![[z/OS]](../images/ngzos.gif)
Conseils pour l'optimisation de la sécurité
En général, deux événements se produisent lorsque vous augmentez la sécurité : le coût par transaction augmente et le rendement diminue. Considérez les informations de sécurité suivantes lorsque vous configurez WebSphere Application Server.
Classe SAF
Lorsqu'une classe SAF (RACF ou équivalente) est active, le nombre de profils dans une classe affecte les performances globales de la vérification. Le placement de ces profils dans une table mémoire (RACLISTed) améliore les performances des vérifications des accès. Les contrôles de type audit sur les vérifications des accès jouent également sur la performance. En règle générale, vous effectuez un audit sur les échecs et non sur les succès. Les événements d'audit sont consignés dans l'unité DASD et augmentent le coût de la vérification des accès. Du fait que toutes les vérifications des autorisations de sécurité sont réalisées avec SAF (RACF ou équivalent), vous pouvez choisir d'activer ou de désactiver les classes SAF pour contrôler la sécurité. Une classe désactivée a un coût négligeable.
En outre, si une classe SAF n'est pas placée dans RACLIST, vous devez redémarrer le serveur d'applications pour récupérer les modifications apportées aux profils dans la classe.

EJBROLE sur méthodes
Utilisez un nombre minimum de EJBROLE sur les méthodes. L'utilisation d'EJBROLE pour spécifier des rôles supplémentaires sur une méthode entraîne l'exécution de vérifications d'accès plus nombreuses et une diffusion globalement plus lente de la méthode. Si vous n'utilisez pas EJBROLE, n'activez pas la classe.
Sécurité Java 2
Si vous n'avez pas besoin de la sécurité Java™ 2, désactivez-la. Pour obtenir des instructions sur comment désactiver la sécurité Java 2, voir Protection des ressources système et des API (sécurité Java 2) pour le développement des applications.
Niveau d'autorisation
- Authentification locale : l'authentification locale est la méthode la plus rapide car elle est largement optimisée.
- Authentification par ID utilisateur et mot de passe : l'authentification utilisant un ID utilisateur et un mot de passe induit un coût plus élevé pour le premier appel et un coût moindre pour chaque appel ultérieur.
- Authentification par sécurité kerberos : nous n'avons pas encore évalué de manière adéquate le coût de la sécurité Kerberos.
- Authentification par sécurité SSL : la sécurité SSL est bien connue dans l'industrie pour sa surcharge de performance. Par chance, il existe de nombreuses aides disponibles sur le matériel pour limiter les effets néfastes de la sécurité SSL sur z/OS.
Niveau de chiffrement avec SSL
Si vous utilisez SSL (Secure Sockets Layer), sélectionnez le niveau le plus faible de chiffrement en accord avec vos obligations de sécurité. WebSphere Application Server vous donne la possibilité de sélectionner les suites de chiffrement que vous utilisez. Ces dernières définissent la force de chiffrement de la connexion. Plus la force de chiffrement est élevée, plus l'impact sur les performances est important.
Optimisation de RACF
Suivez ces conseils pour l'optimisation de RACF :
- Utilisez RACLIST pour placer dans la mémoire les éléments suivants capables d'améliorer la performance. Le cas échéant, assurez-vous tout particulièrement d'utiliser RACLIST pour :
- CBIND
- EJBROLE
- SERVER
- STARTED
FACILITY
SURROGAT
Exemple :RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
- L'utilisation de composants tels que SSL a un prix. Si vous utilisez souvent SSL, assurez-vous que vous avez le matériel approprié, tel que des cartes de cryptographie de l'architecture PCI (Peripheral Component Interconnect), afin d'accélérer le processus d'établissement de liaison.
- Voilà comment définir le profil de classe de la fonction BPX.SAFFASTPATH.
Ce profil vous permet de contourner les appels SAF qui peuvent être utilisés pour effectuer un audit des accès réussis des systèmes de fichiers partagés.
- Définissez le profil de classe de la fonction sur RACF.
RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
- Activez ce changement en effectuant une des actions suivantes :
- relancer l'IPL
- appeler les commandes opérateurs SETOMVS ou SET OMVS.
Remarque : N'utilisez pas cette option si vous devez effectuer un audit des accès HFS réussis ou si vous utilisez la sortie IRRSXT00 pour contrôler l'accès HFS. - Définissez le profil de classe de la fonction sur RACF.
- Utilisez la mise en cache VLF des UID et GID comme présenté dans l'exemple du membre parmlib COFVLFxx :Exemple : sys1.parmlib(COFVLFxx):
Pour éviter une analyse coûteuse des bases de données RACF, vérifiez que tous les fichiers HFS disposent de GID et UID valides.********************************* Top of Data ********************. . CLASS NAME(IRRGMAP) EMAJ(GMAP) CLASS NAME(IRRUMAP) EMAJ(UMAP) CLASS NAME(IRRGTS) EMAJ(GTS) CLASS NAME(IRRACEE) EMAJ(ACEE) . ******************************** Bottom of Data ******************
- N'activez pas l'audit global ALWAYS au niveau des classes RACF (SAF) qui contrôlent l'accès aux objets dans le système de fichiers UNIX. Si ALWAYS est spécifié pour l'audit dans le paramètre SETR LOGOPTIONS des classes RACF DIRACC, DIRSRCH, FSOBJ ou FSSEC, les performances se dégradent considérablement. Si un audit est requis, auditez uniquement les incidents à l'aide de SETR LOGOPTIONS, et les réussites des seuls objets sélectionnés qui en ont besoin. Après avoir modifié le niveau d'audit de ces classes, vérifiez systématiquement que la modification n'a pas entraîné un impact inacceptable sur les temps de réponse ou sur l'utilisation d'unité centrale.