この章では、ELS で提供される個別のセキュリティーメカニズムについて説明します。
IBM z/OS Application Transparent Transport Layer Security (AT-TLS) 機能は、SSL データ暗号化を使用して z/OS TCP/IP アプリケーションをセキュリティー保護します。AT-TLS の詳細については、IBM の資料『z/OS Communications Server: IP 構成ガイド』を参照し、IBM の資料『z/OS Communications Server: IP 構成解説書』で AT-TLS ポリシーエージェントに関する情報を参照してください。
SMC と HSC/VTCS の間の ELS クライアント/サーバー通信のセキュリティー保護については、HSC/SMC クライアント/サーバー z/OS ソリューションにおける AT-TLS の使用の実装例に関する Oracle のホワイトペーパーで説明されています。このホワイトペーパーは、Oracle Technical Network のテープストレージ製品のセクションで公開されています。詳細な構成情報については、この資料を参照してください。
AT-TLS を使用して ELS をセキュリティー保護する場合、これらの SSL 暗号アルゴリズムのいずれかを使用することをお勧めします。
SHA-2 ファミリ (SHA-256、SHA-384、SHA-512)
AES (128 ビット以上)
RSA (2048 ビット以上)
Diffie-Hellman (DH) (2048 ビット以上)
ECC (256 ビット以上)
その他のどの SSL 暗号アルゴリズムも保護が弱いため、ELS では使用しないようにしてください。
注:
VSM 用の StorageTek Virtual Library Extension (VLE) アプライアンスでは、AT-TLS 通信を現在サポートしていません。ELS VLE 通信は AT-TLS を使用してセキュリティー保護しないでください。ELS 7.3 にはクライアント/サーバー通信のための新しい XAPI セキュリティー機能が導入されており、SMC HTTP サーバーではデフォルトとして有効になります。XAPI セキュリティー機能は、XAPI プロトコルの一部として、ELS の内部のみで使用される追加のユーザー認証機能を提供します。XAPI セキュリティー機能を使用するには、ELS クライアントおよびサーバーのセキュリティー資格証明 (ユーザー ID とパスワード) を定義する必要があります。ELS 7.3 TapePlex の操作では、これらのセキュリティー資格証明を使用して XAPI トランザクション (マウント、マウント解除、ボリューム検索、スクラッチなど) をセキュリティー保護します。XAPI セキュリティー資格証明の使用は完全に透過的であり、ユーザーやオペレータがほかに操作を行う必要はありません。XAPI セキュリティー機能の構成の詳細については、『SMC 7.3 の構成および管理』を参照してください。
ELS クライアントアプリケーションだけ (SMC および VM クライアント) をホストしている TapePlex の XAPI トランザクションをセキュリティー保護するための望ましい方法は、AT-TLS による ELS のセキュリティー保護 – z/OS のみの説明に従って AT/TLS 機能を使用することです。AT/TLS は、ELS にとって外部にある透過的なトランスポートレイヤー機能です。
ELS 以外のクライアント (オープンシステムクライアント)、または ELS クライアント (SMC および VM クライアント) と ELS 以外のクライアントの混合をホストしている TapePlex をセキュリティー保護するには、ELS 7.3 XAPI セキュリティー機能を使用します。ELS 7.3 XAPI セキュリティー機能のほかに、AT-TLS もこのような環境で使用できますが、ELS 以外のクライアントの XAPI トランザクションはセキュリティー保護されません。