Construire et maintenir Système et réseaux Sécurité

Exigence 1 : installer et maintenir une configuration pare-feu pour protéger les données de porteurs de cartes

Recommandations et informations pour Exigence 1

Installez le Client WebFOCUS et le serveur de rapports WebFOCUS sur un segment réseau interne (sécurisée) qui ne soit pas exposé à Internet Demilitarized Zone (DMZ).
Les ports écouteurs TCP/IP sont requis pour certaines fonctionnalités WebFOCUS. WebFOCUS communique aussi avec d'autres serveurs non-WebFOCUS via TCP/IP, ce qui nécessite un accès à ces ports.

Ports WebFOCUS Ecouteur TCP/IP

Ports TCP/IP par défaut	Utilisation	Remarques
Ports Ecouteurs TCP/IP du serveur de rapports WebFOCUS
8120	Ecouteur TCP/IP	Ne devrait être accessible que depuis le Client WebFOCUS et le serveur de distribution ReportCaster.
8121	Écouteur HTTP ou HTTPS	Ne devrait être accessible que depuis un réseau interne (sécurisé).
8122	Écouteur FOCUS	Peut être désactivé en cas d'absence d'accès à des sources de données FOCUS multi-utilisateurs.
8123	Écouteurs services Java (JSCOM3)	Des écouteurs supplémentaires JSCOM3 vont nécessiter des numéros de port s'incrémentant de un (8124-nnnn).
Client WebFOCUS
1527	Base de données relationnelle	Apache™ Derby par défaut, mais d'autres bases de données relationnelles peuvent être utilisées.
Ports TCP/IP ReportCaster
8200	Écouteur principal	Devrait être accessible depuis le Client WebFOCUS.

Accès requis à des ports HTTP et TCP/IP non-WebFOCUS

Ports TCP/IP par défaut	Utilisation	Remarques
Accès du Serveur de rapports WebFOCUS aux ports TCP/IP
Dépendant du site	Adaptateurs de données	Utilisé pour connexions JDBC et natives aux serveurs de base de données.
Dépendant du site	Adaptateur pour Services Web	Peut nécessiter un accès au port HTTP.
Dépendant du site	WebFOCUS Graphics, XLSX, et Magnify pour requête d'indexation	Nécessite un accès au port HTTP. En cas d'utilisation de SSL ou de tout autre type de connexion unique, JSCOM3 doit être utilisé.
389	Serveur LDAP	Utilisé pour communication LDAP.
636	Serveur LDAP	Utilisé pour communication LDAP sur TLS/SSL.
Accès ReportCaster aux ports TCP/IP
25	Serveur de messagerie	Utilisé pour connexion SMTP.
Dépendant du site	Accès JDBC au serveur de base de données	Utilisé pour accès au référentiel.
389	Serveur LDAP	Utilisé pour communication LDAP.
636	Serveur LDAP	Utilisé pour communication LDAP sur TLS/SSL.

L'image suivante illustre un modèle d'architecture WebFOCUS standard et l'utilisation des ports écouteur TCP/IP.

Exigence 2 : ne pas utiliser les valeurs par défaut du fournisseur pour les mots de passe système et autres paramètres de sécurité

Recommandations et informations pour Section Exigence 2.1

Modifiez les informations de connexion Administration WebFOCUS Managed Reporting par défaut.
Remarque : typiquement, au sein d'un environnement de production, l'accès à la console d'administration sera désactivé, de façon à ne pas avoir à modifier les paramètres de configuration.
Dans le cas d'une installation de Apache Tomcat™ à partir de WebFOCUS media, modifiez les informations de connexion à l'administration de Tomcat.
Révisez et appliquez, si nécessaire, les paramètres de sécurité décrits dans la documentation Meilleures pratiques Assurance Information.

Recommandations et informations pour Section Exigence 2.2.1

Installez WebFOCUS sous une architecture ayant au moins 3 niveaux, où le client WebFOCUS est installé sur une machine, le serveur de distribution ReportCaster et le serveur de rapports WebFOCUS sont installés sur une seconde, et le ou les serveurs de données sur des machine séparées.
Les règles du pare-feu peuvent être établies en fonction des informations de l'Exigence 1. Le paramètre de configuration RESTRICT_TO_IP du serveur de rapports WebFOCUS peut être utilisé pour restreindre l'accès aux écouteurs HTTP et TCP/IP.

Recommandations et informations pour Section Exigences 2.2.2 et 2.2.3

Configurez le client WebFOCUS et le serveur de rapports WebFOCUS avec le protocole SSL pour fournir une communication sécurisée HTTPS. Pour plus d'informations, consulter les rubriques qui y sont liées dans cet appendice et dans le manuel Administration Serveur.

Recommandations et informations pour Section Exigence 2.2.4

N'installez aucun logiciel supplémentaire ou fonctionnalités qui ne soient pas requis par WebFOCUS.

Le client WebFOCUS nécessite au minimum :
- Serveur d'application Java et Machine Virtuelle Java
- Système de gestion de bases de données relationnelles
Le serveur de rapports WebFOCUS nécessite :
- Pilotes d'accès aux bases de données
- Machine Virtuelle Java
ReportCaster nécessite :
- Machine Virtuelle Java

Recommandations et informations pour Section Exigence 2.3

La console du serveur de rapports WebFOCUS peut être configurée pour HTTPS. Pour plus d'informations sur la configuration, consultez le manuel Administration Serveur.
La communication avec le Client WebFOCUS doit utiliser SSL pour accéder à l'infrastructure du serveur web ou du serveur d'applications.