![[z/OS]](../images/ngzos.gif)
Sugerencias para el ajuste de la seguridad
Generalmente, ocurren dos cosas al aumentar la seguridad: el coste por transacción aumenta y el rendimiento disminuye. Tenga en cuenta la información de seguridad siguiente cuando configure WebSphere Application Server.
Clase SAF
Cuando una clase SAF (RACF o equivalente) está activa, el número de perfiles de una clase afecta al rendimiento global de la comprobación. La colocación de estos perfiles en una tabla de memoria (RACLISTed) mejora el rendimiento de las comprobaciones de acceso. Los controles de auditorías de las comprobaciones de acceso también afectan al rendimiento. Generalmente, se realiza la auditoría de las anomalías; no cuando todo se realiza correctamente. Los sucesos de auditoría se registran en DASD y aumentan la actividad adicional de la comprobación de acceso. Como todas las comprobaciones de autorización de seguridad se realizan con SAF (RACF o equivalente), puede optar por habilitar e inhabilitar las clases SAF para controlar la seguridad. Una clase inhabilitada supone una cantidad apenas perceptible de actividad adicional.
Asimismo, si una clase SAF no es RACLISTed, debe reiniciar el servidor de aplicaciones para poder aplicar los cambios realizados en los perfiles de la clase.

EJBROLE en métodos
Utilice un número mínimo de EJBROLE en los métodos. Si utiliza EJBROLE, al especificar más roles en un método, se deben ejecutar más comprobaciones de acceso y la asignación de métodos global es más lenta. Si no está utilizando EJBROLE, no active la clase.
Seguridad de Java 2
Si no necesita la seguridad de Java™ 2, inhabilítela. Para obtener las instrucciones sobre cómo inhabilitar la seguridad de Java 2, consulte Protección de los recursos y las API del sistema (seguridad de Java 2) para el desarrollo de aplicaciones.
Nivel de autorización
- Autenticación local: la autenticación local es el tipo más rápido, ya que está muy optimizada.
- Autenticación de ID de usuario y contraseña la autenticación que utiliza un ID de usuario y una contraseña tiene un coste de primera llamado alto y coste menor con cada llamada posterior.
- Autenticación de seguridad Kerberos: todavía no hemos estimado adecuadamente el coste de la seguridad Kerberos.
- Autenticación de la seguridad SSL: la seguridad SSL es notoria en la industria por su actividad adicional de rendimiento. Afortunadamente, existen numerosas ayudas disponibles en el hardware para hacer que esta sea razonable para z/OS.
Nivel de cifrado con SSL
Si utiliza SSL (Secure Sockets Layer), seleccione el nivel más bajo de cifrado que se ajuste a los requisitos de seguridad. WebSphere Application Server le permite seleccionar qué suites de cifrado desea utilizar. Los suites de cifrado deciden el nivel de cifrado de la conexión. Cuanto más alto es el nivel de cifrado, mayor es el impacto en el rendimiento.
Ajuste de RACF
Siga estas directrices para el ajuste de RACF:
- Utilice RACLIST para
colocar en la memoria aquellos elementos que pueden mejorar el
rendimiento. Concretamente, asegúrese de que RACLIST (si se utiliza):
- CBIND
- EJBROLE
- SERVER
- STARTED
FACILITY
SURROGAT
Ejemplo:RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
- El uso de elementos como SSL tiene su precio. Si utiliza SSL mucho, asegúrese de que tiene el hardware adecuado, como por ejemplo las tarjetas criptográficas PCI para acelerar el reconocimiento de comunicación.
- Aquí se muestra cómo se define el perfil de clase de recurso
BPX.SAFFASTPATH. Este perfil permite omitir las llamadas SAF que se pueden
utilizar para realizar la auditoría de los accesos al sistema de archivos
compartidos correctos.
- Defina el perfil de clase del recurso en RACF.
RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
- Active este cambio realizando una dos las siguientes acciones:
- Vuelva a realizar IPL
- invoque los mandatos de operador SETOMVS o SET OMVS.
Nota: No utilice esta opción, si es necesario realizar la auditoría de accesos de HFS correctos o si utiliza la salida IRRSXT00 para controlar el acceso de HFS. - Defina el perfil de clase del recurso en RACF.
- Utilice la colocación en antememoria de VLF de los UID y los GID tal
como se muestra en el miembro COFVLFxx parmlib de ejemplo: Ejemplo: sys1.parmlib(COFVLFxx):
Para evitar una exploración costosa de las bases de datos RACF, asegúrese de que todos los archivos HFS tengan los GID y UID válidos.********************************* Top of Data ********************. . CLASS NAME(IRRGMAP) EMAJ(GMAP) CLASS NAME(IRRUMAP) EMAJ(UMAP) CLASS NAME(IRRGTS) EMAJ(GTS) CLASS NAME(IRRACEE) EMAJ(ACEE) . ******************************** Final de datos ******************
- No habilite SIEMPRE la auditoría global en las clases RACF (SAF) que controlan el acceso a los objetos del sistema de archivos UNIX. Si se especifica la auditoría ALWAYS en LOGOPTIONS SETR para las clases RACF DIRACC, DIRSRCH, FSOBJ o FSSEC, se produce una degradación grave del rendimiento. Si necesita la auditoría, audite sólo las anomalías utilizando SETR LOGOPTIONS, y audite las acciones satisfactorias para sólo los objetos seleccionados que la requieran. Después de cambiar el nivel de auditoría de dichas clases, verifique siempre que el cambio no haya provocado un impacto inaceptable en los tiempos de respuesta o el uso de CPU.