12.12.2016 Bessere Automation wichtiger Security-Aufgaben

Mehr Sicherheit für IBM i

Von: Robert Engel

Jeder Blick über den Tellerrand bringt neue Erkenntnisse. Das gilt auch für die Sicherheit der IBM-Serverplattform Power i. Zahllose Security-Projekte beginnen und enden mit der Firewall, motiviert durch die Vorstellung, man müsse lediglich die Zugriffe auf IBM i regulieren um Sicherheit zu schaffen (siehe DV-Dialog 10/2016, Seite 4). Doch es gibt eine große Bandbreite weiterer Sicherheits-Aspekte, die nicht vernachlässigt werden dürfen - jenseits des Tellerrands.

  • Unser Autor Robert Engel ist Geschäftsführer der Raz-Lee Security GmbH

Zunächst lohnt sich der Blick auf die in IBM i „serienmäßig“ eingebaute Security. Die ist solide, aber nicht ausreichend. Es fehlt an Transparenz. Täglich laufen selbst auf kleinen Systemen zig-tausend Aktivitäten. Objekte werden erstellt und gelöscht, Benutzer­profile angelegt oder geändert, Systemwerte umgestellt und Jobs gestartet bzw. beendet. Das alles mündet bei aktivierter System-Auditierung in das Audit-Journal, das IBM hervorragend implementiert hat.

Doch spätestens wenn es um die präzise Interpretation dieser Informationen geht, geht den IBM-Bordmitteln die Luft aus. Sowohl das Auslesen des Journals als auch das Ableiten von Aktivitäten aus dem Audit ist nicht einfach. Außerdem verschwinden Audit-Journalreceiver nach festgelegten Zeiten – und dann ist Schluss mit der Nachverfolgbarkeit.

Die für die Sicherheit unabdingbare Transparenz ist nur durch Erweiterungen und sinnvolle Sicherheitslösungen (wie z.B. iSecurity) zu erreichen, im folgenden an ein paar sicherheits­kritischen Beispielen kurz vorgestellt.  

Passwörter verwalten und neu vergeben

Die Produktfamilie iSecurity ergänzt mit über 20 Modulen Funktionen, die IBM i so sicher und transparent machen, wie es sein sollte. Mit dem Modul Password-Reset z.B. können Anwender sich selbst einmalig identifizieren. Bei vergessenen Kennwörtern setzen sie dann selbstständig im Zwei-Faktor-Authentifizierungsverfahren mit Beantwortung von hinterlegten Fragen das Kennwort ohne Einschaltung von Help-Desk-Kollegen zurück. Das entlastet die IT-Abteilung.

Das iSecurity-Modul Audit holt sich in Echtzeit aus den Audit-Journal­receivern die Einträge, speichert diese in Protokolldateien (die bei Bedarf länger aufbewahrt werden können) und kann unwichtige Einträge ausfiltern bzw. kritische Ereignisse direkt in ­Aktionen münden lassen. Über 260 vordefinierte Berichte für unterschiedlichste Anforderungen von Auditoren helfen, die konkret geforderten Berichte in kurzer Zeit abzuleiten und automatisiert zu erstellen.

Auditierung leicht gemacht

Berechtigungen sind ein heißes Eisen. Nicht zu viele, aber auch nicht zu wenige sollten vergeben sein. In der Praxis wird jedoch oft sehr freizügig mit Benutzerrechten umgegangen. Nur weil ein Benutzer mal eine Vertretung eines IT-Verantwortlichen übernehmen oder einmal pro Woche ein Systembackup prüfen muss, bekommt er die dafür erforderlichen Zugriffsrechte permanent zugewiesen.
Dieser Umgang mit Berechtigungen ist permanent ein potenzielles ­Problem. Mit „Authority on Demand“, dem iSecurity-Modul für dynamische Rechte­zuweisung, erhalten User auf Anforderung und unter Einhaltung von Regeln diese Sonderberechtigungen befristet zugewiesen, können die erforderlichen Funktionen ausführen und sind danach wieder als normale Benutzer im System unterwegs. Natürlich werden diese Aktivitäten unter höheren Berechtigungen entsprechend protokolliert und auf Wunsch an Verantwortliche berichtet.

Manchmal ist nur ein einziges Feld in der Datenbank besonders schützenswert. Das kann eine Kreditkarten- oder Sozialversicherungsnummer, ein Name oder ein Geburtsdatum sein. Wie soll man nicht berechtigten Mitarbeitern den Zugriff auf diese Informationen verweigern, wenn diese doch über die Anwendung auf den Datensatz zugreifen müssen?

IBM hat hier ab V7R1 mit FIELDPROC eine Technologie eingeführt, die eine Verschlüsselung einzelner Datenfelder in Datenbanken leichter macht als bisher. Dazu wurde allerdings nur die Basistechnologie, sprich ein Exit-Point, in die Datenbank eingefügt, über den die Verschlüsselung des ­Feldes zu realisieren ist; Schlüsselmanagement, die Verschlüsselung selbst oder Zugriffsrechte werden dem Anwender überlassen.

Damit nun nicht jeder, der verschlüsseln will, das Rad neu erfinden muss, bietet Raz-Lee das Encryption-Modul, das diese Arbeit wesentlich vereinfacht und regelbasiert automatisiert. Schlüsselverwaltung, rotierende Schlüssel, die Identifizierung von zu verschlüsselnden Feldern gehören ebenso dazu wie die Verschlüsselung der Felder mit Definition verschiedener Maskierungsregeln. Diese geben dem Benutzer je nach Berechtigung vollen Zugriff, „ausgesternte“ Informationen oder maskierte Werte der Felder zurück.

Da FIELDPROC in die Datenbank gelegt ist, greift diese Verschlüsselung mit allen Regeln in jedem Fall – unabhängig von der benutzten Anwendung. In der Regel sind dazu keine oder nur marginale Änderungen der Anwendung erforderlich.
Wer so den Blick auch über den Tellerrand der in IBM i eingebauten Sicherheit hinaus richtet, gewinnt neben Transparenz vor allem neue Möglichkeiten zum besseren Schutz seiner Daten und Anwendungen.

Bildquelle: Thinkstock/iStockphoto

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH