PlateSpin Migrateには、データを守り、セキュリティを向上させるために役立つ機能が用意されています。
企業内におけるその他のWindowsサーバの場合と同様に、PlateSpin ServerホストおよびPlateSpin Migrate Clientホストについても、ベストプラクティスとしてセキュリティ脆弱性に対応するパッチを適用する必要があります。
Micro Focusは、サイドチャネル分析の脆弱性を認識しています。これは、CVEs 2017-5715、2017-5753、2017-5754で説明されており、メルトダウンおよびスペクターと呼ばれています。現在推奨されているアクションは、クラウド内のPlateSpin Serverイメージに適用済みです。
PlateSpinホスト用のWindowsオペレーティングシステムに対し、Microsoftの推奨に従って、このような脅威に対応するセキュリティ更新を適用することを強くお勧めします。ベンダ固有のドキュメントにその内容が詳述されています。MicrosoftサポートWebサイトで「スペクターとメルトダウンからWindowsデバイスを保護する」を参照してください。
PlateSpin Migrateサーバは、PlateSpinマイグレーションインストールフォルダにログファイルとデータベースファイルを格納します。マイグレーションジョブが実行中の間、PlateSpin Migrateサーバはこれらのファイルを頻繁にアップデートします。ウィルス対策アプリケーションはこれらのアップデートをブロックしたり中断したりするため、PlateSpin Migrateサーバのパフォーマンスに悪影響を与えます。ウィルス対策アプリケーションをPlateSpin Migrateサーバにインストールしないか、PlateSpin Migrateインストールフォルダをウィルス対策アプリケーションの除外リストに追加する必要があります。
PlateSpin Migrateサーバは、ホストOSのサポートするプロトコルに応じて、Transport Layer Security (TLS) 1.0、1.1、または1.2プロトコルを使用する接続をサポートします。サーバおよびソースワークロードの基盤となるOSと.NET Frameworkがサポートしている場合、PlateSpin Migrateサーバはソースワークロードとの接続に、デフォルトでTLS 1.2を使用します。Migrateには、TLS 1.2を使用して接続することをクライアントに強制する設定はありません。
TLS 1.0またはTLS 1.1による接続が許容されているため、TLS 1.2をサポートしない、またはTLS 1.2をデフォルトでサポートしない古いバージョンのWindowsオペレーティングシステムによるソースワークロードのマイグレーションが可能になっています。
重要:TLS 1.0を無効にすることで、TLS 1.2をサポートしないオペレーティングシステムのマイグレーションが回避されます。
TLS 1.2を使用して接続するには、ソースワークロード上のOSおよび.NET Frameworkの両方のバージョンがTLS 1.2をサポートしている必要があります。Migrateサーバとソースワークロード上で、Windowsレジストリ設定をTLS 1.2プロトコルに対して有効にする必要があります。
TLS 1.2をデフォルトでサポートしていないワークロードの場合、ソースのWindowsワークロード上のMicrosoft Windowsレジストリ設定を使用して、ワークロードがMigrateサーバに接続するときに.NET FrameworkがTLS 1.2を選択することを強制することができます。TLSシステムのデフォルトバージョンの設定に対するサポートを追加するには、ソースワークロード上で.NET Frameworkに対するMicrosoftアップデートが必要になる場合があります。再起動が必要です。Microsoftドキュメントの『.NET Framework でのトランスポート層セキュリティ (TLS) のベスト プラクティス』のTLS 1.2のサポート
を参照してください。
ワークロードデータの送信をより安全なものにするためには、送信先に送信するデータを暗号化するためのマイグレーションジョブを設定することができます。暗号化が有効な場合、ソースからターゲットへのネットワーク経由のデータ転送は、128ビットAES (Advanced Encryption Standard)を使用して暗号化されます。マイグレーションジョブのデータ転送中に暗号化を有効にする方法については、セクション 28.12, データ転送の暗号化を参照してください。
PlateSpin ServerがFIPS (Federal Information Processing Standards、Publication 140-2)に対応するデータ暗号化アルゴリズムを使用するように構成します。FIPSへの対応が必要な場合、PlateSpin Serverのインストール前にFIPSをシステムに設定する必要があります。『インストールガイド』のFIPS対応のデータ暗号化アルゴリズムのサポートを有効にする(オプション)
を参照してください。
ソースワークロードでFIPSが有効な場合、ソースワークロードを検出する前に、PlateSpin MigrateサーバでEnforceFIPSComplianceパラメータが有効であることを確認します。詳細については、セクション 5.3, FIPS対応のソースワークロードへのFIPSコンプライアンスの適用を参照してください。
PlateSpin ServerとPlateSpin Migrate Client間のデータ転送は、HTTP (デフォルト)かHTTPS (Secure Hypertext Transfer Protocol)のいずれかを使用するように設定できます。サーバとクライアント間のデータ転送をセキュリティで保護するためには、PlateSpin Serverホスト上でSSLを有効にし、サーバのURLを指定時にHTTPSを使用します。PlateSpin Migrate Serverへの接続を参照してください。
ワークロードマイグレーションジョブの送信元と送信先にアクセスするために使用する資格情報は、次のとおりです。
オペレーティングシステムのAPIを使用して、PlateSpin Migrate Clientによりキャッシュされ、暗号化され、安全に保管されている。
PlateSpin データベースに保管されるため、PlateSpin Migrate Serverホストに適切な、同じセキュリティセーフガードによりカバーされている。
資格のあるユーザがアクセスできる診断に含まれている。ワークロードマイグレーションプロジェクトは認定されたスタッフにより処理されていることを保証してください。
PlateSpin Migrateは、役割ベースのユーザ権限および認証メカニズムを提供します。セクション 4.1, ユーザ権限および認証の設定を参照してください。
メモ:1種類の言語にローカライズしたPlateSpin Migrateサーバおよびそれとは別の言語にローカライズしたPlateSpin Migrate Clientをインストールしている場合は、それらの言語に固有の文字を使用した承認資格情報を使用しないでください。そのようなログイン資格情報を使用すると、クライアントとサーバとの間で誤った通信が発生し、その資格情報が無効として拒否されます。