Configuración del entorno criptográfico

Evalúe el nivel de seguridad necesario para su entorno antes de configurar el sistema.

Entre los factores típicos que influyen en la decisión del nivel de protección que debe tener un sistema se incluyen los siguientes:

Exposición externa
¿Quiénes son los usuarios? ¿Son usuarios internos?
Uso público de Internet
¿Se puede acceder al sistema a través de Internet? ¿Existe una red privada virtual (VPN)?
Confidencialidad de los datos
Departamentos como recursos humanos, finanzas y contabilidad desean con toda probabilidad que los datos estén protegidos del mejor modo posible.

Para obtener más información sobre la criptografía en IBM® Cognos BI, consulte: Servicios criptográficos. Para obtener más información sobre la configuración de los valores criptográficos, consulte la publicación IBM Cognos Business Intelligence Guía de instalación y configuración.

Proveedores criptográficos y fortaleza de cifrado

Para poder ejecutarse, los componentes de IBM Cognos BI requieren un proveedor criptográfico. Si suprime el proveedor criptográfico predeterminado, debe configurar otro proveedor.

Puede configurar proveedores criptográficos para utilizarlos con una entidad emisora de certificados soportada, por ejemplo Entrust.

Cuando elija el proveedor criptográfico, la fortaleza de cifrado no debe ser el factor principal a tener en cuenta. El cifrado proporcionado por el proveedor de IBM Cognos es lo suficientemente seguro para la mayoría de aplicaciones. Una configuración de alta seguridad depende no sólo de la fortaleza de cifrado, sino de la seguridad de todo el sistema, que incluye el acceso físico a los directorios, las políticas de contraseña, etc. Si su entorno está expuesto a Internet y maneja datos muy confidenciales, debe considerar la utilización de una entidad emisora de certificados de terceros.

La entidad emisora de certificados (CA)

Al implementar el proveedor criptográfico de IBM Cognos, se utiliza de forma predeterminada la entidad emisora de certificados de IBM Cognos BI, AutoCA. AutoCA firma los certificados internos y proporciona todas las funcionalidades necesarias para establecer la raíz de confianza en la infraestructura de seguridad de IBM Cognos.

AutoCA es suficiente para las configuraciones simples y los entornos de prueba, pero tiene limitaciones en los entornos de desarrollo y producción. Por ejemplo, no puede proporcionar funciones de administración completas para los certificados emitidos y revocados, emitir certificados basados en una finalidad, como los certificados de correo, de servidor y privados, ni firmar los certificados de servidor web y de cliente.

Si tiene previsto habilitar SSL para el servidor web o el servidor de aplicaciones, o utilizar certificados de cliente, necesita una entidad emisora de certificados (CA) de terceros. Es probable que su organización ya haya implementado esta entidad emisora de certificados como parte de su infraestructura de seguridad. Cuando se utiliza una entidad emisora de certificados de terceros, se deben generar e importar los certificados necesarios. Para obtener más información, consulte la sección sobre la configuración de componentes de IBM Cognos BI para utilizar una entidad emisora de certificados de terceros en la publicación IBM Cognos Business Intelligence Guía de instalación y configuración.

Para los sistemas internos que no están expuestos a Internet, puede configurar su propia entidad emisora de certificados utilizando el software de código abierto OpenSSL.

IBM Cognos BI no admite los certificados autofirmados, ya que no cumplen los principios de la infraestructura de claves públicas (PKI).

Paquetes de cifrado y servidores de aplicaciones soportados

En las instalaciones distribuidas, debe especificar el mismo conjunto de paquetes de cifrado para todos los componentes de instalación. La combinación de cifrados, especialmente los de mayor numeración con los de menor numeración puede causar problemas. Los conjuntos deben contener al menos un paquete común. De lo contrario, se producirá un error en la negociación de SSL y no se podrá establecer la conexión.

Los paquetes de cifrado también resultan afectados por el servidor de aplicaciones que se utiliza para ejecutar IBM Cognos BI. Si se utiliza Tomcat, el código de IBM Cognos genera los certificados de servidor y cambia Tomcat por las escuchas SSL. Los paquetes de cifrado configurados en IBM Cognos BI son los únicos cifrados que pueden utilizarse. Si se utiliza un servidor de aplicaciones que no sea Tomcat, debe habilitarse SSL en el servidor de aplicaciones antes de que se configuren los paquetes de cifrado en IBM Cognos BI. Asegúrese de que el conjunto de paquetes de cifrado que especifique en IBM Cognos Configuration contenga al menos uno de los paquetes de cifrado configurados en el servidor de aplicaciones. De lo contrario, la conexión SSL no se inicializará.

Especifique la lista de paquetes de cifrado en secuencia de prioridad, de forma que los cifrados de mayor numeración aparezcan primero.

Habilitación de SSL

Cuando se utiliza SSL (Secure Sockets Layer), se protegen los datos que se cruzan entre los servidores web, los servidores de aplicaciones y los servidores LDAP. A excepción de los servidores web, los servidores son internos y están protegidos por un cortafuegos. Para los enlaces de red externos, generalmente puede confiar en la seguridad de red. Si esta seguridad no es suficiente, debe habilitarse SSL para las comunicaciones entre los componentes de IBM Cognos BI y otros servidores.

La habilitación de SSL requiere una entidad emisora de certificados(CA) y un administrador con buenos conocimientos de la tecnología PKI (infraestructura de claves públicas) y SSL.

Puede configurar los componentes de IBM Cognos para utilizar el protocolo SSL para:

Conexiones internas
Si configura SSL sólo para las conexiones internas, los componentes de IBM Cognos del sistema local se comunicarán utilizando este protocolo. El asignador escucha las conexiones seguras en un puerto distinto que el utilizado para las solicitudes HTTP remotas. Por lo tanto, debe configurar dos URI de asignador.

Si utiliza Tomcat para ejecutar IBM Cognos BI, configure el protocolo SSL en IBM Cognos Configuration. Si utiliza un tipo distinto de servidor de aplicaciones, el protocolo SSL debe configurarse en el servidor de aplicaciones.
Conexiones externas
Si configura SSL sólo para las conexiones externas, las comunicaciones de los componentes remotos de IBM Cognos con el sistema local utilizarán el protocolo SSL. Debe configurar el asignador de forma que escuche solicitudes remotas seguras en un puerto distinto al de las solicitudes HTTP locales. También debe configurar los URI de Content Manager y el URI de asignador de forma que las aplicaciones externas utilicen el mismo protocolo y puerto que el asignador externo.

En el caso de los servidores web a los que puede accederse externamente, la SSL siempre debe estar habilitada. Para obtener más información, consulte la publicación IBM Cognos Business Intelligence Guía de instalación y configuración.
Conexiones internas y externas
Si configura SSL para todas las conexiones, el asignador puede utilizar el mismo puerto para las conexiones internas y externas. Del mismo modo, si no utiliza SSL para la comunicación local o remota, el asignador puede utilizar el mismo puerto para todas las comunicaciones.

Asimismo, debe actualizar los URI de Content Manager, el URI de asignador para las aplicaciones externas y el URI de pasarela para utilizar SSL, si es necesario.
Conexiones LDAP
Si utiliza un servidor de directorios LDAP, puede habilitar LDAPS, el protocolo LDAP seguro, para las comunicaciones entre el componente de Access Manager y el servidor de directorios LDAP. El tráfico LDAP no seguro se transmite como texto no cifrado.

Para habilitar LDAPS, debe instalar un certificado de servidor que esté firmado por una entidad emisora de certificados (CA) en el servidor de directorios, crear una base de datos de certificados que contenga los certificados y configurar el servidor de directorios y el espacio de nombres LDAP de IBM Cognos BI para que utilice LDAPS.

Para obtener más información, consulte las secciones sobre la configuración de los proveedores de autenticación LDAP en la publicación IBM Cognos Business Intelligence Guía de instalación y configuración.

Para obtener más información sobre la configuración del protocolo SSL, consulte la publicación IBM Cognos Business Intelligence Guía de instalación y configuración.

Elección de una ubicación para la clave simétrica común

La clave simétrica común (CSK) se utiliza para cifrar y descifrar datos entre componentes en la instalación de IBM Cognos BI. La clave CSK se puede almacenar localmente o se puede solicitar cada vez que se realiza una operación criptográfica. El valor predeterminado es almacenar la clave localmente.

Solicitar la clave CSK para cada operación criptográfica proporciona más seguridad, pero puede afectar el rendimiento. Almacenarla localmente proporciona un mejor rendimiento, pero también puede exponerla si la seguridad del sistema está en peligro.

La solicitud de la clave CSK para cada operación criptográfica sólo se realiza para el sistema pasarela en los casos en que se ha instalado la pasarela de IBM Cognos BI separadamente de los componentes de Content Manager o de nivel de aplicación. El almacenamiento de la clave CSK localmente es adecuado en los sistemas de componentes de Content Manager y de nivel de aplicación, ya que dichos componentes estarían detrás del cortafuegos, mientras que es posible que la pasarela no lo esté.