[z/OS]

Conseils pour l'optimisation de la sécurité

En général, deux événements se produisent lorsque vous augmentez la sécurité : le coût par transaction augmente et le rendement diminue. Considérez les informations de sécurité suivantes lorsque vous configurez WebSphere Application Server.

Classe SAF

Lorsqu'une classe SAF (RACF ou équivalente) est active, le nombre de profils dans une classe affecte les performances globales de la vérification. Le placement de ces profils dans une table mémoire (RACLISTed) améliore les performances des vérifications des accès. Les contrôles de type audit sur les vérifications des accès jouent également sur la performance. En règle générale, vous effectuez un audit sur les échecs et non sur les succès. Les événements d'audit sont consignés dans l'unité DASD et augmentent le coût de la vérification des accès. Du fait que toutes les vérifications des autorisations de sécurité sont réalisées avec SAF (RACF ou équivalent), vous pouvez choisir d'activer ou de désactiver les classes SAF pour contrôler la sécurité. Une classe désactivée a un coût négligeable.

En outre, si une classe SAF n'est pas placée dans RACLIST, vous devez redémarrer le serveur d'applications pour récupérer les modifications apportées aux profils dans la classe.

Eviter les incidents Eviter les incidents: L'activation de tous les audits sur les classes qui contrôlent l'accès aux objets du système de fichiers UNIX System Services, tels que RACF DIRACC, DIRSRCH, FSOBJ et FSSEC, ou leur équivalent dans d'autres gestionnaires de sécurité SAF, réduit considérablement les performances.gotcha

EJBROLE sur méthodes

Utilisez un nombre minimum de EJBROLE sur les méthodes. L'utilisation d'EJBROLE pour spécifier des rôles supplémentaires sur une méthode entraîne l'exécution de vérifications d'accès plus nombreuses et une diffusion globalement plus lente de la méthode. Si vous n'utilisez pas EJBROLE, n'activez pas la classe.

Sécurité Java 2

Si vous n'avez pas besoin de la sécurité Java™ 2, désactivez-la. Pour obtenir des instructions sur comment désactiver la sécurité Java 2, voir Protection des ressources système et des API (sécurité Java 2) pour le développement des applications.

Niveau d'autorisation

Utilisez le niveau le plus faible d'autorisation en accord avec vos besoins de sécurité. Vous disposez des options suivantes en matière d'authentification :
  • Authentification locale : l'authentification locale est la méthode la plus rapide car elle est largement optimisée.
  • Authentification par ID utilisateur et mot de passe : l'authentification utilisant un ID utilisateur et un mot de passe induit un coût plus élevé pour le premier appel et un coût moindre pour chaque appel ultérieur.
  • Authentification par sécurité kerberos : nous n'avons pas encore évalué de manière adéquate le coût de la sécurité Kerberos.
  • Authentification par sécurité SSL : la sécurité SSL est bien connue dans l'industrie pour sa surcharge de performance. Par chance, il existe de nombreuses aides disponibles sur le matériel pour limiter les effets néfastes de la sécurité SSL sur z/OS.

Niveau de chiffrement avec SSL

Si vous utilisez SSL (Secure Sockets Layer), sélectionnez le niveau le plus faible de chiffrement en accord avec vos obligations de sécurité. WebSphere Application Server vous donne la possibilité de sélectionner les suites de chiffrement que vous utilisez. Ces dernières définissent la force de chiffrement de la connexion. Plus la force de chiffrement est élevée, plus l'impact sur les performances est important.

Optimisation de RACF

Suivez ces conseils pour l'optimisation de RACF :

  • Utilisez RACLIST pour placer dans la mémoire les éléments suivants capables d'améliorer la performance. Le cas échéant, assurez-vous tout particulièrement d'utiliser RACLIST pour :
    • CBIND
    • EJBROLE
    • SERVER
    • STARTED
    • [z/OS]FACILITY
    • [z/OS]SURROGAT
    Exemple : [z/OS]
    RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
    
  • L'utilisation de composants tels que SSL a un prix. Si vous utilisez souvent SSL, assurez-vous que vous avez le matériel approprié, tel que des cartes de cryptographie de l'architecture PCI (Peripheral Component Interconnect), afin d'accélérer le processus d'établissement de liaison.
  • Voilà comment définir le profil de classe de la fonction BPX.SAFFASTPATH. Ce profil vous permet de contourner les appels SAF qui peuvent être utilisés pour effectuer un audit des accès réussis des systèmes de fichiers partagés.
    • Définissez le profil de classe de la fonction sur RACF.
      
      
      RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
      
    • Activez ce changement en effectuant une des actions suivantes :
      • relancer l'IPL
      • appeler les commandes opérateurs SETOMVS ou SET OMVS.
    Remarque : N'utilisez pas cette option si vous devez effectuer un audit des accès HFS réussis ou si vous utilisez la sortie IRRSXT00 pour contrôler l'accès HFS.
  • Utilisez la mise en cache VLF des UID et GID comme présenté dans l'exemple du membre parmlib COFVLFxx :
    Exemple : sys1.parmlib(COFVLFxx):
    ********************************* Top of Data ********************.
    .
    
    
    CLASS NAME(IRRGMAP) EMAJ(GMAP)
    CLASS NAME(IRRUMAP) EMAJ(UMAP)
    CLASS NAME(IRRGTS) EMAJ(GTS)
    CLASS NAME(IRRACEE) EMAJ(ACEE)
    .
    ******************************** Bottom of Data ******************
    
    Pour éviter une analyse coûteuse des bases de données RACF, vérifiez que tous les fichiers HFS disposent de GID et UID valides.
  • N'activez pas l'audit global ALWAYS au niveau des classes RACF (SAF) qui contrôlent l'accès aux objets dans le système de fichiers UNIX. Si ALWAYS est spécifié pour l'audit dans le paramètre SETR LOGOPTIONS des classes RACF DIRACC, DIRSRCH, FSOBJ ou FSSEC, les performances se dégradent considérablement. Si un audit est requis, auditez uniquement les incidents à l'aide de SETR LOGOPTIONS, et les réussites des seuls objets sélectionnés qui en ont besoin. Après avoir modifié le niveau d'audit de ces classes, vérifiez systématiquement que la modification n'a pas entraîné un impact inacceptable sur les temps de réponse ou sur l'utilisation d'unité centrale.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprf_tunezsec
Nom du fichier : rprf_tunezsec.html