Ce chapitre décrit les mécanismes de sécurité spécifiques qu'offre ELS.
Le protocole AT-TLS (Application Transparent Transport Layer Security) d'IBM z/OS utilise le chiffrement de données SSL pour sécuriser les applications TCP/IP z/OS. Pour plus d'informations sur le protocole AT-TLS, reportez-vous à la publication IBM z/OS Communications Server: IP Configuration Guide et consultez les informations sur l'agent de stratégie AT-TLS disponibles dans la publication IBM z/OS Communications Server: IP Configuration Reference.
La sécurisation des communications client/serveur ELS entre le composant SMC et le composant HSC/VTCS est décrite dans le livre blanc Oracle Using AT-TLS with HSC/SMC Client/Server z/OS Solution: Implementation Example. Ce livre blanc est publié sur le site Oracle Technical Network dans la section Tape Storage Products. Reportez-vous à cette publication pour obtenir des informations de configuration détaillées.
Pour sécuriser le logiciel ELS à l'aide du protocole AT-TLS, Oracle recommande l'emploi d'un des algorithmes de chiffrement SSL suivants :
Famille SHA-2 (SHA-256, SHA-384, SHA-512)
AES >= 128 bits
RSA >= 2 048 bits
Diffie-Hellman (DH) >= 2 048 bits
ECC >= 256 bits
Les autres algorithmes de chiffrement SSL offrent une protection plus faible et ne doivent pas être utilisés avec ELS.
Remarque:
Actuellement, l'appareil StorageTek Virtual Library Extension (VLE) pour VSM ne prend pas en charge les communications AT-TLS. Ne choisissez donc pas le protocole AT-TLS pour sécuriser les communications VLE d'ELS.ELS 7.3 introduit une nouvelle fonction de sécurité XAPI pour les communications client/serveur. Elle est activée par défaut sur le serveur HTTP SMC. Elle offre des fonctionnalités d'authentification d'utilisateur supplémentaires issues du protocole XAPI qui sont entièrement contenues dans ELS. Pour utiliser la fonction de sécurité XAPI, vous devez définir les informations d'identification de sécurité (codes utilisateur et mots de passe) des clients et des serveurs ELS. Les opérations TapePlex d'ELS 7.3 utilisent ces informations d'identification pour sécuriser les transactions XAPI (montage, démontage, consultation de volume, ajout au pool de travail). L'utilisation des informations d'identification de sécurité XAPI est totalement transparente et ne requiert pas l'intervention d'un utilisateur ou d'un opérateur. Reportez-vous au document Configuration et gestion du SMC version 7.3 pour plus d'informations sur la configuration de la fonction de sécurité XAPI.
Le meilleur moyen de sécuriser les transactions XAPI des TapePlex qui hébergent uniquement des applications client ELS (SMC et VM) est d'utiliser les fonctions AT/TLS décrites dans Sécurisation d'ELS à l'aide du protocole AT-TLS - z/OS uniquement. AT/TLS est une fonction de couche transport externe et transparente pour ELS.
Utilisez la fonction de sécurité XAPI d'ELS 7.3 pour sécuriser les TapePlex qui hébergent des clients hors ELS (clients de systèmes ouverts) ou une combinaison de clients ELS (SMC et VM) et de clients hors ELS. Dans ces environnements, la fonction AT-TLS peut être associée à la fonction de sécurité XAPI d'ELS 7.3 mais elle ne permet pas de sécuriser les transactions XAPI des clients hors ELS.