![[z/OS]](../images/ngzos.gif)
보안 성능 조정 팁
일반적으로, 보안을 강화할 때 두 가지가 발생합니다. 트랜잭션 당 비용은 증가하고 처리량이 감소합니다. WebSphere® Application Server를 구성할 때 다음 보안 정보를 고려하십시오.
SAF 클래스
SAF (RACF® 또는 이에 상응하는 것) 클래스가 활성이면, 클래스의 프로파일 수는 전체 검사 성능에 영향을 미칩니다. 이러한 프로파일을 (RACLISTed) 메모 리 테이블에 배치하면 액세스 검사의 성능이 향상됩니다. 액세스 검사에 대한 감사 제어도 성능에 영향을 미칩니다. 일반적으로 성공이 아니라 장애를 감사합니다. 감사 이벤트는 DASD로 로그되고, 액세스 검사의 오버헤드를 증가시킵니다. 모든 보안 권한 검사는 SAF(RACF 또는 이에 상응하는 것)를 사용하여 수행되므로 보안을 제어하기 위해 SAF 클래스를 사용 및 사용 안함으로 선택할 수 있습니다. 사용 안함으로 설정된 클래스는 무시할 수 있는 정도의 오버헤드가 발생합니다.
또한, SAF 클래스가 RACLISTed가 아닌 경우, 애플리케이션 서버를 다시 시작하여 클래스의 프로파일에 작성된 변경사항을 선택해야 합니다.

메소드의 EJBROLE
메소드에 대한 최소 EJBROLE 수를 사용하십시오. EJBROLE울 사용하는 경우, 메소드에 추가 역할을 지정하면 더 많은 액세스 검사를 실행해야 하며 전체 메소드 디스패치는 느려집니다. EJBROLE를 사용하지 않는 경우에는 클래스를 활성화하지 마십시오.
Java 2 보안
Java™ 2 보안을 필요로 하지 않은 경우, 사용 안함으로 설정하십시오. Java 2 보안을 사용 안함으로 설정하는 방법에 관한 지시사항은 애플리케이션 개발을 위해 자원 및 API(Java 2 보안) 보호의 내용을 참조하십시오.
권한 레벨
- 로컬 인증: 로컬 인증은 고도로 최적화되어 있으므로 가장 빠른 유형입니다.
- 사용자 ID 및 비밀번호 인증: 사용자 ID와 비밀번호를 사용하는 인증은 첫 번째 호출 비용은 높고 다음 각 호출 비용은 낮습니다.
- Kerberos 보안 인증: 아직 Kerberos 보안의 비용은 제대로 파악하지 못했습니다.
- SSL 보안 인증: SSL 보안은 성능 오버헤드로 업계에서 악명이 높습니다. 다행히, z/OS®에서 합당하도록 하드웨어에서 사용 가능한 지원이 많습니다.
SSL을 사용한 암호화 레벨
SSL(Secure Sockets Layer)을 사용하는 경우 사용자의 보안 요구사항과 일치하는 가장 낮은 레벨의 암호화를 선택하십시오. WebSphere Application Server를 사용하면 사용하는 암호 양식을 선택할 수 있습니다. cipher suite는 연결의 암호화 강화를 지시합니다. 암호화 강도가 높을 수록 성능에 미치는 영향도 커집니다.
RACF 조정
RACF 조정을 위한 다음 가이드라인을 따르십시오.
- RACLIST을 사용하여 성능을
향상시킬 수 있는 항목을 메모리에 배치하십시오. 특히 RACLIST(사용한 경우)를
배치했는지 확인하십시오.
- CBIND
- EJBROLE
- SERVER
- STARTED
FACILITY
SURROGAT
예:RACLIST (CBIND, EJBROLE, SERVER, STARTED, FACILITY, SURROGAT)
- 가격에 상관없이 SSL과 같은 것을 사용합니다. SSL을 자주 사용하는 경우, PCI 비밀 카드와 같이 핸드쉐이크 프로세스 속도를 늘릴 수 있는 적합한 하드웨어가 있는지 확인하십시오.
- 다음은 BPX.SAFFASTPATH 기능 클래스 프로파일을 정의하는 방법에 대해 설명합니다.
이 프로파일을 사용하면 공유 파일 시스템 액세스 성공 여부를
감사하는 데 사용할 수 있는 SAF 호출을 생략할 수 있습니다.
- RACF에 기능 클래스 프로파일을 정의하십시오.
RDEFINE FACILITY BPX.SAFFASTPATH UACC(NONE)
- 다음 중 하나를 수행하여 변경사항을 활성화하십시오.
- re-IPL
- SETOMVS 또는 SET OMVS 운영자 명령 호출
참고: HFS 액세스 성공 여부를 감사해야 하거나 IRRSXT00 종료를 사용하여 HFS 액세스를 제어하는 경우 이 옵션을 사용하지 마십시오. - RACF에 기능 클래스 프로파일을 정의하십시오.
- 예제 COFVLFxx
parmlib 멤버에 표시된대로 UID와 GID의 VLF 캐싱을 사용하십시오. 예제: sys1.parmlib(COFVLFxx):
불필요한 RACF 데이터베이스의 스캔을 피하려면 모든 HFS 파일에 유효한 GID 및 UID가 있는지 확인하십시오.********************************* Top of Data ********************. . CLASS NAME(IRRGMAP) EMAJ(GMAP) CLASS NAME(IRRUMAP) EMAJ(UMAP) CLASS NAME(IRRGTS) EMAJ(GTS) CLASS NAME(IRRACEE) EMAJ(ACEE) . ******************************** Bottom of Data ******************
- UNIX 파일 시스템에서 오브젝트에 대한 액세스를 제어하는 RACF(SAF) 클래스에서 글로벌 감사 ALWAYS를 사용 안함으로 설정하십시오. 감사 ALWAYS가 RACF 클래스 DIRACC, DIRSRCH, FSOBJ 또는 FSSEC에서 지정된 경우, 심각한 성능 저하가 발생합니다. 감사가 필요한 경우 SETR LOGOPTIONS을 사용하여 실패만 감사하며 이를 필요로 하는 선택된 오브젝트에 대해서만 성공을 감사합니다. 이 클래스에서 감사 레벨을 변경하면, 변경사항으로 응답 시간이나 CPU 사용에 받아들일 수 없는 영향을 야기하지 않는지 항상 확인하십시오.