本章描述 ELS 提供的特定安全機制。
IBM z/OS Application Transparent Transport Layer Security (AT-TLS) 設備使用 SSL 資料加密來保護 z/OS TCP/IP 應用程式。如需 AT-TLS 的詳細資訊,請參閱 IBM publication z/OS Communications Server: IP Configuration Guide,以及 IBM publication z/OS Communications Server: IP Configuration Reference 中的 AT-TLS 原則代理程式資訊。
保護 SMC 與 HSC/VTCS 之間 ELS 用戶端/伺服器通訊的說明,請參閱 Oracle 白皮書 Using AT-TLS with HSC/SMC Client/Server z/OS Solution: Implementation Example。此白皮書發佈於 Oracle Technical Network (OTN) 的 Tape Storage Products 段落。請參閱此文件以瞭解詳細配置資訊。
若要使用 AT-TLS 保護 ELS,Oracle 建議使用下列任何一種 SSL 加密演算法:
SHA-2 系列 (SHA-256、SHA-384、SHA-512)
AES >= 128 位元
RSA >= 2048 位元
Diffie-Hellman (DH) >= 2048 位元
ECC >= 256 位元
其他 SSL 加密演算法提供的保護較差,不應用於 ELS。
注意:
VSM 的 StorageTek Virtual Library Extension (VLE) 設備目前不支援 AT-TLS 通訊。請勿使用 AT-TLS 保護 ELS VLE 通訊。ELS 7.3 針對用戶端與伺服器間的通訊導入新的 XAPI 安全功能,SMC HTTP 伺服器中預設會啟用此功能。XAPI 安全功能提供額外的使用者認證設備作為 XAPI 協定的一部分,此協定位於 ELS 內部且完整包含在其中。若要使用 XAPI 安全功能,您必須定義 ELS 用戶端和伺服器的安全證明資料 (使用者 ID 和密碼)。ELS 7.3 TapePlex 作業會使用這些安全證明資料來保護 XAPI 交易 (掛載、卸載、磁碟區查詢、暫用... 等等)。XAPI 安全證明資料是以完全通透的方式來使用,無須額外的使用者或操作者介入。請參閱 Configuring and Managing SMC 7.3 ,瞭解有關配置 XAPI 安全功能的詳細資訊。
保護僅代管 ELS 用戶端應用程式 (SMC 和 VM 用戶端) 之 TapePlexes 的 XAPI 交易的慣用方法,便是使用 AT/TLS 設備,如使用 AT-TLS 保護 ELS – 僅限 z/OS中所述。AT/TLS 是一種傳輸層設備,位於 ELS 外部,並可讓 ELS 通透地使用。
使用 ELS 7.3 XAPI 安全功能來保護代管非 ELS 用戶端 (開放式系統用戶端) 的 TapePlexes,或是混合安裝 ELS 用戶端 (SMC 和 VM 用戶端) 和非 ELS 用戶端的 TapePlexes。除了 ELS 7.3 XAPI 安全功能之外,還可以在這些環境中使用 AT-TLS,但 AT-TLS 不會保護非 ELS 用戶端的 XAPI 交易。