Construir e Manter uma Rede e Sistemas Seguros

Requerimento 1: Instalar e manter uma configuração de firewall para proteger os dados do proprietário do cartão

Recomendações e Informações para o Requerimento 1

Instale o WebFOCUS Client e o WebFOCUS Reporting Server em um segmento de rede interno (confiável) que não esteja exposto à zona desmilitarizada (DMZ).
Portas do listener TCP/IP são necessário para certos recursos do WebFOCUS. O WebFOCUS também se comunica com outros servidor não-WebFOCUS por TCP/IP, necessitando de acesso a estas portas.

Portas de Listener do WebFOCUS TCP/IP

Portas TCP/IP Padrão	Utilização	Comentários
Portas do Listener TCP/IP do WebFOCUS Reporting Server
8120	Listener TCP/IP	Deve ser acessível apenas pelo WebFOCUS Client e pelo ReportCaster Distribution Server.
8121	Listener HTTP ou HTTPS	Deve ser acessível apenas a partir da rede interna (confiável).
8122	Listener do FOCUS	Pode ser desabilitado se fontes de dados FOCUS de diversos usuários não estiverem sendo acessadas.
8123	Listener do Java Services (JSCOM3)	Listeners JSCOM3 adicionais necessitarão de números de porta que aumentam de um a um (8124-nnnn)
Cliente WebFOCUS
1527	Banco de Dados Relacionais	Apache™ Derby por padrão, mas outros bancos de dados relacionais podem ser utilizados.
Portas TCP/IP do ReportCaster
8200	Listener principal	Deve ser acessível a partir do WebFOCUS Client.

Acesso Necessário para Portas TCP/IP e HTTP Não-WebFOCUS

Portas TCP/IP Padrão	Utilização	Comentários
Acesso ao WebFOCUS Reporting Server para Portas TCP/IP
Dependente do site	Adaptadores de dados	Utilizado para conexões originais e JDBC aos servidores de banco de dados.
Dependente do site	Adaptador para Serviços da Web	Acesso à porta HTTP pode ser necessário.
Dependente do site	WebFOCUS Graphics, XLSX e Magnify para a indexação das solicitações	Acesso à porta HTTP é necessário. Se estiver utilizando SSL ou qualquer tipo de conexão única, o JSCOM3 precisa ser utilizado.
389	Servidor LDAP	Utilizado para comunicação LDAP.
636	Servidor LDAP	Utilizado para comunicação em TLS/SSL.
Acesso do ReportCaster a Portas TCP/IP
25	Servidor de e-mail	Utilizado para conexões SMTP.
Dependente do site	Acesso JDBC ao servidor de banco de dados	Utilizado para acesso ao repositório.
389	Servidor LDAP	Utilizado para comunicação LDAP.
636	Servidor LDAP	Utilizado para comunicação em TLS/SSL.

A imagem a seguir ilustra um modelo padrão de arquitetura do WebFOCUS e utiliza as portas de listener TCP/IP.

Requerimento 2: Não utilizar padrões fornecidos fornecedores para senhas do sistema e outros parâmetros de segurança

Recomendações e Informações para a Seção de Requerimento 2.1

Altere as credenciais padrão do WebFOCUS Managed Reporting.
Observação: Normalmente, dentro de um ambiente de produção, o acesso ao Console Administrativo será desabilitado já que as definições de configuração não serão alteradas.
Ao instalar o Apache Tomcat™ a partir da mídia do WebFOCUS, altere as credenciais de administração do Tomcat.
Revise e aplique, quando necessário, as definições de segurança descritas na documentação Melhores Práticas de Garantia da Informação.

Recomendações e Informações para a Seção de Requerimento 2.2.1

Instale o WebFOCUS em uma arquitetura com pelo menos três níveis, onde o WebFOCUS Client é instalado em uma máquina, o ReportCaster Distribution Server e o WebFOCUS Reporting Server em uma segunda e os servidores de banco de dados em máquinas separadas.
As regras de firewall podem ser estabelecidas com base nas informações do Requerimento 1. O parâmetro de configuração RESTRICT_TO_IP do WebFOCUS Reporting Server pode ser utilizado para restringir o acesso aos listeneres TCP/IP e HTTP.

Recomendações e Informações para as Seções de Requerimento 2.2.2 e 2.2.3

Configura o WebFOCUS Client e o WebFOCUS Reporting Server com o protocolo SSL para fornecer comunicação HTTPS segura. Para obter mais informações, consulte os tópicos relacionados neste apêndice e o manual Administração de Servidores.

Recomendações e Informações para a Seção de Requerimento 2.2.4

Não instale software ou recursos adicionais que não sejam obrigatórios para o WebFOCUS.

Os requisitos mínimos do WebFOCUS Client são:
- Servidor de Aplicativos Java e Máquina Virtual Java
- Sistema de Gerenciamento de Bancos de Dados Relacionais
O Servidor de Relatórios do WebFOCUS exige:
- Drivers de bancos de dados para acesso a banco de dados
- Java Virtual Machine
O ReportCaster exige:
- Java Virtual Machine

Recomendações e Informações para a Seção de Requerimento 2.3

O Console do WebFOCUS Reporting Server pode ser configurado para HTTPS. Para obter informações sobre configuração, consulte o manual de Administração do Servidor.
A comunicação com o WebFOCUS CLient deve utilizar o SSL para acessar a infraestrutura do servidor da web ou do servidor de aplicativos.