PlateSpin Migrate 提供了幾項可協助您保護資料安全並提高安全性的功能。
做為最佳的安全性實務,您應將用於解決安全性弱點的修補程式套用到 PlateSpin 伺服器主機和 PlateSpin Migrate 用戶端主機,就像您對企業中的其他 Windows 伺服器所做的一樣。
Micro Focus 已注意到 CVE 2017-5715、2017-5753 和 2017-5754 中所述的旁路分析弱點 (稱為 Meltdown 和 Spectre),已對雲端的 PlateSpin 伺服器影像實施最新的建議措施。
我們強烈建議您根據 Microsoft 的建議,對 PlateSpin 主機的 Windows 作業系統套用安全性更新來應對此類威脅。請參閱廠商文件以瞭解相關資訊。請參閱 Microsoft 支援網站上的保護您的 Windows 裝置,防範 Spectre 和 Meltdown。
PlateSpin Migrate 伺服器將記錄檔案和資料庫檔案儲存在 PlateSpin Migrate 安裝資料夾中。移轉工作執行期間,PlateSpin Migrate 伺服器會不時更新這些檔案。防毒應用程式可能會阻擋或中斷這些更新,進而影響 PlateSpin Migrate 伺服器效能。因此,不應在 PlateSpin Migrate 伺服器上安裝防毒應用程式,或者必須將 PlateSpin Migrate 安裝資料夾新增至防毒應用程式的排除清單。
PlateSpin Migrate 伺服器支援依據其主機作業系統上啟用的通訊協定,使用傳輸層安全性通訊協定 (TLS) 1.0、1.1 或 1.2 進行連接。如果同時在 Migrate 伺服器主機和來源工作負載上的基礎作業系統與 Microsoft .NET Framework 中啟用了 TLS 1.2,則 PlateSpin Migrate 伺服器預設會使用 TLS 1.2 通訊協定來與來源工作負載建立連接。Migrate 不提供強制用戶端使用 TLS 1.2 進行連接的設定。
附註:早期的 Windows 作業系統 (例如 Windows Server 2003 和 2008) 不支援 TLS 1.2。您必須在 Migrate 伺服器主機上的 Windows 登錄設定中啟用 TLS 1.0 或 TLS 1.1 通訊協定,才能移轉這些來源工作負載。請參閱《PlateSpin Migrate 2018.11 安裝與升級指南》中的為 Migrate 主機設定 TLS 通訊協定
。
若要使用 TLS 1.2 將來源工作負載連接到 Migrate 伺服器︰
來源工作負載︰ Windows 作業系統和 Microsoft .NET Framework 版本都必須支援 TLS 1.2 或者在更新後支援 TLS 1.2,並且必須在 Windows 登錄設定中啟用 TLS 1.2 通訊協定。
對於預設不支援 TLS 1.2 的 Windows 作業系統︰
您可能需要在來源工作負載上安裝 .NET Framework 的 Microsoft 更新,才能新增對 TLS 系統預設版本設定的支援。需要執行重新開機。
使用 Microsoft Windows 登錄設定強制 .NET Framework 在工作負載連接到 Migrate 伺服器時選擇 TLS 1.2。
如需資訊和組態說明,請參閱 Microsoft 文件庫中《Transport Layer Security (TLS) Best Practices with the .NET Framework》(.NET Framework 的傳輸層安全性通訊協定 (TLS) 最佳實務) 中的Support for TLS 1.2
(對 TLS 1.2 的支援)。
Migrate 伺服器︰
必須在 Migrate 伺服器主機上啟用 TLS 1.2 通訊協定的 Windows 登錄設定。請參閱《PlateSpin Migrate 2018.11 安裝與升級指南》中的為 Migrate 主機設定 TLS 通訊協定
。
為了讓工作負載資料傳輸更加安全,您可將移轉工作設定為在傳輸到目標的過程中加密資料。啟用加密後,系統將使用 128 位元進階加密標準 (AES) 來加密透過網路進行的從來源到目標的資料傳輸。如需如何對移轉工作啟用在資料傳輸期間加密的資訊,請參閱節 28.12, 加密資料傳輸。
可以將 PlateSpin 伺服器設定為使用符合 FIPS (聯邦資訊處理標準,發行號 140-2) 的資料加密演算法。如果要求符合 FIPS,則必須先在系統上進行設定,再安裝 PlateSpin 伺服器。請參閱《安裝指南》中的啟用符合 FIPS 資料加密演算法支援 (選擇性)
。
如果在來源工作負載中啟用了 FIPS,請確定在探查來源工作負載之前,已在 PlateSpin Migrate 伺服器上啟用 EnforceFIPSCompliance 參數。請參閱節 5.3, 針對啟用 FIPS 的來源工作負載強制執行 FIPS 合規。
PlateSpin 伺服器與 PlateSpin Migrate 用戶端之間的資料傳輸可設定為使用 HTTP (預設) 或 HTTPS (安全超文字傳輸通訊協定,Secure Hypertext Transfer Protocol)。為了確保用戶端與伺服器之間資料傳輸的安全,請在 PlateSpin 伺服器主機上啟用 SSL,並在指定伺服器 URL 時使用 HTTPS。請參閱連接 PlateSpin Migrate 伺服器。
用於在工作負載移轉工作中存取來源和目標的身分證明受到以下安全措施的保護︰
每個 PlateSpin Migrate 服務器都具有一個隨機產生的唯一加密金鑰,該金鑰用於加密來源工作負載和目標平台的身分證明。
Migrate 結合使用伺服器的加密金鑰和業界標準安全演算法來加密來源與目標身分證明的密碼,並以加密方式將其儲存在 PlateSpin 資料庫中。
您可透過「輸入/輸出」公用程式使用使用者提供的加密密碼,在輸出的資料中以加密方式儲存身分證明密碼。
PlateSpin Migrate 資料庫受到的安全保護,與您對 PlateSpin 伺服器主機 (如果您使用外部資料庫,則為 PlateSpin 資料庫主機) 採用的保護相同。
附註:若要改善 Migrate 伺服器主機與外部 PlateSpin 資料庫之間的通訊安全性,您可將主機作業系統設定為使用傳輸層安全性通訊協定 (TLS) 1.2 進行安全通訊。請參閱《PlateSpin Migrate 2018.11 安裝與升級指南》的PlateSpin 伺服器的系統要求
中的資料庫伺服器
。
診斷中也可能會含有密碼,經過認證的使用者可以存取這些資訊。您應確保工作負載移轉專案由授權人員來處理。
PlateSpin Migrate 用戶端可在 Migrate 用戶端主機本地儲存身分證明。PlateSpin Migrate 用戶端使用作業系統 API 快取、加密並安全儲存密碼。
PlateSpin Migrate 提供了角色型使用者授權和驗證機制。請參閱節 4.1, 設定使用者授權與驗證。
附註:如果您安裝的 PlateSpin Migrate 伺服器和 PlateSpin Migrate 用戶端的當地化語言版本不同,請不要使用包含任何語言特定字元的授權身分證明。在登入身分證明中使用此類字元可能會導致用戶端與伺服器之間的通訊錯誤︰身分證明因被視為無效而遭到拒絕。