PlateSpin Migrate propose différentes fonctions qui vous aident à sauvegarder vos données et à accroître la sécurité.
Pour des raisons de sécurité, vous devez appliquer les correctifs qui corrigent les vulnérabilités de sécurité de l'hôte du serveur PlateSpin et de l'hôte du client PlateSpin Migrate, comme vous le feriez pour les autres serveurs Windows dans votre entreprise.
Micro Focus connaît les vulnérabilités par canal auxiliaire décrites dans les CVE 2017-5715, 2017-5753 et 2017-5754, appelées Meltdown et Spectre. Les actions recommandées actuelles ont été appliquées sur les images de serveur PlateSpin dans le cloud.
Nous vous recommandons d'appliquer les mises à jour de sécurité qui répondent à de telles menaces, tel que recommandé par Microsoft pour le système d'exploitation Windows des hôtes PlateSpin. Pour plus d'informations, consultez la documentation du fournisseur. Reportez-vous à la section Protection de vos appareils Windows contre Spectre et Meltdown sur le site Web du support Microsoft.
Un serveur PlateSpin Migrate stocke les fichiers journaux et les fichiers de base de données dans le dossier d'installation de PlateSpin Migration. Pendant l'exécution des tâches de migration, le serveur PlateSpin Migrate met à jour ces fichiers fréquemment. Les applications anti-virus bloquent ces mises à jour ou les interrompent, ce qui a un impact sur les performances du serveur PlateSpin Migrate. Les applications anti-virus ne doivent pas être installées sur le serveur PlateSpin Migrate ou le dossier d'installation de PlateSpin Migrate doit être ajouté à la liste d'exclusion des applications anti-virus.
Le serveur PlateSpin Migrate prend en charge les connexions à l'aide du protocole TLS (Transport Layer Security) 1.0, 1.1 ou 1.2, selon les protocoles activés sur son système d'exploitation hôte. Par défaut, le serveur PlateSpin Migrate utilise le protocole TLS 1.2 pour les connexions avec les workloads sources si ce dernier est activé sur le système d'exploitation sous-jacent et Microsoft .NET Framework sur l'hôte du serveur Migrate et le workload source. PlateSpin Migrate ne dispose pas d'un paramètre qui force les clients à utiliser TLS 1.2 pour se connecter.
REMARQUE :les systèmes d'exploitation Windows plus anciens, tels que Windows Server 2003 et 2008, ne prennent pas en charge TLS 1.2. Vous devez activer le protocole TLS 1.0 ou 1.1 dans les paramètres du Registre Windows sur l'hôte du serveur Migrate pour migrer ces workloads sources. Reportez-vous à la section Configuration des protocoles TLS pour les hôtes Migrate
du Guide d'installation et de mise à niveau de PlateSpin Migrate 2018.11.
Pour connecter un workload source au serveur Migrate à l'aide de TLS 1.2 :
Workloads sources : le système d'exploitation Windows et la version de Microsoft .NET Framework doivent tous les deux prendre en charge TLS 1.2 ou doivent être mis à jour pour prendre en charge ce protocole ; celui-ci doit être activé dans les paramètres du Registre Windows.
Pour les systèmes d'exploitation Windows qui ne prennent pas en charge TLS 1.2 par défaut :
Une mise à jour de Microsoft pour .NET Framework peut être requise sur le workload source afin de prendre en charge les paramètres de la version par défaut du système TLS. Un redémarrage est requis.
Utilisez les paramètres du Registre Microsoft Windows pour forcer .NET Framework à sélectionner TLS 1.2 lorsque le workload se connecte au serveur Migrate.
Pour obtenir plus d'informations et des instructions de configuration, reportez-vous à la section Prise en charge de TLS 1.2
dans Meilleures pratiques du protocole TLS (Transport Layer Security) avec .NET Framework dans la documentation de Microsoft.
Serveur Migrate :
les paramètres du Registre Windows pour le protocole TLS 1.2 doivent être activés sur l'hôte du serveur Migrate. Reportez-vous à la section Configuration des protocoles TLS pour les hôtes Migrate
du Guide d'installation et de mise à niveau de PlateSpin Migrate 2018.11.
Pour sécuriser davantage le transfert de vos données de workload, vous pouvez configurer vos tâches de migration afin de coder les données en transit vers la cible. Lorsque le chiffrement est activé, le transfert de données sur le réseau à partir de la source vers la cible est codé à l'aide de la norme AES (Advanced Encryption Standard) 128 bits. Pour plus d'informations sur la procédure d'activation du codage pendant le transfert des données pour une tâche de migration, reportez-vous à la section Section 28.12, Chiffrement du transfert de données.
Vous pouvez configurer votre serveur PlateSpin pour qu'il utilise un algorithme de codage des données conforme à la norme FIPS (Federal Information Processing Standards) 140-2. Si la conformité à la norme FIPS est requise, elle doit être configurée sur votre système avant d'installer le serveur PlateSpin Reportez-vous à la section Activation de la prise en charge des algorithmes de codage de données conformes à la norme FIPS (facultatif)
du Guide d'installation.
Si la norme FIPS est activée sur un workload source, vérifiez que le paramètre EnforceFIPSCompliance est activé sur le serveur PlateSpin Migrate avant de découvrir le workload source. Reportez-vous à la section Section 5.3, Application de la conformité FIPS pour les workloads sources compatibles FIPS.
La transmission de données entre le serveur PlateSpin et le client PlateSpin Migrate peut être configurée pour utiliser le protocole HTTP (par défaut) ou HTTPS (protocole sécurisé). Pour sécuriser la transmission de données entre le client et le serveur, activez SSL sur l'hôte du serveur PlateSpin et utilisez le protocole HTTPS lorsque vous spécifiez l'URL du serveur. Reportez-vous à la section Connexion à un serveur PlateSpin Migrate.
Les informations d'identification que vous utilisez pour accéder aux sources et aux cibles dans des tâches de migration de workload sont sécurisées comme suit :
Chaque serveur PlateSpin Migrate dispose d'une clé de chiffrement unique générée de manière aléatoire qu'il utilise pour chiffrer les informations d'identification des workloads sources et des plates-formes cibles.
Migrate utilise la clé de chiffrement du serveur avec les algorithmes de sécurité standard pour coder les mots de passe des informations d'identification sources et cibles, et les stocke au format chiffré dans la base de données PlateSpin.
Les mots de passe des informations d'identification peuvent être stockés au format chiffré dans les données exportées en utilisant un mot de passe de chiffrement fourni par l'utilisateur avec l'utilitaire d'importation/exportation.
La base de données PlateSpin Migrate est couverte par les mêmes dispositifs de sécurité que ceux employés pour l'hôte du serveur PlateSpin (ou pour l'hôte de la base de données PlateSpin si vous utilisez une base de données externe).
REMARQUE :pour améliorer la sécurité des communications entre l'hôte du serveur Migrate et une base de données PlateSpin externe, vous pouvez configurer les systèmes d'exploitation hôtes afin qu'ils utilisent le protocole TLS 1.2 pour sécuriser les communications. Reportez-vous au point Serveur de base de données
dans la section Configuration système requise pour le serveur PlateSpin
du Guide d'installation et de mise à niveau de PlateSpin Migrate 2018.11.
Les mots de passe peuvent être inclus dans les diagnostics, qui sont accessibles aux utilisateurs autorisés. Vous devez vous assurer que les projets de migration de workload sont traités par du personnel habilité.
Le client PlateSpin Migrate peut stocker les informations d'identification localement sur l'hôte du client Migrate. Les mots de passes sont mis en cache, chiffrés et stockés en toute sécurité par le client PlateSpin Migrate à l'aide des API de système d'exploitation
PlateSpin Migrate propose un mécanisme d'autorisation et d'authentification utilisateur basé sur les rôles. Reportez-vous à la Section 4.1, Configuration de l'autorisation et de l'authentification utilisateur.
REMARQUE :si vous avez installé un serveur PlateSpin Migrate localisé pour une langue et un client PlateSpin Migrate localisé pour une autre langue, n'utilisez pas d'informations d'identification d'autorisation qui comprennent des caractères spécifiques à une langue. Cela entraînerait, en effet, un problème de communication entre le client et le serveur ; les informations d'identification sont rejetées comme étant non valides.