[z/OS]

セキュリティーの調整ヒント

一般に、セキュリティーを強化すると、トランザクションごとのコストの上昇とスループットの低下という 2 つのことが起こります。WebSphere® Application Server を構成するときは、次のセキュリティー情報を考慮してください。

SAF クラス

SAF (RACF® または同等の) クラスがアクティブな場合、クラス内のプロファイル数は検査のパフォーマンス全体に影響を与えます。これらのプロファイルを (RACLIST を使用して) メモリー・テーブルに置くと、 アクセス検査のパフォーマンスが改善されます。アクセス検査での監査制御もパフォーマンスに影響を与えます。通常、失敗を監査し、成功は監査しません。 監査イベントは DASD にログされ、アクセス検査のオーバーヘッドを増やします。すべてのセキュリティー権限検査は SAF (RACF または同等のもの) で行われるため、SAF クラスの 使用可能または使用不可を選択してセキュリティーを制御することができます。 使用不可のクラスでは、わずかな量のオーバーヘッドがかかります。

さらに、SAF クラスに対して RACLIST が使用されていない場合、クラスのプロファイルに行った変更内容を反映するために、アプリケーション・サーバーを再始動する必要があります。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): UNIX システム・サービスのファイル・システムにあるオブジェクトへのアクセスを制御するクラス (RACF DIRACC、DIRSRCH、FSOBJ、および FSSEC)、または他の SAF セキュリティー・マネージャーにある同等のクラスの監査をすべて有効にすると、パフォーマンスが大幅に低下します。gotcha

メソッドでの EJBROLE

メソッドで EJBROLE の最小数を使用します。EJBROLE を使用している場合、メソッドでさらにロールを指定すると、実行する必要のあるアクセス検査の数が増えることになり、メソッド dispatch 全体が遅くなります。EJBROLE を使用していない場合は、クラスを活動化しないでください。

Java 2 セキュリティー

Java™ 2 セキュリティーが必要ない場合は、使用不可にしてください。Java 2 セキュリティーを使用不可にする方法については、アプリケーション開発用のシステム・リソースおよび API (Java 2 セキュリティー) の保護を参照してください。

許可のレベル

必要なセキュリティーを満たす最低レベルの許可を使用してください。 認証を扱う場合、以下の選択肢があります。
  • ローカル認証: ローカル認証は、非常に最適化されているため、最も早いタイプです。
  • ユーザー ID およびパスワード認証: ユーザー ID およびパスワードを使用する認証では、 最初の呼び出しコストが高く、それ以降の各呼び出しのコストは低くなります。
  • Kerberos セキュリティー認証: Kerberos セキュリティーのコストについては まだ適格な特性が明らかになっていません。
  • SSL セキュリティー認証: SSL セキュリティーはパフォーマンス・オーバーヘッドが高いことで 知られています。 しかし、ハードウェアを使用することで得られる支援が数多くあるため、それらを使用することにより、この認証を z/OS® で問題なく使用できるようになります。

SSL を使用した暗号化のレベル

Secure Sockets Layer (SSL) を使用している場合、セキュリティー要件を満たす最低レベルの暗号化を選択します。 WebSphere Application Server では、使用する暗号スイートを選択することができます。暗号スイートにより、接続の暗号化強度が決定されます。 暗号化強度が高いほど、パフォーマンスへの影響も大きくなります。

RACF 調整

RACF 調整に関する以下のガイドラインに従ってください。

  • RACLIST を使用して次の項目をメモリーに取り込み、 パフォーマンスを改善します。 具体的には、(使用する場合は) 必ず RACLIST で以下の項目を使用してください。
    • CBIND
    • EJBROLE
    • SERVER
    • STARTED
    • [z/OS]FACILITY
    • [z/OS]SURROGAT
    例: [z/OS]
    RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
    
  • SSL のようなものを使用すると、コストが高くなります。重い SSL ユーザーを使用している場合は、 必ず PCI 暗号カードなどの適切なハードウェアを使用し、ハンドシェーク・プロセスをスピードアップしてください。
  • 以下は、BPX.SAFFASTPATH 機能のクラス・プロファイルの定義方法です。このプロファイルによって、 ファイル共有システムへの正常なアクセスを監査するために使用できる SAF 呼び出しをバイパスすることができます。
    • RACF の機能クラス・プロファイルを定義します。
      
      
      RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
      
    • 以下のいずれかを実行してこの変更を活動化します。
      • re-IPL
      • SETOMVS または SET OMVS オペレーター・コマンドを呼び出します。
    注: 正常な HFS アクセスを監査する場合、または IRRSXT00 出口を使用して HFS アクセスを制御する場合は、このオプションを使用しないでください。
  • parmlib メンバー COFVLFxx の例では、UID および GID の VLF キャッシュを使用します。
    例: sys1.parmlib(COFVLFxx):
    ********************************* Top of Data ********************.
    .
    
    
    CLASS NAME(IRRGMAP) EMAJ(GMAP)
    CLASS NAME(IRRUMAP) EMAJ(UMAP)
    CLASS NAME(IRRGTS) EMAJ(GTS)
    CLASS NAME(IRRACEE) EMAJ(ACEE)
    .
    ******************************** Bottom of Data ******************
    
    RACF データベースでコストのかかるスキャンが実行されないようにするため、すべての HFS ファイルが必ず有効な GID および UID を持つようにしてください。
  • UNIX ファイル・システムのオブジェクトへのアクセスを制御する RACF (SAF) クラスに対してグローバル監査 ALWAYS を使用可能にしないでください。RACF クラス (DIRACC、DIRSRCH、FSOBJ、または FSSEC) に対して SETR LOGOPTIONS で監査 ALWAYS を指定した場合、パフォーマンスが大幅に低下します。監査が必要な場合、SETR LOGOPTIONS を使用して障害のみを監査し、正常に実行されたものに対する監査は、それを必要とする選択されたオブジェクトについてのみ行うようにします。これらのクラスで監査レベルを変更したら、応答時間または CPU 使用量に悪影響を及ぼしていないか必ず確認してください。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprf_tunezsec
ファイル名:rprf_tunezsec.html