Sugerencias e instrucciones de seguridad: HIS

  • Artículo
  • Tiempo de lectura: 4 minutos

La información contenida en las secciones siguientes detalla la protección del entorno Host Integration Server, incluido Enterprise inicio de sesión único.

Para obtener información sobre el inicio de sesión único, consulte Enterprise Single Sign-On Basics (Conceptos básicos de Sign-On inicio de sesión único).

SQL Server

Al acceder a una base de SQL Server datos:

  • Use solo Windows seguridad integrada y restrinja el acceso solo a cuentas de Windows con privilegios.

  • Use solo Host Integration Server de seguridad creados con el Asistente para Host Integration Server configuración de datos.

Consideraciones generales

Además de las directrices generales de esta sección, las siguientes recomendaciones específicas pueden ayudarle a aumentar la seguridad de la Host Integration Server implementación. Puesto que todas estas acciones se realizan durante la implementación o configuración, los procedimientos se encuentran en las secciones adecuadas de esta documentación. Mientras que estas recomendaciones se aplican en todo el producto, la sección Mitigación de amenazas del integrador de transacciones también ofrece información específica para los usuarios de TI.

Al conectarse a través del protocolo SNA:

  • Al conectarse a un equipo Host Integration Server ascendente, use el cifrado de cliente/servidor.

  • Busque los equipos Host Integration Server ascendentes dentro del centro de datos mediante datos adjuntos seguros de anillo de token, Ethernet, bus y canal de etiquetas o canal de fibra ESCON.

    Al conectarse a través del protocolo TCP/IP:

  • Use enrutadores Windows de software o enrutadores de hardware para cifrar el tráfico TCP/IP.

  • Busque el enrutador ascendente dentro del centro de datos mediante conexiones Seguras de Token Ring o Ethernet al host.

  • Al conectar una red SNA LU6.2 a un sistema central o AS/400, con el equipo Host Integration Server implementado como puerta de enlace de SNA a un equipo Host Integration Server de bajada, use el cifrado de datos de servidor Host Integration Server servidor.

  • Para las conexiones de red SNA LU6.2 al sistema central, use el servicio de vínculo IP-DLC junto con IPsec.

  • Use el cifrado que forma parte de la Host Integration Server de servidor a servidor y de cliente a servidor.

  • Al conectarse a un sistema central DB2 para z/OS, use IPsec en un IP-DLC y también use NNS en el sistema de destino para usar conexiones directas a recursos del mismo nivel de DLUS y APPN.

    Para proteger los datos y las credenciales sin cifrar en el archivo com.cfg:

  • Implemente IPsec.

  • Implemente el Host Integration Server en un segmento de red aislado.

  • Aumente la configuración de seguridad en la cuenta de host que se usa para la seguridad de sesión.

    Al usar el servidor TN3270:

  • Detenga y reinicie el servidor TN3270 cada vez que se descargue una nueva CRL. De lo contrario, va a usar una CRL no actualizada, que podría permitir el acceso no deseado al host.

Seguridad de servidor a host

Las siguientes acciones aumentarán la seguridad de servidor a host, especialmente en una red APPN o sockets UDP para el tráfico del protocolo HPR/IP:

  • Implemente Host Integration Server en un segmento de red seguro y use el cifrado que forma parte de Host Integration Server conexiones de servidor a servidor y de cliente a servidor.

  • Use IPsec en la conexión IP-DLC.

  • Use NNS en el sistema de destino para usar conexiones directas a recursos del mismo nivel de DLUS y APPN.

  • Use una conexión IP-DLC directa a CS/390 (DLUS) y NNS, o una conexión IP-DLC directa a un nodo APPN del mismo nivel.

    Seguridad adicional Recomendaciones

    Por último, como en las siguientes recomendaciones, esté atento al acceso a cada archivo, conexión u otro componente de producto:

  • Al usar el Integrador de transacciones, coloque los objetos que van a CICS o IMS en un entorno remoto que Enterprise inicio de sesión único.

  • Esté atento a la lista de control de acceso (ACL). Aunque es posible instalar Host Integration Server heredar una ACL anterior, debe quitar las ACL existentes y reemplazarlas por otras nuevas.

  • Almacene las tablas de definición de impresora (PDT) y los archivos de definición de impresora (PDF) en una ubicación segura para evitar que se reemplazen por un archivo no cifrado.

  • Puesto que los archivos de seguimiento pueden contener datos no cifrados, almacénelos siempre en una ubicación segura y elimínelos en cuanto se complete el análisis de seguimiento.

  • Minimice el acceso no deseado al servicio Resincronizar ejecutándose en el mismo equipo que la aplicación a la que proporciona servicios.

  • Habilite LUA Security para el acceso TN3270 al host y agregue la cuenta de servicio a la carpeta Usuarios configurados. Entre otras cosas, esto proporciona cifrado si el servicio TN3270 usa LAS en otro servidor.

  • Habilite la seguridad de LUA para el acceso TN5250 al host. Esto aumenta la seguridad al requerir la asignación explícita de UTIL a los registros de usuario.

  • Al usar la característica de impresión asociada al servidor TN3270, vuelva a configurar la pantalla y la impresora para que usen el mismo puerto. Esto es necesario porque, dado que estos dos elementos se configuran por separado, a menudo se configuran involuntariamente en puertos diferentes y, posteriormente, en diferentes configuraciones de seguridad.

  • Use siempre IPsec cuando use los servidores TN3270 o TN5250. Aunque los datos pueden ser seguros entre el cliente y el servidor sin IPsec, es posible que los mismos datos sean vulnerables entre el servidor y el host. El uso de IPsec reduce la superficie de ataque, garantiza el cifrado de datos y hace que el acceso esté disponible solo para los usuarios autorizados.

Más cosas interesantes

Integración de red (seguridad)

Integración de datos (seguridad)

Integración de aplicaciones (seguridad)