[z/OS]

Sugerencias para el ajuste de la seguridad

Generalmente, ocurren dos cosas al aumentar la seguridad: el coste por transacción aumenta y el rendimiento disminuye. Tenga en cuenta la información de seguridad siguiente cuando configure WebSphere Application Server.

Clase SAF

Cuando una clase SAF (RACF o equivalente) está activa, el número de perfiles de una clase afecta al rendimiento global de la comprobación. La colocación de estos perfiles en una tabla de memoria (RACLISTed) mejora el rendimiento de las comprobaciones de acceso. Los controles de auditorías de las comprobaciones de acceso también afectan al rendimiento. Generalmente, se realiza la auditoría de las anomalías; no cuando todo se realiza correctamente. Los sucesos de auditoría se registran en DASD y aumentan la actividad adicional de la comprobación de acceso. Como todas las comprobaciones de autorización de seguridad se realizan con SAF (RACF o equivalente), puede optar por habilitar e inhabilitar las clases SAF para controlar la seguridad. Una clase inhabilitada supone una cantidad apenas perceptible de actividad adicional.

Asimismo, si una clase SAF no es RACLISTed, debe reiniciar el servidor de aplicaciones para poder aplicar los cambios realizados en los perfiles de la clase.

Avoid trouble Avoid trouble: Habilitar la auditoría en todas las clases que controlan el acceso a los objetos en el sistema de archivos de UNIX System Services, como RACF DIRACC, DIRSRCH, FSOBJ y FSSEC, o su equivalente en otros gestores de seguridad SAF, disminuye gravemente el rendimiento. gotcha

EJBROLE en métodos

Utilice un número mínimo de EJBROLE en los métodos. Si utiliza EJBROLE, al especificar más roles en un método, se deben ejecutar más comprobaciones de acceso y la asignación de métodos global es más lenta. Si no está utilizando EJBROLE, no active la clase.

Seguridad de Java 2

Si no necesita la seguridad de Java™ 2, inhabilítela. Para obtener las instrucciones sobre cómo inhabilitar la seguridad de Java 2, consulte Protección de los recursos y las API del sistema (seguridad de Java 2) para el desarrollo de aplicaciones.

Nivel de autorización

Utilice el nivel más bajo de autorización coherente con sus necesidades de seguridad. Tiene las opciones siguientes para cuestiones de autenticación:
  • Autenticación local: la autenticación local es el tipo más rápido, ya que está muy optimizada.
  • Autenticación de ID de usuario y contraseña la autenticación que utiliza un ID de usuario y una contraseña tiene un coste de primera llamado alto y coste menor con cada llamada posterior.
  • Autenticación de seguridad Kerberos: todavía no hemos estimado adecuadamente el coste de la seguridad Kerberos.
  • Autenticación de la seguridad SSL: la seguridad SSL es notoria en la industria por su actividad adicional de rendimiento. Afortunadamente, existen numerosas ayudas disponibles en el hardware para hacer que esta sea razonable para z/OS.

Nivel de cifrado con SSL

Si utiliza SSL (Secure Sockets Layer), seleccione el nivel más bajo de cifrado que se ajuste a los requisitos de seguridad. WebSphere Application Server le permite seleccionar qué suites de cifrado desea utilizar. Los suites de cifrado deciden el nivel de cifrado de la conexión. Cuanto más alto es el nivel de cifrado, mayor es el impacto en el rendimiento.

Ajuste de RACF

Siga estas directrices para el ajuste de RACF:

  • Utilice RACLIST para colocar en la memoria aquellos elementos que pueden mejorar el rendimiento. Concretamente, asegúrese de que RACLIST (si se utiliza):
    • CBIND
    • EJBROLE
    • SERVER
    • STARTED
    • [z/OS]FACILITY
    • [z/OS]SURROGAT
    Ejemplo: [z/OS]
    RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
    
  • El uso de elementos como SSL tiene su precio. Si utiliza SSL mucho, asegúrese de que tiene el hardware adecuado, como por ejemplo las tarjetas criptográficas PCI para acelerar el reconocimiento de comunicación.
  • Aquí se muestra cómo se define el perfil de clase de recurso BPX.SAFFASTPATH. Este perfil permite omitir las llamadas SAF que se pueden utilizar para realizar la auditoría de los accesos al sistema de archivos compartidos correctos.
    • Defina el perfil de clase del recurso en RACF.
      
      
      RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
      
    • Active este cambio realizando una dos las siguientes acciones:
      • Vuelva a realizar IPL
      • invoque los mandatos de operador SETOMVS o SET OMVS.
    Nota: No utilice esta opción, si es necesario realizar la auditoría de accesos de HFS correctos o si utiliza la salida IRRSXT00 para controlar el acceso de HFS.
  • Utilice la colocación en antememoria de VLF de los UID y los GID tal como se muestra en el miembro COFVLFxx parmlib de ejemplo:
    Ejemplo: sys1.parmlib(COFVLFxx):
    ********************************* Top of Data ********************.
    .
    
    
    CLASS NAME(IRRGMAP) EMAJ(GMAP)
    CLASS NAME(IRRUMAP) EMAJ(UMAP)
    CLASS NAME(IRRGTS) EMAJ(GTS)
    CLASS NAME(IRRACEE) EMAJ(ACEE)
    .
    ******************************** Final de datos ******************
    
    Para evitar una exploración costosa de las bases de datos RACF, asegúrese de que todos los archivos HFS tengan los GID y UID válidos.
  • No habilite SIEMPRE la auditoría global en las clases RACF (SAF) que controlan el acceso a los objetos del sistema de archivos UNIX. Si se especifica la auditoría ALWAYS en LOGOPTIONS SETR para las clases RACF DIRACC, DIRSRCH, FSOBJ o FSSEC, se produce una degradación grave del rendimiento. Si necesita la auditoría, audite sólo las anomalías utilizando SETR LOGOPTIONS, y audite las acciones satisfactorias para sólo los objetos seleccionados que la requieran. Después de cambiar el nivel de auditoría de dichas clases, verifique siempre que el cambio no haya provocado un impacto inaceptable en los tiempos de respuesta o el uso de CPU.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprf_tunezsec
File name: rprf_tunezsec.html