2.3 Sécurité et confidentialité

Pour des raisons de sécurité, vous devez appliquer les correctifs qui corrigent les vulnérabilités de sécurité de l'hôte du serveur PlateSpin et de l'hôte du client PlateSpin Migrate, comme vous le feriez pour les autres serveurs Windows dans votre entreprise.

Micro Focus connaît les vulnérabilités par canal auxiliaire décrites dans les CVE 2017-5715, 2017-5753 et 2017-5754, appelées Meltdown et Spectre. Les actions recommandées actuelles ont été appliquées sur les images de serveur PlateSpin dans le cloud.

Nous vous recommandons d'appliquer les mises à jour de sécurité qui répondent à de telles menaces, tel que recommandé par Microsoft pour le système d'exploitation Windows des hôtes PlateSpin. Pour plus d'informations, consultez la documentation du fournisseur. Reportez-vous à la section Protection de vos appareils Windows contre Spectre et Meltdown sur le site Web du support Microsoft.

Un serveur PlateSpin Migrate stocke les fichiers journaux et les fichiers de base de données dans le dossier d'installation de PlateSpin Migration. Pendant l'exécution des tâches de migration, le serveur PlateSpin Migrate met à jour ces fichiers fréquemment. Les applications anti-virus bloquent ces mises à jour ou les interrompent, ce qui a un impact sur les performances du serveur PlateSpin Migrate. Les applications anti-virus ne doivent pas être installées sur le serveur PlateSpin Migrate ou le dossier d'installation de PlateSpin Migrate doit être ajouté à la liste d'exclusion des applications anti-virus.

Le serveur PlateSpin Migrate prend en charge les connexions à l'aide du protocole TLS (Transport Layer Security) 1.0, 1.1 ou 1.2, selon les protocoles pris en charge par le système d'exploitation hôte. Le serveur PlateSpin Migrate utilise TLS 1.2 par défaut pour les connexions avec les workloads sources si le système d'exploitation sous-jacent et l'instance .NET Framework sur le serveur et sur le workload source le prennent en charge. PlateSpin Migrate ne dispose pas d'un paramètre qui force les clients à utiliser TLS 1.2 pour se connecter.

Le fait d'autoriser des connexions TLS 1.0 ou TLS 1.1 permet de migrer des workloads sources avec des systèmes d'exploitation Windows plus anciens qui ne prennent pas en charge TLS 1.2 ou ne le prennent pas en charge par défaut.

Pour vous connecter à l'aide de TLS 1.2, les versions du système d'exploitation et de .NET Framework sur le workload source doivent prendre en charge TLS 1.2. Les paramètres du Registre Windows doivent être activés pour le protocole TLS 1.2 sur le serveur Migrate et sur le workload source.

Pour les workloads qui ne prennent pas en charge TLS 1.2 par défaut, vous pouvez utiliser les paramètres du Registre de Microsoft Windows sur les workloads sources Windows pour forcer .NET Framework à choisir TLS 1.2 lorsque le workload se connecte au serveur Migrate. Une mise à jour de Microsoft pour .NET Framework peut être requise sur le workload source afin de prendre en charge les paramètres de la version par défaut du système TLS. Un redémarrage est requis. Reportez-vous à la section Prise en charge de TLS 1.2 dans Meilleures pratiques du protocole TLS (Transport Layer Security) avec .NET Framework dans la documentation de Microsoft.

Pour sécuriser davantage le transfert de vos données de workload, vous pouvez configurer vos tâches de migration afin de coder les données en transit vers la cible. Lorsque le chiffrement est activé, le transfert de données sur le réseau à partir de la source vers la cible est codé à l'aide de la norme AES (Advanced Encryption Standard) 128 bits. Pour plus d'informations sur la procédure d'activation du codage pendant le transfert des données pour une tâche de migration, reportez-vous à la Section 28.12, Chiffrement du transfert de données.

Vous pouvez configurer votre serveur PlateSpin pour qu'il utilise un algorithme de codage des données conforme à la norme FIPS (Federal Information Processing Standards) 140-2. Si la conformité à la norme FIPS est requise, elle doit être configurée sur votre système avant d'installer le serveur PlateSpin Reportez-vous à la section Activation de la prise en charge des algorithmes de codage de données conformes à la norme FIPS (facultatif) du Guide d'installation.

Si la norme FIPS est activée sur un workload source, vérifiez que le paramètre EnforceFIPSCompliance est activé sur le serveur PlateSpin Migrate avant de découvrir le workload source. Reportez-vous à la Section 5.3, Application de la conformité FIPS pour les workloads sources compatibles FIPS.

La transmission de données entre le serveur PlateSpin et le client PlateSpin Migrate peut être configurée pour utiliser le protocole HTTP (par défaut) ou HTTPS (protocole sécurisé). Pour sécuriser la transmission de données entre le client et le serveur, activez SSL sur l'hôte du serveur PlateSpin et utilisez le protocole HTTPS lorsque vous spécifiez l'URL du serveur. Reportez-vous à la section Connexion à un serveur PlateSpin Migrate.

Les informations d'identification que vous utilisez pour accéder aux sources et aux cibles dans des tâches de migration de workload sont :

PlateSpin Migrate propose un mécanisme d'autorisation et d'authentification utilisateur basé sur les rôles. Reportez-vous à la Section 4.1, Configuration de l'autorisation et de l'authentification utilisateur.