PlateSpin Migrate incluye varias funciones para proteger los datos y aumentar la seguridad.
Como práctica recomendada de seguridad, debe aplicar los parches que solucionan vulnerabilidades de seguridad en el host del servidor de PlateSpin y en el host del cliente de PlateSpin Migrate del mismo modo que haría con otros servidores Windows de su empresa.
Micro Focus es consciente de las vulnerabilidades de análisis del canal lateral que se describen en los CVE 2017-5715, 2017-5753 y 2017-5754, conocidas como Meltdown y Spectre. Las acciones recomendadas actuales se han aplicado en las imágenes del servidor de PlateSpin en la nube.
Se recomienda encarecidamente que se apliquen las actualizaciones de seguridad para solucionar esas amenazas recomendadas por Microsoft para el sistema operativo Windows que se utilice en los hosts de PlateSpin. Para obtener información, consulte la documentación del proveedor. Consulte el artículo Proteja sus dispositivos Windows contra Spectre y Meltdown en el sitio Web de Soporte técnico de Microsoft.
En un servidor de PlateSpin Migrate los archivos de registro y los archivos de base de datos se almacenan en la carpeta de instalación. Mientras se ejecutan las tareas de migración, el servidor de PlateSpin Migrate actualiza esos archivos con frecuencia. Las aplicaciones antivirus bloquean estas actualizaciones o las interrumpen, lo que afecta al rendimiento del servidor de PlateSpin Migrate. No se deben instalar aplicaciones antivirus en el servidor de PlateSpin Migrate o bien se debe añadir la carpeta de instalación de PlateSpin Migrate a la lista de exclusión de la aplicación antivirus.
El servidor de PlateSpin Migrate admite conexiones que usan las versiones 1.0, 1.1 o 1.2 del protocolo de seguridad de la capa de transporte (TLS), según los protocolos habilitados en su sistema operativo host. El servidor de PlateSpin Migrate utiliza por defecto el protocolo TLS 1.2 para las conexiones con las cargas de trabajo de origen si dicho protocolo está habilitado en el sistema operativo y el entorno Microsoft .NET Framework subyacentes, tanto en el host del servidor de Migrate como en la carga de trabajo de origen. Migrate no tiene ningún valor de configuración que obligue a los clientes a usar TLS 1.2 para conectarse.
NOTA:Algunos sistemas operativos Windows antiguos, como Windows Server 2003 y 2008, no son compatibles con TLS 1.2. Debe habilitar los protocolos TLS 1.0 o TLS 1.1 en la configuración del Registro de Windows del host del servidor de Migrate para migrar esas cargas de trabajo de origen. Consulte Configuración de protocolos TLS para hosts de Migrate
en la Guía de instalación y actualización de PlateSpin Migrate 2018.11.
Para conectar una carga de trabajo de origen con el servidor de Migrate mediante TLS 1.2:
Cargas de trabajo de origen: tanto el sistema operativo Windows como la versión de Microsoft .NET Framework deben ser compatibles con TLS 1.2, o bien deben actualizarse para que admitan TLS 1.2. El protocolo TLS 1.2 debe estar habilitado en la configuración del Registro de Windows.
Para los sistemas operativos Windows que no sean compatibles con TLS 1.2 por defecto:
Puede que sea necesario actualizar .NET Framework en la carga de trabajo de origen con el fin de añadir compatibilidad para la versión por defecto de TLS del sistema. Es necesario rearrancar.
Utilice la configuración del Registro de Microsoft Windows para forzar que .NET Framework elija TLS 1.2 cuando la carga de trabajo se conecte con el servidor de Migrate.
Para obtener información e instrucciones de configuración, consulte Compatibilidad con TLS 1.2
en Procedimientos recomendados sobre la seguridad de la capa de transporte (TLS) con .NET Framework en la documentación de Microsoft.
Servidor de Migrate:
el protocolo TLS 1.2 debe estar habilitado en la configuración del Registro de Windows del host del servidor de Migrate. Consulte Configuración de protocolos TLS para hosts de Migrate
en la Guía de instalación y actualización de PlateSpin Migrate 2018.11.
Para que la transferencia de los datos de la carga de trabajo sea más segura, puede configurar los trabajos de migración para cifrar los datos en tránsito hacia el destino. Si el cifrado está habilitado, la transferencia de datos por red desde el origen al destino se cifra mediante AES (estándar de cifrado avanzado) de 128 bits. Para obtener información sobre cómo habilitar el cifrado durante la transferencia de datos para un trabajo de migración, consulte Sección 28.12, Cifrado de la transferencia de datos.
Puede configurar el servidor de PlateSpin para que utilice un algoritmo de cifrado de datos compatible con FIPS (Federal Information Processing Standards, normas federales de procesamiento de la información, publicación 140-2). Si se requiere compatibilidad con FIPS, se debe configurar en el sistema antes de instalar el servidor de PlateSpin. Consulte la sección sobre cómo habilitar la compatibilidad con algoritmos de cifrado de datos compatibles con FIPS (opcional)
en la Guía de instalación.
Si se ha habilitado FIPS en una carga de trabajo de origen, asegúrese de que el parámetro EnforceFIPSCompliance esté habilitado en el servidor de PlateSpin Migrate antes de descubrir la carga de trabajo de origen. Consulte Sección 5.3, Aplicación de la conformidad con FIPS para cargas de trabajo de origen FIPS.
La transmisión de datos entre el servidor de PlateSpin y el cliente de PlateSpin Migrate se puede configurar para que use HTTP (por defecto) o HTTPS (protocolo de transferencia de hipertexto seguro). Para asegurar la transmisión de datos entre el cliente y el servidor, habilite SSL en el host del servidor de PlateSpin y use HTTPS cuando especifique la URL del servidor. Consulte Conexión a un servidor de PlateSpin Migrate.
En las credenciales que se usan para acceder a los orígenes y destinos en los trabajos de migración de la carga de trabajo se toman las siguientes medidas de seguridad:
Cada servidor de PlateSpin Migrate tiene una clave de cifrado exclusiva, generada aleatoriamente, que se utiliza para cifrar las credenciales de las cargas de trabajo de origen y las plataformas de destino.
Migrate usa la clave de cifrado del servidor con algoritmos de seguridad estándar del sector para cifrar las contraseñas de las credenciales de origen y de destino, y las almacena cifradas en la base de datos de PlateSpin.
Las contraseñas de credenciales se pueden almacenar cifradas en los datos exportados mediante una contraseña de cifrado proporcionada por el usuario a través de la utilidad de importación y exportación.
La base de datos de PlateSpin Migrate está protegida por las mismas medidas de seguridad que se emplean en el host del servidor de PlateSpin (o en el host de base de datos de PlateSpin si se usa una base de datos externa).
NOTA:para mejorar la seguridad de las comunicaciones entre el host del servidor de Migrate y una base de datos de PlateSpin externa, puede configurar los sistemas operativos del host para que utilicen el protocolo TLS 1.2 (seguridad de la capa de transporte) para las comunicaciones seguras. Consulte Servidor de base de datos
en la sección Requisitos del sistema para el servidor de PlateSpin
en la Guía de instalación y actualización de PlateSpin Migrate 2018.11.
Las contraseñas pueden incluirse en el diagnóstico, al que pueden acceder los usuarios acreditados. Debe asegurarse de que solo el personal autorizado gestione los proyectos de migración de cargas de trabajo.
El cliente de PlateSpin Migrate puede almacenar credenciales de forma local en el host del cliente de Migrate. El cliente de PlateSpin Migrate guarda en caché, cifra y almacena de forma segura las contraseñas mediante las API del sistema operativo.
PlateSpin Migrate proporciona un mecanismo de autorización y autenticación basado en funciones. Consulte Sección 4.1, Configuración de la autorización y la autenticación de usuarios.
NOTA:si ha instalado una versión traducida a un idioma del servidor de PlateSpin Migrate y un cliente de PlateSpin Migrate traducido a un idioma distinto, no use credenciales de autorización que incluyan caracteres específicos de un idioma. Si usa esos caracteres en las credenciales de entrada a la sesión, se producirá un error de comunicación entre el cliente y el servidor, ya que las credenciales se rechazarán como no válidas.