2.3 安全性和保密性

作为安全性最佳实践，您应该将用于解决安全性漏洞的增补程序应用到 PlateSpin 服务器主机和 PlateSpin Migrate 客户端主机，如同您会对企业中的其他 Windows 服务器所做的那样。

Micro Focus 知道 CVE 2017-5715、2017-5753 和 2017-5754 中所述的旁路分析漏洞（称为 Meltdown 和 Spectre），已对云中的 PlateSpin 服务器映像运用最新的建议措施。

我们强烈建议您根据 Microsoft 的建议，对 PlateSpin 主机的 Windows 操作系统应用安全性更新来应对此类威胁。相关信息，请参见供应商文档。请参见 Microsoft 支持网站上的保护您的 Windows 设备免受 Spectre 和 Meltdown。

PlateSpin Migrate 服务器将日志文件和数据库文件储存在 PlateSpin Migrate 安装文件夹中。迁移作业运行期间，PlateSpin Migrate 服务器会不时更新这些文件。防病毒应用程序可能会阻止或中断这些更新，从而影响 PlateSpin Migrate 服务器性能。因此，不应在 PlateSpin Migrate 服务器上安装防病毒应用程序，或者必须将 PlateSpin Migrate 安装文件夹添加到防病毒应用程序的排除项列表。

PlateSpin Migrate 服务器支持使用传输层安全协议 (TLS) 1.0、1.1 或 1.2 进行连接，具体版本视其主机操作系统所支持的协议而定。如果 PlateSpin Migrate 服务器与源工作负载上的基础操作系统和 .NET Framework 都支持 TLS 1.2，则该服务器默认会使用该协议与源工作负载建立连接。Migrate 不提供强制客户端使用 TLS 1.2 进行连接的设置。

允许 TLS 1.0 或 TLS 1.1 连接可让您迁移装有不支持或默认不支持 TLS 1.2 的较旧 Windows 操作系统的源工作负载。

要使用 TLS 1.2 进行连接，源工作负载上的操作系统和 .NET Framework 版本都必须支持 TLS 1.2。必须为 Migrate 服务器和源工作负载上的 TLS 1.2 协议启用 Windows 注册表设置。

对于默认不支持 TLS 1.2 的工作负载，可以使用源 Windows 工作负载上的 Microsoft Windows 注册表设置，在工作负载连接到 Migrate 服务器时强制 .NET Framework 选择 TLS 1.2。可能需要在源工作负载上安装 .NET Framework 的 Microsoft 更新才能添加对 TLS 系统默认版本设置的支持。需要重引导。请参见 Microsoft 文档库中《Transport Layer Security (TLS) Best Practices with the .NET Framework》（.NET Framework 的传输层安全协议 (TLS) 最佳实践）中的Support for TLS 1.2（对 TLS 1.2 的支持）。

为了更安全地传输工作负载数据，您可以配置迁移作业，对正向目标传输的数据进行加密。启用加密后，系统将使用 128 位高级加密标准 (AES) 来加密通过网络进行的从源到目标的数据传输。有关如何对迁移作业启用在数据传输期间加密的信息，请参见部分 28.12, 加密数据传输。

您可以将 PlateSpin 服务器配置为使用符合 FIPS（联邦信息处理标准，发行号 140-2）的数据加密算法。如果要求符合 FIPS，则您在安装的 PlateSpin 服务器上设置该加密算法前，必须先在您的系统上进行设置。请参见《安装指南》中的启用对符合 FIPS 的数据加密算法的支持（可选）。

如果在源工作负载中启用了 FIPS，请确保在发现源工作负载之前，已在 PlateSpin Migrate 服务器上启用 EnforceFIPSCompliance 参数。请参见部分 5.3, 针对启用 FIPS 的源工作负载实施 FIPS 合规性。

可以将 PlateSpin 服务器与 PlateSpin Migrate 客户端之间的数据传送配置为使用 HTTP（默认）或 HTTPS（安全超文本传输协议）。为了保障客户端与服务器之间数据传输的安全，请在 PlateSpin 服务器主机上启用 SSL，并在指定服务器 URL 时使用 HTTPS。请参见连接 PlateSpin Migrate 服务器。

用于在工作负载迁移作业中访问源和目标的身份凭证将：

PlateSpin Migrate 提供了基于角色的用户授权和鉴定机制。请参见部分 4.1, 配置用户授权和鉴定。