PlateSpin Migrate stellt Ihnen eine Reihe von Funktionen zur Verfügung, mit denen Sie Ihre Daten schützen und die Sicherheit Ihres Systems erhöhen können.
Es hat sich bewährt, zur Sicherheit Patches anzuwenden, die Sicherheitsschwachstellen am PlateSpin-Server-Host und PlateSpin Migrate-Client-Host beheben, genauso wie Sie auch bei anderen Windows-Servern in Ihrem Unternehmen vorgehen würden.
Micro Focus ist sich der Seitenkanal-Analyse-Schwachstellen bewusst, die in CVEs 2017-5715, 2017-5753 und 2017-5754 als „Meltdown“ und „Spectre“ beschrieben sind. Die aktuell empfohlenen Aktionen wurden auf die PlateSpin-Server-Images in der Cloud angewendet.
Wir empfehlen Ihnen dringend, Sicherheitsaktualisierungen anzuwenden, die derartige Bedrohungen ausschalten, wie von Microsoft für das Windows-Betriebssystem für die PlateSpin-Hosts empfohlen. Weitere Informationen finden Sie in der Dokumentation des Herstellers. Weitere Informationen finden Sie im Abschnitt Schützen Ihrer Windows-Geräte vor Spectre und Meltdown auf der Microsoft Support-Website.
Ein PlateSpin Migrate-Server speichert Protokolldateien und Datenbankdateien im PlateSpin Migrate-Installationsordner. Bei Ausführung der Migrationsaufträge aktualisiert der PlateSpin Migrate-Server diese Dateien regelmäßig. Anti-Virus-Anwendungen blockieren oder unterbrechen diese Aktualisierungen, wodurch die Leistung des PlateSpin Migrate-Servers beeinträchtigt wird. Anti-Virus-Anwendungen sollten entweder nicht auf dem PlateSpin Migrate-Server installiert werden oder der PlateSpin Migrate-Installationsordner muss zur Ausschlussliste der Anti-Virus-Anwendung hinzugefügt werden.
Der PlateSpin Migrate-Server unterstützt Verbindungen über Transport Layer Security (TLS) 1.0, 1.1 oder 1.2, je nachdem, welche Protokolle vom Host-Betriebssystem unterstützt werden. Verbindungen mit Ursprungs-Workloads werden standardmäßig über TLS 1.2 hergestellt, sofern das zugrunde liegende Betriebssystem und .NET Framework auf dem Server und dem Ursprungs-Workload das Protokoll unterstützen. Migrate beinhaltet keine Einstellung, die Clients zur Nutzung von TLS 1.2 für Verbindungen zwingt.
Durch Zulassen von TLS 1.0- oder TLS 1.1-Verbindungen lassen sich Ursprungs-Workloads mit älteren Windows-Betriebssystemen migrieren, die TLS 1.2 nicht oder nicht standardmäßig unterstützen.
WICHTIG:Durch Deaktivieren von TLS 1.0 ist eine Migration für Betriebssysteme, die TLS 1.2 nicht unterstützen, nicht möglich.
Um eine Verbindung mit TLS 1.2 herzustellen, müssen sowohl das Betriebssystem als auch die .NET Framework-Version auf dem Ursprungs-Workload TLS 1.2 unterstützen. Die Windows-Registrierungseinstellungen für das TLS 1.2-Protokoll müssen auf dem Migrate-Server und dem Ursprungs-Workload aktiviert sein.
Für Workloads, die TLS 1.2 nicht standardmäßig unterstützen, können Sie .NET Framework anhand der Microsoft Windows-Registrierungseinstellungen auf Windows-Ursprungs-Workloads zur Verwendung von TLS 1.2 zwingen, wenn der Workload eine Verbindung mit dem Migrate-Server herstellt. Möglicherweise ist ein Microsoft-Update für .NET Framework auf dem Ursprungs-Workload erforderlich, damit die TLS-System-Standardversionseinstellungen unterstützt werden. Ein Neustart ist erforderlich. Weitere Informationen finden Sie im Abschnitt Unterstützung für TLS 1.2
des Artikels Bewährte Methoden für Transport Layer Security (TLS) mit .NET Framework in der Microsoft-Dokumentation.
Damit die Übertragung der Workload-Daten sicherer ist, können Sie die Migrationsaufträge so konfigurieren, dass die Daten bei der Übertragung an das Ziel verschlüsselt werden. Wenn die Verschlüsselung aktiviert ist, wird die Datenübertragung vom Ursprung über das Netzwerk an das Ziel mit 128-Bit-AES (Advanced Encryption Standard) verschlüsselt. Weitere Informationen zum Aktivieren der Verschlüsselung bei der Datenübertragung für einen Migrationsauftrag finden Sie unter Abschnitt 28.12, Datenübertragung verschlüsseln.
Sie können Ihren PlateSpin-Server für die Verwendung eines Datenverschlüsselungs-Algorithmus konfigurieren, der FIPS (Federal Information Processing Standards, Publication 140-2) entspricht. Wenn die FIPS-Konformität erforderlich ist, muss der Datenverschlüsselungs-Algorithmus vor der Installation des PlateSpin-Servers auf Ihrem System installiert werden. Weitere Informationen hierzu finden Sie unter Aktivieren der Unterstützung für FIPS-konforme Datenverschlüsselungs-Algorithmen (optional)
in Ihrer Installationsanleitung.
Wenn FIPS in einem Ursprungs-Workload aktiviert ist, muss der Parameter EnforceFIPSCompliance auf dem PlateSpin Migrate-Server aktiviert sein, bevor der Ursprungs-Workload ermittelt werden kann. Weitere Informationen hierzu finden Sie in Abschnitt 5.3, Erzwingen der FIPS-Konformität für FIPS-fähige Ursprungs-Workloads.
Die Datenübertragung zwischen dem PlateSpin-Server und dem PlateSpin Migrate-Client kann entweder über HTTP (Standard) oder HTTPS (Secure Hypertext Transfer Protocol) erfolgen. Aktivieren Sie SSL zur Sicherung der Datenübertragung zwischen dem Client und dem Server auf Ihrem PlateSpin-Server-Host und verwenden Sie HTTPS, wenn Sie die Server-URL angeben. Weitere Informationen hierzu finden Sie unter Herstellen einer Verbindung mit einem PlateSpin Migrate-Server.
Berechtigungsnachweise, die Sie für den Zugriff auf Ursprünge und Ziele in Workload-Migrationsaufträgen verwenden:
werden mithilfe von Betriebssystem-APIs im Cache gespeichert, verschlüsselt und vom PlateSpin Migrate-Client sicher gespeichert.
werden in der PlateSpin Migrate-Datenbank gespeichert und unterliegen daher denselben Sicherheitsmechanismen, die Sie für PlateSpin-Server-Hosts implementiert haben.
sind in der Diagnose enthalten, die für berechtigte Benutzer zugänglich ist. Sie sollten sicherstellen, dass Workload-Migrationsprojekte von befugten Mitarbeitern bearbeitet werden.
PlateSpin Migrate bietet einen rollenbasierten Benutzerautorisierungs- und -authentifizierungsmechanismus. Weitere Informationen hierzu finden Sie in Abschnitt 4.1, Konfigurieren der Benutzerautorisierung und -authentifizierung.
HINWEIS:Wenn ein PlateSpin Migrate-Server in einer bestimmten Sprache installiert ist und ein PlateSpin Migrate-Client in einer anderen Sprache, verzichten Sie in den Autorisierungsberechtigungen auf sprachspezifische Zeichen. Die Verwendung solcher Zeichen in der Anmeldeberechtigung kann zu einem Kommunikationsfehler zwischen dem Client und dem Server führen und die Berechtigungen werden als ungültig abgelehnt.