[z/OS]

Tipps zur Optimierung der Sicherheit

Die Erhöhung der Sicherheit bedeutet im Allgemeinen Folgendes: Die Kosten pro Transaktion steigen und der Durchsatz geht zurück. Beachten Sie beim Konfigurieren von WebSphere Application Server die folgenden Informationen zur Sicherheit.

SAF-Klasse

Wenn eine SAF-Klasse (RACF oder eine äquivalente Klasse) aktiv ist, wirkt sich die Anzahl der Profile in einer Klasse auf die Gesamtleistung der Prüfung aus. Sie können den Durchsatz der Zugriffsprüfung verbessern, indem Sie diese Profile in eine (in der RACLIST enthaltene) Speichertabelle stellen. Die Protokollierungssteuerung bei der Zugriffsprüfung kann sich ebenfalls auf den Durchsatz auswirken. In der Regel werden nur Fehler und keine Erfolgsmeldungen protokolliert. Prüfereignisse werden in DASD protokolliert und erhöhen den Aufwand für die Zugriffsprüfung. Da alle Überprüfungen von Sicherheitsberechtigungen mit SAF (RACF oder einer äquivalenten Klasse) durchgeführt werden, können Sie SAF-Klassen aktivieren und inaktivieren, um die Sicherheit zu steuern. Der Systemaufwand für eine inaktivierte Klasse kann vernachlässigt werden.

Wenn eine SAF-Klasse nicht in RACLIST aufgeführt ist, müssen Sie außerdem den Anwendungsserver starten, damit alle Änderungen wirksam werden, die an Profilen in der Klasse vorgenommen wurden.

Fehler vermeiden Fehler vermeiden: Die Aktivierung aller Prüfungen für Klassen, die den Zugriff auf Objekte im USS-Dateisystem (UNIX System Services), wie z. B. RACF DIRACC, DIRSRCH, FSOBJ und FSSEC, oder deren Entsprechungen in anderen SAF-Sicherheitsmanagern steuern, beeinträchtigt die Leistung erheblich.gotcha

EJBROLEs in Methoden

Verwenden Sie für Methoden eine minimale Anzahl von EJBROLEs. Wenn Sie EJBROLEs verwenden, bedeuten mehr Rollen für eine Methode zusätzliche Zugriffsprüfungen, die ausgeführt werden müssen, und eine insgesamt langsamere Methodenzuteilung. Falls Sie keine EJBROLEs verwenden, sollten Sie die Klasse nicht aktivieren.

Java-2-Sicherheit

Wenn Sie die Java™-2-Sicherheit nicht benötigen, inaktivieren Sie sie. Anweisungen zum Inaktivieren der Java-2-Sicherheit finden Sie im Artikel Systemressourcen und APIs (Java-2-Sicherheit) für die Entwicklung von Anwendungen schützen.

Berechtigungsstufe

Verwenden Sie die für Ihre Sicherheitsanforderungen zu vertretende niedrigste Berechtigungsstufe. Sie können für die Authentifizierung zwischen den folgenden Optionen wählen:
  • Lokale Authentifizierung: Die lokale Authentifizierung ist stark optimiert und somit die schnellste Art der Authentifizierung.
  • Authentifizierung mit Benutzer-ID und Kennwort: Eine Authentifizierung, bei der eine Benutzer-ID und ein Kennwort verwendet werden, bedeutet einen hohen Aufwand beim ersten Aufruf. Alle nachfolgenden Aufrufe sind kostengünstiger.
  • Kerberos-Sicherheitsauthentifizierung: Die Kosten der Kerberos-Sicherheit können derzeit nicht genau beziffert werden.
  • SSL-Sicherheitsauthentifizierung: Die SSL-Sicherheit ist in der Industrie für ihren hohen Systemaufwand bekannt. Unter z/OS kann dieser Aufwand durch zahlreiche Möglichkeiten der Hardwareunterstützung jedoch begrenzt werden.

Verschlüsselungsstufe mit SSL

Wenn Sie Secure Sockets Layer (SSL) verwenden, wählen Sie die niedrigste Verschlüsselungsstufe aus, die Ihren Sicherheitsanforderungen noch entspricht. In WebSphere Application Server können Sie auswählen, welche Cipher Suites verwendet werden. Die Cipher Suites geben den Verschlüsselungsgrad der Verbindung vor. Je höher der Verschlüsselungsgrad ist, desto stärker ist die Auswirkung auf den Durchsatz.

RACF-Optimierung

Beachten Sie bei der RACF-Optimierung Folgendes:

  • Verwenden Sie RACLIST, um Elemente, die den Durchsatz steigern, in den Speicher zu stellen. Stellen Sie sicher, dass Sie mit RACLIST (sofern Sie es verwenden) Folgendes angeben:
    • CBIND
    • EJBROLE
    • SERVER
    • STARTED
    • [z/OS]FACILITY
    • [z/OS]SURROGAT
    Beispiel: [z/OS]
    RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
    
  • Die Verwendung von Techniken wie SSL hat ihren Preis. Wenn Sie ein starker SSL-Benutzer sind, stellen Sie sicher, dass Sie die richtige Hardware, z. B. PCI-Verschlüsselungskarten, haben, um den Handshakeprozess zu beschleunigen.
  • Nachfolgend ist das Definieren des Profils für die Funktionsklasse BPX.SAFFASTPATH beschrieben. Mit diesem Profil können Sie SAF-Aufrufe umgehen, mit denen erfolgreiche Zugriffe auf das SFS überprüft werden.
    • Definieren Sie das Funktionsklassenprofil für RACF.
      
      
      RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
      
    • Führen Sie einen der folgenden Schritte aus, um diese Änderung in Kraft zu setzen:
      • Führen Sie ein erneutes IPL durch.
      • Rufen Sie den Bedienerbefehl SETOMVS oder SET OMVS auf.
    Anmerkung: Verwenden Sie diese Option nicht, wenn erfolgreiche Zugriffe auf das HFS überwacht werden sollen oder wenn Sie den Exit IRRSXT00 zur Steuerung des HFS-Zugriffs benutzen.
  • Stellen Sie die Benutzer- und Gruppen-IDs wie im folgenden Beispiel-PARMLIB-Member COFVLFxx gezeigt in den VLF-Cache:
    Beispiel: sys1.parmlib(COFVLFxx):
    ********************************* Top of Data ********************.
    .
    
    
    CLASS NAME(IRRGMAP) EMAJ(GMAP)
    CLASS NAME(IRRUMAP) EMAJ(UMAP)
    CLASS NAME(IRRGTS) EMAJ(GTS)
    CLASS NAME(IRRACEE) EMAJ(ACEE)
    .
    ********************************** Datenende *********************
    
    Stellen Sie sicher, dass es für alle HFS-Dateien gültige GIDs und UIDs gibt. So können Sie eine kostspielige Suche in den RACF-Datenbanken vermeiden.
  • Aktivieren Sie die Einstellung ALWAYS für globale Prüfungen für RACF-(SAF-)Klassen, die den Zugriff auf Objekte im UNIX-Dateisystem steuern, nicht. Wenn Sie ALWAYS in SETR LOGOPTIONS für die RACF-Klasse DIRACC, DIRSRCH, FSOBJ oder FSSEC angeben, wird die Leistung erheblich beeinträchtigt. Ist eine Prüfung erforderlich, prüfen Sie Fehler nur mit SETR LOGOPTIONS, und die Prüfung ist nur für ausgewählte Objekte erfolgreich, die die Prüfung erfordern. Nach der Änderung der Prüfstufe für diese Klassen, vergewissern Sie sich immer, dass die Änderung keine inakzeptbalen Auswirkungen auf die Antwortzeiten oder die CPU-Belastung hat.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprf_tunezsec
Dateiname:rprf_tunezsec.html