In questo capitolo vengono descritti i meccanismi di sicurezza specifici offerti da ELS.
La funzionalità IBM z/OS Application Transparent Transport Layer Security (AT-TLS) utilizza la cifratura dei dati SSL per proteggere le applicazioni z/OS TCP/IP. Per ulteriori informazioni su AT-TLS, consultare il manuale IBM publication z/OS Communications Server: IP Configuration Guide e vedere le informazioni su AT-TLS Policy Agent nel manuale IBM publication z/OS Communications Server: IP Configuration Reference.
La protezione delle comunicazioni client/server ELS tra SMC e HSC/VTCS è descritta nel white paper Oracle Using AT-TLS with HSC/SMC Client/Server z/OS Solution: Implementation Example. Questo white paper è disponibile nella sezione dei prodotti di storage a nastro di Oracle Technical Network. Per informazioni dettagliate sulla configurazione, consultare questa pubblicazione.
Per proteggere ELS con AT-TLS, Oracle consiglia di utilizzare uno dei seguenti algoritmi di cifratura SSL:
Famiglia SHA-2 (SHA-256, SHA-384, SHA-512)
AES >= 128 bit
RSA >= 2048 bit
Diffie-Hellman (DH) >= 2048 bit
ECC >= 256 bit
Qualsiasi altro algoritmo di cifratura SSL fornisce una protezione più debole e pertanto non deve essere utilizzato con ELS.
Nota:
L'appliance StorageTek Virtual Library Extension (VLE) per VSM attualmente non supporta le comunicazioni AT-TLS. Non proteggere le comunicazioni ELS VLE con AT-TLS.ELS 7.3 introduce una nuova funzione di sicurezza XAPI per la comunicazione tra client e server, abilitata per impostazione predefinita nel server HTTP SMC. La funzione di sicurezza XAPI fornisce ulteriori funzionalità di autenticazione dell'utente come parte del protocollo XAPI completamente interne a ELS. Per utilizzare la funzione di sicurezza XAPI, è necessario definire credenziali di sicurezza (ID utente e password) per i client e i server ELS. Le operazioni TapePlex di ELS 7.3 utilizzano queste credenziali di sicurezza per proteggere le transazioni XAPI (installazione, disinstallazione, ricerca del volume, creazione di unità provvisorie e così via). L'uso delle credenziali di sicurezza XAPI è completamente trasparente e non richiede ulteriori interventi da parte dell'utente o dell'operatore. Per ulteriori informazioni sulla configurazione della funzione di sicurezza XAPI, consultare Configuring and Managing SMC 7.3.
Il metodo preferito per proteggere le transazioni XAPI per i TapePlex su cui risiedono solo le applicazioni client ELS (client SMC e VM) consiste nell'utilizzare le funzionalità AT/TLS come descritto in Protezione di ELS solo con AT-TLS – z/OS. AT/TLS è una funzionalità a livello di trasporto esterna e trasparente a ELS.
Utilizzare la funzione di sicurezza XAPI di ELS 7.3 per proteggere i TapePlex su cui risiedono client non ELS (client di sistemi aperti) o un misto di client ELS (client SMC e VM) e non ELS. In questi ambienti è possibile utilizzare AT-TLS in aggiunta alla funzione di sicurezza XAPI di ELS 7.3, ma le transazioni XAPI per i client non ELS non verranno protette.