Download - Seguridad en mainframe
SEGURIDAD EN MAINFRAME 2011 2011
TABLA DE CONTENIDO
Pág.INTRODUCCION………………………………………………………………………………………..……...…… 2
1. Servicios de seguridad e infraestructura……………………………………………………………………………………………… 2
2. Situación real de la seguridad en z/OS en el año 2009…………………………………………………………………….…. 4
2.1. ¿Es realmente seguro el entorno z/OS? ………………………………………………………………………………………..…. 42.2. La seguridad en los mainframes de IBM. ¿Mito o realidad? ………………………………………………………..….…. 42.3. ¿Cómo ha pasado el tiempo para System/360? …………………………………………………………………………….….. 52.4. ¿Es realmente seguro en la actualidad? …………………………………………………………………….…………………….. 5
3. RACF……………………………………………………………………………………………………………………………………................ 8
4. Tivoli zSecure Manager for RACF z/VM…………………………………………………………………………………………….… 9
5. System z9…………………………………………………………………………………………………………………………………………………………. 14
6. BIBLIOGRAFÍA……………………………………………………………………………………………………………………….…….…… 15
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
INTRODUCCION
No es frecuente hallar consenso cuando se habla de seguridad en mainframes IBM. En la mayoría de las
ocasiones se asocia a la seguridad z/OS y en concreto, al control de acceso a recursos (RACF). Otros
auditores se centran en la configuración de seguridad del producto o productos que se tengan para
gestionar la seguridad. También es usual, especialmente en entornos financieros, que la seguridad
del mainframe haga referencia al estado de las facilidades criptográficas, de sus importantes
implicaciones.
Esta variabilidad quizás se deba a que los mainframes son sistemas complejos donde corren aplicaciones
igualmente complejas, con lo que no son habituales auditorías integrales que cubran todos los posibles
elementos que guardan relación con la seguridad. Dependiendo de lo que nos diga la evaluación de
riesgos, se suelen atacar aspectos individuales con la finalidad de opinar sobre el estado de seguridad en
relación a un alcance específico. Este planteamiento es perfectamente válido, si bien a la larga puede
provocar que se altere el concepto de seguridad del mainframe, sobre todo si evaluamos únicamente
determinados aspectos de forma repetitiva y no la totalidad de elementos que son susceptibles de
análisis y que tienen implicación directa en la seguridad de estas máquinas transaccionales.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
1. Servicios de seguridad e infraestructura
Los servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel
superior, que puede ser directamente asignado al marco de seguridad de
IBM. Cada Administración de la Seguridad Fundacional componente representa controles
de negocio, en lugar de la tecnología.
Las propias subcapas constan de servicios individuales y relacionados entre sí:
La seguridad de la información y la infraestructura de gestión de eventos proporciona
la infraestructura para automatizar el registro de la agregación,
correlación y análisis. También permite a una organización reconocer, investigar y
responder a incidentes de forma automática, y agilizar los incidentes
el seguimiento y la manipulación, con el objetivo de mejorar las operaciones de
seguridad y riesgos de la información
de gestión.
La infraestructura de identidad, el acceso y el derecho proporciona servicios para la
gestión de usuarios contraseñas de aprovisionamiento, inicio de sesión único, control
de acceso, y la sincronización de usuarios información a través de directorios.
La infraestructura de la política de seguridad proporciona servicios para gestionar el
desarrollo
aplicación de políticas de seguridad de una manera coherente y automatizar el despliegue
de esas políticas a los sistemas informáticos.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
2. Situación real de la seguridad en z/OS en el año 2009
Esta tecnología no sólo está muy viva sino que actualmente protege el 80% de los datos de
nuestras mayores empresas, siendo particularmente cierto en el mundo de la banca.
a. ¿Es realmente seguro el entorno z/OS?
La falta de personal capacitado, el crecimiento de la complejidad y las unidades de
volumen que se manejan (miles de terminales conectados, cientos de miles de trabajos
ejecutados diariamente, centenares de millones de ficheros, decenas de TB de datos
sensibles gestionados por segundo, decenas de millones de transacciones realizadas
contra esos datos) impiden que realmente se puedan poner en marcha medidas que
puedan detectar aquellas acciones de usuarios que están destinadas a realizar fraudes,
destruir información o denegar el servicio durante días.
b. La seguridad en los mainframes de IBM. ¿Mito o realidad?
Su seguridad era inexpugnable, el bastión System/360 y sus evoluciones System/370,
System/XA y System/ESA estaban bajo el control exclusivo de los iniciados y era
realmente difícil hacerse con un manual de cualquiera de los aspectos que mostraban
esas tecnologías. Incluso siendo cliente había una gran cantidad de manuales que
describían el funcionamiento interno de los sistemas operativos y el hardware específico
que sólo podían ser consultados por los ingenieros de hardware o software de IBM.
El conocimiento de un entorno es la primera fase de cualquier acto ilícito informático:
Intrusión, fraude, destrucción de datos, robo de datos. Hasta mediados de los 80 era muy
difícil lograr material que ilustrase sobre el entorno de los mainframes de IBM.
Por lo tanto hasta los años 90 palabras como intrusión, hacking o ciberterrorismo no
existían en las arquitecturas informáticas basadas en mainframe. Las únicas situaciones
de riesgo que se consideraban era el fraude de algún programador que hábilmente había
decidido redondear sobre una cuenta a su favor cambios de divisa o liquidaciones de
cuentas.
En cualquier caso, algún fraude que si se pudo corroborar no salió del ámbito de la
compañía en cuestión para no dañar la imagen de la misma.
Este desconocimiento de la tecnología, unido a una disponibilidad cercana al 99,99%
hicieron concebir a la mente de los directivos de las grandes empresas que el mainframe
era inexpugnable.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
c. ¿Cómo ha pasado el tiempo para System/360?
A mediados de los años 90 el mainframe estaba totalmente cercado por las florecientes
tecnologías que surgían por doquier: TCP/IP, Unix, Windows, cliente/servidor, Zero
Administration; y nuevos jugadores con: Sun, HP, Microsoft.
Aquellas pantallas de fósforo verde o ámbar del mainframe fueron sustituidas por
pequeños ordenadores que conectados a servidores más potentes enseñaban
maravillosos gráficos y menús desplegables ergonómicamente adecuados.
Pero IBM supo reaccionar a tiempo y consolidar su tecnología en soluciones de hardware
y software que actuaban de súper servidor de datos de propósito general.
A los sistemas antes mencionados les siguieron el OS/390 y la gran esperanza de IBM: el
sistema operativo z/OS de 64 bits. Con ellos abrió su conectividad hacia el mundo IP,
relegando a un segundo plano al SNA e incluso desarrolló un emulador de Unix llamado
USS (Unix System Services) con el que tratar que sus grandes clientes usuarios de
mainframe no tuvieran que abandonarlo para desarrollar aplicaciones atractivas a los
usuarios en infraestructuras de otros fabricantes.
Hábilmente, el personal de marketing de los grandes sistemas como el que tratamos
acuñó otro término que defendiera su posición: El Rigthsizing o “cada tecnología se debe
de usar para su principal función”.
Desde el punto de vista económico las unidades de medida cambiaron de medir los costes
en miles de millones, a cientos de millones de las antiguas pesetas.
Cuarenta años después los pilares tecnológicos en los que se asentó la tecnología durante
los primeros quince siguen estando vigentes en las últimas versiones.
Si preguntamos a un director de Organización y sistemas sobre la seguridad de su mainframe
su respuesta será en un 99% que es un sistema totalmente seguro.
Si se lo preguntamos a un director de IT su respuesta será que: “con todos los problemas que
tienen en resguardar el mundo abierto no vamos ahora a decirle que el mainframe no es
seguro. ¡Por supuesto que es seguro!”.
Si le realizamos la misma pregunta al responsable de seguridad hará el entorno mainframe, el
90% de los encuestados nos dirá que conocen perfectamente los riesgos y las
vulnerabilidades pero que es muy difícil explotarlas, por lo que el riesgo es muy bajo.
d. ¿Es realmente seguro en la actualidad?
En el trabajo diario de auditar en profundidad estos sistemas en grandes empresas que tienen
el 90% de los datos soportados en mainframe, hemos comprobado que actualmente el
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
mainframe tiene nuevas amenazas que han llegado con la “modernidad” de los entornos
informáticos.
Podemos resumir las amenazas en una clasificación básica:
Descapitalización de profesionales:
IBM hace quince años comenzó con la desamortización de personal especializado en
mainframes a través de las prejubilaciones. En esta tendencia le siguió la Banca (su
principal cliente) y posteriormente la industria. Actualmente es prácticamente imposible
encontrar un profesional con experiencia suficiente cuya edad sea menor a 45 años.
Las nuevas generaciones “huyen” literalmente, de aprender la complejidad de estos
sistemas que están limitados a menos de 100 potenciales clientes en España.
La complejidad del sistema ha crecido de forma exponencial en los últimos diez años y el
conocimiento necesario respecto al número de profesionales ha decrecido en igual
proporción. El punto de encuentro de las dos tendencias es actualmente un equilibrio
delicado en cuanto a la inversión necesaria en horas de trabajo para mantener el sistema
seguro, frente al gran número de tareas del día a día en grupos de soporte cada vez de
menor tamaño.
Apertura en la conectividad:
En los últimos diez años se ha dotado al mainframe de la habilidad de hablarse con
cualquier otra infraestructura informática a través del TCP/IP, pero también de las
vulnerabilidades asociados a servicios como: FTP, HTTP.
En estos sistemas es la submisión (envío y ejecución) de trabajos por lotes desde un
usuario al que sólo se le ha permitido el acceso exclusivo a transferir ficheros. Igualmente
podrá llevarse del sistema los resultados de los trabajos e incluso borrar parte de su
rastro. El nivel de conocimientos necesario es el descargarse de Internet un cliente FTP de
dos dólares. El número de usuarios que tienen esta cualidad en algunas de los principales
clientes de España puede ser incluso todos los que el sistema tiene definidos, sobre todo
cuando se utilizan nuevas tecnologías como los directorios X500 (LDAP).
Aluminosis:
A mediados de los ochenta IBM desarrolló el mejor servidor de seguridad de la industria,
este servidor es el RACF o en su versión moderna Secureway@Security Server for z/OS.
Este es un software de seguridad que teniendo la potencialidad de securizar un sistema
hasta el nivel B2, tiene el hándicap (desventaja impuesta por el deterioro del uso) de no
ser muy amigable a la hora de administrarlo.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
Actualmente podemos encontrar bases de datos de seguridad donde se han definido
reglas de acceso de usuarios a recursos durante veinte años. El resultado son grandes
vulnerabilidades en la defensa de dichos recursos porqué no hay forma, con las
herramientas estándar que proporciona IBM, de estar seguro de que a un recurso sólo
puede acceder un usuario o grupo de usuarios en concreto.
Facilidad de acceso a la información interna de los sistemas:
Con la llegada de Internet IBM decidió publicar en su web todos los manuales necesarios
para comprender los sistemas operativos de sus mainframes. Estos manuales son
necesarios para comprender como hacer que el sistema haga lo que tú quieras sin dejar
rastro de auditoría. Actualmente, aunque IBM dejara de publicarlos en la web el número
de sites donde residen copias de los mismos se cuentan por decenas de miles, por lo que
el conocimiento ya ha dejado de ser oscuro y se encuentra en la luz que proporciona
Internet.
Emuladores de hardware:
Hace veinte años, aunque hubiéramos tenido la información necesaria para hacer rutinas
que modificaran el sistema, teníamos aún que tener un entorno en el que probar, lo que
significaba la inversión de centenares de miles de euros.
Hoy en día existen varios emuladores de hardware de mainframe que capacitan a pc´s de
menos de 600€ para ejecutar una gran parte de los sistemas operativos empresariales de
mainframe. Este software que en su versión freeware se llama Hércules, es libre y se
puede descargar de Internet después de una breve búsqueda. Es cierto que el único
sistema operativo que “legalmente” se puede ejecutar en él es la versión 3.8 de MVS pero
vayan al típico “emule” y busque otros sistemas.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
3. RACF:
El Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility).
Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el
caso del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se
desarrolló junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está
fuertemente acoplado al mismo.
En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por
tanto, sigue otras directrices.
RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un
grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto
perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde
un fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna
manera.
Existen dos tipos de clases:
Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás.
Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden
ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases
pueden ser regidas por otras clases.
o Las clases Usuario: es muy importante porque se hace cargo de la seguridad
referente al tipo de usuario, tipo de acceso a los elementos mainframe y que
facilidades tiene otorgado para realizar su trabajo.
o Las clases Dataset: es una clase especial que sirve para tener el control total sobre
todo elemento susceptible de grabarse en disco o cinta.
Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos,
subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los
usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los
mecanismos de acceso con los procesos.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
4. Tivoli zSecure Manager for RACF z/VM
IBM Tivoli zSecure Manager for RACF z/VM ha sido diseñado para proporcionar a los
administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe,
haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso
de recursos.
Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure
Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la
QoS y demostrar conformidad.
Sus capacidades son, las siguientes:
Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho
tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un conocimiento
detallado de los comandos del RACF.
Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una
amenaza para la seguridad y la conformidad.
Ayudar a reducir la carga de la consolidación de las bases de datos.
Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.
Generar y visualizar informes de auditoría personalizados con calendarios flexibles y secciones
de eventos.
a. Cifrado de discos:
Para ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de
las funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas
funciones de cifrado no es necesario realizar ningún cambio en la configuración del sistema
z/VM. El estado de cifrado de un volumen se determina fácilmente utilizando un simple
comando z/VM.
b. Cifrado de cintas:
z/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo
soporte para el cifrado de datos basado en unidades utilizando las soluciones
IBM System Storage TS1120 Tape Drive (tipo de máquina 3592, modelo E05) e
IBM System Storage TS1130 Tape Drive (tipo de máquina 3592, modelo E06).
El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema
operativo, utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de
cinta. El soporte de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como
para huéspedes que no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y
Linux para System z).
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) que
tienen la capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas y
ejecutar, opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados con
anterioridad pueden volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer y
reescribir los datos almacenados en el cartucho, permitiendo así una protección continua de
los datos almacenados en el cartucho de cinta mientras se cambian o sustituyen los
certificados de cifrado que se utilizaban para crearlos.
Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta
3592 aptas para cifrado en una biblioteca de cintas automatizada empresarial.
c. Servidor Secure Sockets Layer (SSL)
El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras y
privadas entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y para
Transport Layer Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sin
necesidad de cambiar al propio servidor. El servidor SSL suministrado con z/VM soporta
servicios de cifrado/descifrado de 40 bits, 56 bits y 128 bits. El servidor SSL es capaz de
ofrecer soporte transparente para protocolos que pueden encapsularse en una sesión SSL
segura (por ejemplo, HTTPS) y presta servicio a aplicaciones que necesitan pasar de un texto
sin cifrar a un texto seguro, tales como TN3270, File Transfer Protocol (FTP) y Simple Mail
Transfer Protocol (SMTP).
d. Aceleración criptográfica
La función criptográfica del IBM System z10 ha sido diseñada para satisfacer los requisitos de
seguridad de los servidores de alta gama.
Puede configurarse como un coprocesador para transacciones de clave segura o como un
acelerador para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de los
algoritmos criptográficos utilizados para el cifrado y la generación y verificación de pares de
claves públicas y privadas.
z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedes
bien con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o bien
con acceso compartido para operaciones de clave sin cifrar.
La CP Assist for Cryptographic Function (CPACF) forma parte de cada procesador en el
servidor System z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la
función de cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones de
almacenamiento de datos. La CPACF es utilizada por las funciones SSL/TLS incluidas en el
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
cliente y el servidor LDAP z/VM y por las funciones SSL proporcionadas por el servidor SSL
z/VM. Cualquier máquina virtual puede acceder a las funciones de la CPACF utilizando las
ampliaciones Message-Security Assist (MSA) de la arquitectura de procesador System z de
IBM. No se necesita ninguna autorización o configuración explícita de z/VM.
e. Certificación según la norma de criterios comunes
El z/VM V5.3 con el componente RACF Security Server ha sido certificado por la Oficina
Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der
Informationstechnik [BSI]) por su conformidad con el Controlled Access Protection Profile
(CAPP) y el Labelled Security Protection Profile (LSPP) de la norma de criterios comunes para
la seguridad de TI, ISO/IEC 15408, al nivel de garantía de evaluación 4, incrementado con los
procedimientos de resolución de errores (EAL4+). Aún no se ha llevado a cabo la evaluación
de conformidad del z/VM V6.1, pero ha sido diseñado para cumplir las mismas normas.
f. Interconexión con z/VM
z/VM ofrece dos tipos de interconexión virtual:
LANs huésped la VSWITCH:
Estas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la
red sin necesidad de dedicar recursos de hardware a cada huésped.
Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada
a ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios
rutinarios. Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express
en modo QDIO.
Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para
simular el modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet,
cada huésped de la LAN huésped se referencia por su dirección Media Access Control
(MAC) y los datos se transmiten y reciben como tramas Ethernet completas. Este modo
soporta IP, SNA, NetBios o cualquier otro formato de trama Ethernet. En modo IP, cada
huésped se referencia por su dirección IP. Se pueden utilizar los protocolos IPv4 o IPv6,
ayudando así a los desarrolladores de aplicaciones y de pilas TCP/IP a crear y probar
nuevas aplicaciones y controladores de dispositivo aptos para IPv6.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
g. VSWITCH
z/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCH
elimina la necesidad de que máquinas virtuales funcionen como routers para conectar una
LAN huésped a una LAN física a través de un adaptador OSA-Express. Los routers virtuales
consumen una capacidad de procesador muy valiosa debido a la necesidad de copiar
repetidas veces los datos que están siendo transportados.
El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar una
configuración y un control de red virtual centralizados. Estos controles permiten al
administrador de z/VM otorgar y revocar acceso a la red de forma mucho más sencilla.
El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr una
recuperación con menos interrupciones tras algunos de los fallos de red más comunes,
ayudando así a mejorar la continuidad del negocio y la fiabilidad y disponibilidad de la
infraestructura.
Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como el
modo de transporte de datos IP.
El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad del
Institute of Electrical and Electronics Engineers (IEEE). Este soporte está diseñado para
permitir la agrupación de hasta ocho puertos OSA-Express en un único puerto lógico. Esto
ayuda a aumentar el ancho de banda más allá de lo que podría proporcionar un único
adaptador OSA-Express y ofrece una recuperación de errores más rápida y uniforme en el
caso de un fallo en el enlace.
Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor ancho
de banda sin necesidad de ninguna configuración adicional. No es necesario definir y
gestionar múltiples adaptadores de red virtuales o implementar protocolos de enrutamiento
dinámicos dentro del huésped.
h. Virtualización de redes z/VM
z/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a un
VSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red
(NIC)) en ‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual para
capturar tráfico de red. Esta capacidad puede ayudar a un administrador (o propietario de
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
una máquina virtual huésped) a capturar datos de red y a resolver problemas de red virtuales.
También puede utilizarse para implementar un sistema de detección de intrusos (IDS).
z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA-
Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN.
Para soportar VLANs, z/VM ofrece:
Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN
de tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el
protocolo IEEE 802.1q.
Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles
con VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la
configuración IP del huésped.
Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una
VLAN autorizada.
La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad
externo (ESM) como el RACF.
Administración y gestión de redes simplificada de las VLANs con soporte para Generic
Attribute Registration Protocol (GARP) y VLAN Registration Protocol (GVRP) utilizando
adaptadores OSA-Express2 u OSA-Express3 en z/VM.
z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro de
un VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. El
aislamiento de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO pueden
ayudarle a diseñar redes virtuales que cumplen estrictas políticas de separación de datos. El
aislamiento del tráfico en adaptadores OSA-Express compartidos está disponible para
componentes OSA-Express2 y OSA-Express3 en un servidor System z10 EC y en un servidor
z10 BC con los MCLs mínimos necesarios.
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
5. System z9:
El System z9 de IBM es el sistema de cómputo más confiable y seguro que jamás se haya
construido. Duplica en potencia de procesamiento, capacidad y memoria a su antecesor, el
mainframe conocido como "T-Rex".
El sistema constituye un hito en la tecnología de la computación, con capacidades de seguridad,
virtualización y colaboración que, según declaraciones de la compañía, lo posicionan como eje
de la nueva era de la computación colaborativa.
El System z9 representa una iniciativa de desarrollo que llevó tres años, demandó 1.200
millones de dólares y requirió la participación de 5.000 ingenieros, desarrolladores de software
y expertos de seguridad de IBM de distintas partes del mundo.
a. Seguridad en toda la red
El System z9 está construido con base al legado de 41 años del mainframe como sistema rico
en seguridad. IBM diseñó el mainframe con una seguridad de hardware avanzada. Cada
sistema también contiene claves criptográficas maestras almacenadas en un paquete
"inviolable" diseñado para transformar los datos en ceros a fin de evitar la captura física por
parte de un intruso.
El System z9 es capaz de permitir políticas de seguridad homogéneas en todos los servidores,
todos los datos y ahora en toda la red, todo ello de conformidad con los objetivos del negocio,
mediante la gestión centralizada de claves en z/OS y otras características de seguridad
incorporadas.
El z9 proporciona protección avanzada contra riesgos internos y externos con estas nuevas
características:
Simplificación y seguridad de datos de mainframe en archivo
Criptografía avanzada
Transacciones en línea seguras y más rápidas
Seguridad de Internet más fácil de implementar para cargas de trabajo de mainframe
Seguridad basada en red con Cisco
www.ticalcanze.tk
SEGURIDAD EN MAINFRAME 2011 2011
6. BIBLIOGRAFÍA:
http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/
http://sigt.net/archivo/seguridad-en-mainframe-introduccion-al-racf.xhtml
http://www.go2bsecure.com/engine/index.php?
option=com_content&task=view&id=127&Itemid=124
http://www.ca.com/ar/mainframe-security.aspx
http://www.foremad.es/index.php?
option=com_flexicontent&view=items&cid=6:gratuitos&id=2248:administracion-de-seguridad-
de-un-mainframe&Itemid=23
http://www.geonoticias.com/noticias/software/nuevo-mainframe-ibm.html
http://www.ibm.com/pe/systems/z/hardware/index.phtml
www.ticalcanze.tk