[z/OS]

z/OS용 WebSphere Application Server 보안

z/OS®용 WebSphere® Application Server는 분배 환경의 클라이언트 및 서버를 통해 자원에의 액세스를 지원합니다. 이러한 자원에의 액세스를 제어하고 시스템 또는 데이터의 우연한 손상이나 악성 손상을 예방할 방법을 판별하십시오.

다음은 사용자가 고려해야 할 분배된 네트워크의 일부입니다.
  • 서버를 z/OS의 기본 운영 체제 시스템 서비스에 대해 인증해야 합니다. 이러한 서비스에는 SAF(System Authorization Facility) 보안, 데이터베이스 관리, 트랜잭션 관리 등이 있습니다.
    • 서버 클러스터의 경우, 제어기와 제어 대상 사이를 구분해야 합니다. 제어기는 권한 부여된 시스템 코드를 실행하므로 신뢰할 수 있습니다. 제어 대상은 애플리케이션 코드를 실행하며 자원을 통해 제공 받으므로 제어 대상에 부여하는 권한을 신중히 생각하십시오.
    • 런타임 서버의 권한의 레벨과 사용자 고유의 서버가 보유한 권한의 레벨도 구분해야 합니다. 예를 들어, 노드는 다른 클러스터를 시작할 권한이 필요한 반면, 사용자 고유의 클러스터는 이 권한이 필요하지 않습니다.
  • 클라이언트(사용자)에게 서버 내 서버 및 오브젝트에 대한 권한을 부여해야 합니다. 각 클라이언트의 특성에는 다음 특수 고려사항이 필요합니다.
    • 클라이언트가 로컬 시스템에 있거나 원격에 있습니까? 네트워크의 보안은 원격 클라이언트에 대한 고려사항이 됩니다.
    • 알 수 없는(권한을 부여받지 않은) 클라이언트가 시스템을 액세스하도록 허용하시겠습니까? 시스템에 대한 다른 자원은 보호해야 할 수도 있는 반면, 일부는 공용 액세스를 위한 것일 수도 있습니다. 보호된 자원을 액세스하려면 클라이언트가 자신의 ID를 설정하고 해당 자원을 사용하기 위한 권한을 보유해야 합니다.
  • 인증은 특정 컨텍스트에서 클라이언트의 ID를 설정하는 프로세스입니다. 클라이언트는 일반 사용자, 머신, 애플리케이션이 될 수 있습니다. z/OS의 WebSphere Application Server의 용어 인증 메커니즘은 WebSphere가 HTTP 및 JMX(Java™ Management Extensions) 기능을 사용하여 인증된 ID를 식별하는 기능을 더욱 구체적으로 참조합니다. 셀을 구성하는 경우, 인증 메커니즘을 선택해야 합니다. 인증 메커니즘에 대한 선택사항은 다음과 같습니다.
    • SWAM(Simple WebSphere Authorization Mechanism)이 기본 애플리케이션 서버에 유일하게 존재하지만 Network Deployment 구성에는 사용할 수 없음
      참고: SWAM은 WebSphere Application Server 버전 9.0에서 더 이상 사용되지 않으며 이후 릴리스에서는 제거됩니다.
    • LTPA(Lightweight Third Party Authentication)
    • Kerberos
  • 사용자 레지스트리에 상주하는 사용자 및 그룹에 대한 정보입니다. WebSphere Application Server의 경우, 사용자 레지스트리는 사용자를 인증하며 사용자 및 그룹에 관한 정보를 검색하여 인증 및 권한 부여와 같은 보안 관련 기능을 수행합니다. 다중 운영 체제 또는 운영 환경 기반 사용자 레지스트리를 지원하기 위한 구현이 제공됩니다. 셀을 구성하는 경우, 단일 사용자 레지스트리를 선택해야 합니다. 사용자 레지스트리는 로컬 또는 원격이 될 수 있습니다. 사용자 레지스트리에 대한 선택사항은 다음과 같습니다.
    • SAF 기반 로컬 레지스트리(사용자 정의 중에 z/OS 보안 제품이 관리 보안에 대해 선택된 경우에 기본값)
    • 독립형 LDAP(Lightweight Directory Access Protocol) 레지스트리 - LDAP은 로컬 또는 원격 레지스트리 중 하나가 될 수 있음
    • 독립형 사용자 정의 사용자 레지스트리 - 사용자 정의 사용자 레지스트리가 설정되어 고유한 레지스트리 요구사항을 충족합니다. WebSphere Application Server는 FileBasedRegistrySample이라는 단순한 사용자 레지스트리 샘플을 제공합니다.
    • 연합 저장소(사용자 정의 중에 WebSphere Application Server가 관리 보안에 선택된 경우 기본값)
자원을 보호해야 하는 경우, 누가 자원을 액세스하는지 꼭 식별해야 합니다. 따라서, 보안 시스템은 클라이언트(사용자)가 필요하며, 이는 인증이라고도 합니다. z/OS용 WebSphere Application Server에 의하여 지원되는 분배된 네트워크의 경우, 클라이언트는 다음에서 자원을 액세스할 수 있습니다.
  • 서버와 동일한 시스템 내
  • 서버와 동일한 sysplex 내
  • 원격 z/OS 시스템
  • 분배된 플랫폼의 WebSphere Application Server, CICS®(Customer Information Control System) 또는 기타 Java Platform, Enterprise Edition-준수 시스템과 같은 이기종 시스템입니다.

추가적으로 클라이언트는 다른 클러스터로 요청을 전달하게 위해 서버가 필요한 서비스를 요청할 수 있습니다. 이러한 경우, 시스템은 중간 클러스터 및 대상 클러스터에 의한 사용을 위한 클라이언트 ID의 위임, 가용성을 처리해야 합니다.

최종적으로, 분배된 네트워크의 경우, 전달되는 중인 메시지가 기밀인지, 변조된 적이 없는지 어떻게 확인합니까? 클라이언트가 청구하는 사용자라는 것을 어떻게 확인합니까? 네트워크 ID를 z/OS ID에 어떻게 맵핑합니까? 이러한 문제는 z/OS용 WebSphere Application Server의 다음 지원을 통해 처리됩니다.
  • SSL(Secure Sockets Layer) 및 디지털 인증서의 사용
  • Kerberos
  • CSIv2(Common Secure Interoperability, Version 2)
  • SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)
  • SAF의 기능을 맵핑하는 분배 ID

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_settingup
파일 이름:csec_settingup.html