008)不支持 TLS 1.2。必须在 Migrate 服务器主机上的 Windows 注册表设置中启用 TLS 1.0 或 TLS 1.1 协议,才能迁移这些源工作负载。请参见《PlateSpin Migrate 2018.11 安装和升级指南》中的为 Migrate 主机配置 TLS 协议

要使用 TLS 1.2 将源工作负载连接到 Migrate 服务器,请执行以下操作:

2.3.4 传送中工作负载数据的安全性

为了更安全地传输工作负载数据,您可以配置迁移作业,对正向目标传输的数据进行加密。启用加密后,系统将使用 128 位高级加密标准 (AES) 来加密通过网络进行的从源到目标的数据传输。有关如何对迁移作业启用在数据传输期间加密的信息,请参见部分 28.12, 加密数据传输

您可以将 PlateSpin 服务器配置为使用符合 FIPS(联邦信息处理标准,发行号 140-2)的数据加密算法。如果要求符合 FIPS,则您在安装的 PlateSpin 服务器上设置该加密算法前,必须先在您的系统上进行设置。请参见《安装指南》中的启用对符合 FIPS 的数据加密算法的支持(可选)

如果在源工作负载中启用了 FIPS,请确保在发现源工作负载之前,已在 PlateSpin Migrate 服务器上启用 EnforceFIPSCompliance 参数。请参见部分 5.3, 针对启用 FIPS 的源工作负载实施 FIPS 合规性

2.3.5 客户端与服务器通讯的安全性

可以将 PlateSpin 服务器与 PlateSpin Migrate 客户端之间的数据传送配置为使用 HTTP(默认)或 HTTPS(安全超文本传输协议)。为了保障客户端与服务器之间数据传输的安全,请在 PlateSpin 服务器主机上启用 SSL,并在指定服务器 URL 时使用 HTTPS。请参见连接 PlateSpin Migrate 服务器

2.3.6 身份凭证的安全性

用于在工作负载迁移作业中访问源和目标的身份凭证受以下安全措施的保护:

  • 每个 PlateSpin Migrate 服务器都拥有一个随机生成的唯一加密密钥,该密钥用于加密源工作负载和目标平台的身份凭证。

  • Migrate 结合使用服务器的加密密钥和行业标准安全算法来加密源与目标身份凭证的口令,并以加密方式将其储存在 PlateSpin 数据库中。

  • 可通过“导入/导出”实用程序使用用户提供的加密口令,在导出的数据中以加密方式储存身份凭证口令。

  • PlateSpin Migrate 数据库受到的安全保护与您对 PlateSpin 服务器主机(如果您使用外部数据库,则为 PlateSpin 数据库主机)实施的保护相同。

    注:要改善 Migrate 服务器主机与外部 PlateSpin 数据库之间的通讯安全性,可将主机操作系统配置为使用传输层安全协议 (TLS) 1.2 进行安全通讯。请参见《PlateSpin Migrate 2018.11 安装和升级指南》的PlateSpin 服务器的系统要求中的数据库服务器

  • 诊断中也可能会含有口令,经认证的用户可以访问这些信息。您应当确保工作负载迁移项目由授权人员处理。

  • PlateSpin Migrate 客户端可在 Migrate 客户端主机本地储存身份凭证。PlateSpin Migrate 客户端使用操作系统 API 超速缓存、加密并安全储存口令。

2.3.7 用户授权和鉴定

PlateSpin Migrate 提供了基于角色的用户授权和鉴定机制。请参见部分 4.1, 配置用户授权和鉴定

注:如果您所安装的 PlateSpin Migrate 服务器本地化为一种语言,而 PlateSpin Migrate 客户端本地化为另一种语言,则请不要使用包含任何语言特定字符的授权身份凭证。在登录凭证中使用此类字符可能导致客户端与服务器之间的通讯发生故障:身份凭证会被视为无效而遭到拒绝。