Raz-Lee erweitert iSecurity um das Modul „Safe-Update“

Mehr Schutz für Produktionsdateien

Das israelische Softwarehaus Raz-Lee erweitert seine Suite iSecurity um das Modul „Safe-Update“, das die Verwendung von nicht autorisierten Programmen (wie zum Beispiel Datei-Editoren) in IBM-i-Produktionsumgebungen regelt.

  • Safe-Update schafft eine zusätzliche Sicherheitsebene zum Schutz von Produktionsumgebungen.

  • Bildquelle: Pixabay

Das neue Modul schützt Produktionsumgebungen auch vor solchen Updates, die durch den interaktiven Befehl „Start SQL“ (STRSQL) durchgeführt werden. „Die Verwendung von Datei-Editoren oder STRSQL für geschäftskritische Daten in Produktionsumgebungen ist gängige Praxis, aber äußerst riskant“, sagt Raz-Lee-Geschäftsführer Robert Engel. „Der Sarbanes Oxley Act und andere Compliance-Vorschriften verlangen, dass Updates nur von zugelassenen Programmen durchgeführt werden dürfen.“

Mehr Sicherheit, mehr Compliance

Im Vorfeld der Common-Konferenz Power Up 2019, die vom 19. bis 22, Mai im Disneyland von Anaheim/Kalifornien stattfindet, wird die Suite von Sicherheits- und Compliance-Lösungen für IBM-i-Anwender ergänzt. „Wir sprechen über den Schutz geschäftskritischer Daten vor Datei-Editoren, verwenden aber am Ende das bestehende Berechtigungssystem, um zu verhindern, dass Programmierer auf die Dateien zugreifen“, erläutert Engel die Produktidee. „Das ist nicht das, was wir wollten. Mit der zusätzlichen Sicherheitsebene, die Safe Update bietet, können wir endlich sicherstellen, dass Datei-Updates nur von zugelassenen Programmen durchgeführt werden, es sei denn, es wurde eine spezielle temporäre Berechtigung festgelegt.“

Mit Safe-Update können Administratoren eine Sicherheitsschicht in die Dateien selbst einbauen. Diese Schicht verhindert unautorisierte Updates selbst dann, wenn diese von „Super-Usern“ mit der Berechtigung *ALLOBJ ausgeführt werden. Die Sicherheitsschicht wird implementiert, indem Whitelists von Programmen zugelassen werden oder eine bereitgestellte (veränderbare) Blacklist von Programmen abgelehnt wird, die bekannte Dateieditoren, die Data File Utility (DFU) und den Befehl „Start SQL“ enthält.

Sobald Daten mit Tools aktualisiert werden müssen, die normalerweise nicht zulässig sind, implementiert Safe-Update einen Workflow, der aus vom Management erstellten Arbeitsaufträgen (sogenannten „Tickets“) besteht, die angeben, wer mit den Daten arbeiten darf, den Grund für diese Arbeit und den Zeitraum, für den dieser Arbeitsauftrag gültig ist. Basierend auf seinem Auftrag kann der berechtigte Programmierer dann das Ticket öffnen und die angeforderten Aktualisierungen interaktiv oder im Batch durchführen. Alle Arbeiten unter den Tickets werden protokolliert, selbst wenn die Dateien selbst nicht journalisiert werden.

Blacklist und Whitelist im Einsatz

Somit sind Updates laut Engel nur noch durch solche Programme möglich, die vorab in einer Liste eingetragen wurden; Updates durch Datei-Editoren könnten aber auch generell verhindert werden, so dass diese nur solange verwendet werden können, wie sie keine Updates durchführen, sondern einzig und allein zur Anzeige von Daten dienen. Sollte es aber notwendig sein, Updates durch einen (oder mehrere) der Datei-Editoren zuzulassen, so kann dies explizit durch das Berechtigungssystem von „Safe-Update“ gestattet werden.

Soll ein unberechtigtes Update eingeleitet werden, öffnet sich ein Fenster, das ein Ticket anfordert. Dieses Ticket kann die Genehmigung des Vorgesetzten erfordern. Auch Batch-Aktivitäten können so geschützt werden. Vorgesetzte können für spezielle Zwecke eine Zulassung der Arbeit mit Dateieditoren erstellen. Diese Zulassungs-Tickets können neben der Berechtigung selbst auch eine zeitliche Begrenzung beinhalten.

Berechtigte Anwender können Tickets in Verbindung mit ihren Aufträgen verwenden. Während ein Ticket aktiv ist, können diese Anwender auch die Editoren benutzen, um die aktuell anstehenden Änderungen abzuarbeiten; sie wissen dabei, dass alle Updates vollständig dokumentiert werden.

Weniger stark sicherheitsabhängige Unternehmen können es Anwendern ermöglichen, direkt Ad-hoc-Tickets zu öffnen und dabei den Grund für den Änderungswunsch anzugeben. Tickets können auf Dateien, zeitliche Begrenzung und Anzahl der Änderungsoperationen eingeschränkt werden. Ein Ticket wird automatisch geschlossen, wenn der Programmierer es nicht mehr verwendet.

Bildquelle: Pixabay, Raz‐Lee Security GmbH

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok