In diesem Kapitel werden die spezifischen Sicherheitsverfahren bei ELS beschrieben.
Die Application Transparent Transport Layer Security (AT-TLS) von IBM z/OS sichert z/OS-TCP/IP-Anwendungen mit SSL-Datenverschlüsselung. Weitere Informationen zu AT-TLS finden Sie im Dokument IBM publication z/OS Communications Server: IP Configuration Guide. Weitere Informationen zum AT-TLS Policy Agent finden Sie im Dokument IBM publication z/OS Communications Server: IP Configuration Reference.
Das Sichern von ELS-Client/Server-Kommunikationen zwischen SMC und HSC/VTCS wird im Oracle Whitepaper Using AT-TLS with HSC/SMC Client/Server z/OS Solution: Implementation Example beschrieben. Dieses Whitepaper wird im Oracle Technical Network im Abschnitt "Tape Storage Products" veröffentlicht. Detaillierte Informationen zur Konfiguration finden Sie in dieser Publikation.
Zur Sicherung von ELS mit AT-TLS empfiehlt Oracle die Verwendung der folgenden SSL-Verschlüsselungsalgorithmen:
SHA-2-Familie (SHA-256, SHA-384, SHA-512)
AES >= 128 Bit
RSA >= 2048 Bit
Diffie-Hellman (DH) >= 2048 Bit
ECC >= 256 Bit
Andere SSL-Verschlüsselungsalgorithmen bieten einen schwächeren Schutz und sollten nicht mit ELS verwendet werden.
Hinweis:
Die Appliance StorageTek Virtual Library Extension (VLE) für VSM unterstützt gegenwärtig keine AT-TLS-Kommunikationen. Sichern Sie ELS-VLE-Kommunikationen nicht mit AT-TLS.ELS 7.3 führt eine neue XAPI-Sicherheitsfunktion für die Kommunikation zwischen Client und Server ein, die standardmäßig auf dem SMC-HTTP-Server aktiviert ist. Die XAPI-Sicherheitsfunktion bietet zusätzliche Möglichkeiten der Benutzerauthentifizierung als Teil des XAPI-Protokolls. Diese Möglichkeiten sind integraler Bestandteil und vollständig in ELS enthalten. Wenn Sie die XAPI-Sicherheitsfunktion verwenden möchten, müssen Sie Sicherheitszugangsdaten (Benutzer-IDs und Kennwörter) für ELS-Clients und -Server festlegen. ELS 7.3 TapePlex-Vorgänge verwenden diese Sicherheitszugangsdaten zum Sichern von XAPI-Transaktionen (Laden, Entnehmen, Volume-Lookup, Scratch usw.). Die Verwendung von XAPI-Sicherheitszugangsdaten ist vollständig transparent und erfordert keine weiteren Eingriffe durch den Benutzer oder den Operator. Weitere Informationen zum Konfigurieren der XAPI-Sicherheitsfunktion finden Sie unter Configuring and Managing SMC 7.3.
Die bevorzugte Methode zum Sichern von XAPI-Transaktionen für TapePlexes, auf denen nur ELS-Clientanwendungen (SMC- und VM-Client) gehostet werden, ist die Verwendung von AT/TLS-Funktionen, wie unter ELS mit AT-TLS sichern – nur z/OS beschrieben. AT/TLS ist eine Transportschichtfunktion, die für ELS extern und transparent ist.
Verwenden Sie die ELS 7.3 XAPI-Sicherheitsfunktion, um TapePlexes zu sichern, auf denen Nicht-ELS-Clients (Clients für offene Systeme) oder eine Kombination aus ELS-Clients (SMC- und VM-Client) und Nicht-ELS-Clients gehostet sind. AT-TLS kann in diesen Umgebungen zusätzlich zur ELS 7.3 XAPI-Sicherheitsfunktion verwendet werden, allerdings sichert AT-TLS keine XAPI-Transaktionen für Nicht-ELS-Clients.