3 セキュリティー機能

この章では、ELS で提供される個別のセキュリティーメカニズムについて説明します。

AT-TLS による ELS のセキュリティー保護 – z/OS のみ

IBM z/OS Application Transparent Transport Layer Security (AT-TLS) 機能は、SSL データ暗号化を使用して z/OS TCP/IP アプリケーションをセキュリティー保護します。AT-TLS の詳細については、IBM の資料『z/OS Communications Server: IP 構成ガイド』を参照し、IBM の資料『z/OS Communications Server: IP 構成解説書』で AT-TLS ポリシーエージェントに関する情報を参照してください。

SMC と HSC/VTCS の間の ELS クライアント/サーバー通信のセキュリティー保護については、HSC/SMC クライアント/サーバー z/OS ソリューションにおける AT-TLS の使用の実装例に関する Oracle のホワイトペーパーで説明されています。このホワイトペーパーは、Oracle Technical Network のテープストレージ製品のセクションで公開されています。詳細な構成情報については、この資料を参照してください。

AT-TLS を使用して ELS をセキュリティー保護する場合、これらの SSL 暗号アルゴリズムのいずれかを使用することをお勧めします。

  • SHA-2 ファミリ (SHA-256、SHA-384、SHA-512)

  • AES (128 ビット以上)

  • RSA (2048 ビット以上)

  • Diffie-Hellman (DH) (2048 ビット以上)

  • ECC (256 ビット以上)

その他のどの SSL 暗号アルゴリズムも保護が弱いため、ELS では使用しないようにしてください。

注:

VSM 用の StorageTek Virtual Library Extension (VLE) アプライアンスでは、AT-TLS 通信を現在サポートしていません。ELS VLE 通信は AT-TLS を使用してセキュリティー保護しないでください。

ELS XAPI セキュリティー機能の使用

ELS 7.3 にはクライアント/サーバー通信のための新しい XAPI セキュリティー機能が導入されており、SMC HTTP サーバーではデフォルトとして有効になります。XAPI セキュリティー機能は、XAPI プロトコルの一部として、ELS の内部のみで使用される追加のユーザー認証機能を提供します。XAPI セキュリティー機能を使用するには、ELS クライアントおよびサーバーのセキュリティー資格証明 (ユーザー ID とパスワード) を定義する必要があります。ELS 7.3 TapePlex の操作では、これらのセキュリティー資格証明を使用して XAPI トランザクション (マウント、マウント解除、ボリューム検索、スクラッチなど) をセキュリティー保護します。XAPI セキュリティー資格証明の使用は完全に透過的であり、ユーザーやオペレータがほかに操作を行う必要はありません。XAPI セキュリティー機能の構成の詳細については、『SMC 7.3 の構成および管理』を参照してください。

ELS クライアントアプリケーションだけ (SMC および VM クライアント) をホストしている TapePlex の XAPI トランザクションをセキュリティー保護するための望ましい方法は、AT-TLS による ELS のセキュリティー保護 – z/OS のみの説明に従って AT/TLS 機能を使用することです。AT/TLS は、ELS にとって外部にある透過的なトランスポートレイヤー機能です。

ELS 以外のクライアント (オープンシステムクライアント)、または ELS クライアント (SMC および VM クライアント) と ELS 以外のクライアントの混合をホストしている TapePlex をセキュリティー保護するには、ELS 7.3 XAPI セキュリティー機能を使用します。ELS 7.3 XAPI セキュリティー機能のほかに、AT-TLS もこのような環境で使用できますが、ELS 以外のクライアントの XAPI トランザクションはセキュリティー保護されません。