Protection
Cette rubrique décrit les normes prises en charge pour la protection DB2.
Normes de chiffrement pour DB2
Le tableau suivant décrit les normes de chiffrement prises en charge pour DB2.
Chiffrement |
Authentification |
Données |
DB2 pour z/OS |
DB2 pour i5/OS |
DB2 pour LUW |
Kerberos |
Oui |
Non |
V8 |
V5R3 |
V8 |
SSL V3 |
Oui |
Oui |
V9 |
V5R4 |
V9.1 |
TLS V1 |
Oui |
Oui |
V9 |
V5R4 |
V9.1 |
AES |
Oui |
Non |
V8 (APAR PK56287) |
V5R4 |
V9.5 (Fix Pack 3) |
Configuration pour optimiser le niveau de protection
Le fournisseur de données autorise au groupe public DB2 l'exécution sur le package DB2
Lors de la création de packages DB2, l'outil d'accès aux données et les fournisseurs de données DB2 définissent sur PUBLIC (ce qui inclut tous les utilisateurs DB2) les autorisations EXECUTE pour les packages DB2. De manière à accroître le niveau de sécurité sur votre serveur DB2, il est recommandé de révoquer les autorisations d'exécution PUBLIC sur ces packages et de les octroyer uniquement à des utilisateurs ou groupes DB2 sélectionnés. Les autorisations accordées à PUBLIC sont octroyées à tous les utilisateurs DB2, ce qui peut exposer votre serveur DB2 à des attaques.
Le fournisseur de données stocke le nom d'utilisateur en texte brut dans le fichier UDL ou dans un fichier de chaîne de connexion
Par défaut, lorsque vous utilisez l'Assistant Source de données ou les liaisons de données, le fournisseur de données stocke le nom d'utilisateur en texte brut dans le fichier UDL ou dans un fichier de connexion. Il est recommandé de configurer le fournisseur de données de manière à ce qu'il utilise l'authentification unique de l'entreprise, laquelle intègre les comptes Windows Active Directory et les informations d'identification DB2 dans le système hôte IBM. Les administrateurs mappent l'hôte et les informations d'identification DB2 aux comptes AD, en les stockant dans une base de données SQL Server chiffrée. Le fournisseur de données récupère ces mappages au moment de l'exécution pour authentifier de manière sécurisée des utilisateurs sur des serveurs de base de données IBM DB2 distants. Pour plus d'informations sur l'authentification unique de l'entreprise, consultez le guide de l'utilisateur relatif à la sécurité de Host Integration Server 2010 Security User's Guide (https://go.microsoft.com/fwlink/?LinkID=180767) (en anglais).
Le fournisseur de données prend en charge le chiffrement faible basé sur DES (Data Encryption Standard) et Diffie-Hellman
À titre facultatif, le fournisseur de données prend en charge l'authentification et le chiffrement de données à l'aide des technologies de chiffrement faible DES à 56 bits. Il est recommandé de configurer le fournisseur de données de manière à ce qu'il utilise le chiffrement de données basé sur le protocole SSL (Secure Sockets Layer) version 3.0 ou TLS (Transport Layer Security) version 1.0. Pour chiffrer uniquement l'authentification, vous pouvez faire appel à la norme AES (Advanced Encryption Standard) pour prendre en charge le chiffrement 256 bits.
Le fournisseur de données se connecte en utilisant un mot de passe et un nom d'utilisateur non chiffrés, en texte brut.
Par défaut, le fournisseur de données se connecte aux ordinateurs serveur DB2 distants via un réseau TCP/IP à l'aide de l'authentification de base, dans laquelle le nom d'utilisateur et le mot de passe ne sont pas chiffrés et sont envoyés en texte brut. Il est recommandé de configurer le fournisseur de données pour qu'il utilise soit le chiffrement de l'authentification à l'aide de Kerberos, SSL version 3.0 ou TLS version 1.0, soit le chiffrement de l'authentification à l'aide d'AES.
Le fournisseur de données envoie et reçoit des données non chiffrées
Par défaut, le fournisseur de données envoie et reçoit des données non chiffrées. Il est recommandé de configurer le fournisseur de données de manière à ce qu'il utilise le chiffrement de données à l'aide du protocole SSL version 3.0 ou TLS version 1.0.
Le fournisseur de données envoie un flux réseau supplémentaire pour prendre en charge la préparation différée
À titre facultatif, vous pouvez spécifier la valeur TRUE pour indiquer au fournisseur de données d'optimiser le traitement des commandes de base de données paramétrables. La valeur par défaut est FALSE. Pour les commandes INSERT, UPDATE et DELETE, le fournisseur de données combine des commandes PREPARE, EXECUTE et COMMIT en un seul flux réseau vers la base de données distante. Pour la commande SELECT, le fournisseur de données combine des commandes PREPARE et EXECUTE en un seul flux réseau. Cette optimisation réduit le trafic réseau et permet d'améliorer les performances globales.