WebSphere® eXtreme
Scale はデータ・アクセスを保護し、外部セキュリティー・プロバイダーと統合することができます。
注: データベースなど、既存の非キャッシュ・データ・ストアでは、積極的に構成したり、有効にしたりする必要のない組み込みセキュリティー・フィーチャーがある可能性があります。ただし、eXtreme Scale でデータをキャッシュした後では、その結果として生じる、バックエンドのセキュリティー・フィーチャーが効力を持たなくなるような重要な状況を考慮する必要があります。eXtreme Scale セキュリティーを必要なレベルで構成すると、データの新しいキャッシュ・アーキテクチャーも保護できます。
以下に、
eXtreme Scale セキュリティー機能について簡単に説明します。セキュリティーの構成について詳しくは、「
管理ガイド」および「
プログラミング・ガイド」を参照してください。
分散セキュリティーの基礎
分散
eXtreme Scale セキュリティー
は、次の 3 つの主要概念に基づいています。
- 信頼できる認証
- 要求側の ID を判別する能力。WebSphere eXtreme
Scale は、クライアントとサーバー間の認証も、サーバー相互間の認証もともにサポートします。
- 許可
- 要求側にアクセス権を付与する許可を与える能力。WebSphere eXtreme
Scale は、さまざまな操作に対しさまざまな許可をサポートします。
- セキュア・トランスポート
- ネットワーク上での安全なデータ伝送。WebSphere eXtreme
Scale は、Transport Layer Security/Secure Sockets Layer (TLS/SSL) プロトコルをサポートします。
認証
WebSphere eXtreme
Scale は、分散クライアント・サーバー・フレームワークをサポートします。クライアント・サーバー・セキュリティー・インフラストラクチャーは、eXtreme Scale サーバーへのアクセスを安全にするために配置されています。例えば、
認証が eXtreme Scale サーバーによって必要とされる場合、認証のための資格情報を eXtreme Scale クライアントが
サーバーに提供する必要があります。これらの資格情報は、ユーザー名とパスワードのペア、クライアント証明書、Kerberos チケット、またはクライアントとサーバーが合意した形式で示されたデータなどです。
許可
WebSphere eXtreme
Scale の許可は、サブジェクトおよびアクセス権に基づいています。Java 認証・承認サービス (JAAS) を使用してアクセスを許可したり、Tivoli® Access Manager (TAM) などのカスタム・アプローチを接続して許可を処理したりできます。クライアントまたはグループに対しては、以下の許可を与えることができます。
- マップ許可
- マップに対して挿入、読み取り、更新、除去、または削除の操作を実行することを許可します。
- ObjectGrid 許可
- ObjectGrid オブジェクトに対してオブジェクト照会またはエンティティー照会を実行することを許可します。
- DataGrid エージェント許可
- DataGrid エージェントを ObjectGrid へデプロイすることを許可します。
- サーバー・サイド・マップ許可
- サーバー・マップをクライアント・サイドに複製すること、またはサーバー・マップに動的索引を作成することを許可します。
- 管理許可
- 管理タスクを実行することを許可します。
トランスポート・セキュリティー
クライアント・サーバー
通信を保護するため、WebSphere eXtreme
Scale は TLS/SSL を
サポートします。これらのプロトコルは、eXtreme Scale クライアントとサーバー間のセキュア接続のため
の、認証性、保全性、および機密性を備えたトランスポート層セキュリティーを提供します。
グリッド・セキュリティー
セキュア環境では、
サーバーは他のサーバーの認証性を確認できる必要があります。WebSphere eXtreme
Scale は、この目的のために共有秘密ストリングのメカニズムを使用します。この秘密鍵のメカニズムは、
共有パスワードと同様です。すべての eXtreme Scale サーバーは、共有秘密ストリングについて同意します。データ・グリッドに加わるサーバーは、
秘密ストリングを提示するよう求められます。参加しようとするサーバーの秘密ストリング
がマスター・サーバーのものと一致すると、そのサーバーはグリッドに
参加できます。一致しない場合、結合要求は拒否されます。
平文の機密事項の送信は保護されません。eXtreme Scale セキュリティー・インフラストラクチャー
には、サーバーがこの機密事項を送信前に保護できるようにするため、SecureTokenManager プラグインが
用意されています。セキュア操作の実装方法を選択できます。WebSphere eXtreme
Scale は、セキュア操作が実装され、機密事項が暗号化され署名されるような実装を提供します。
動的デプロイメント・トポロジーでの Java Management Extensions (JMX) セキュリティー
JMX MBean セキュリティーは、すべてのバージョンの eXtreme Scale でサポートされています。カタログ・サーバー MBean およびコンテナー・サーバー MBean のクライアントを認証可能にして、MBean 操作へのアクセスを実施できるようになります。
ローカル eXtreme Scale セキュリティー
ローカル eXtreme Scale セキュリティーは、アプリケーションが ObjectGrid インスタンスを直接にインスタンス化して、使用するので、分散 eXtreme Scale モデルとは異なります。アプリケーションおよび eXtreme Scale インスタンスは、同じ Java 仮想マシン (JVM) 内にあります。このモデルにはクライアント/サーバーの概念が含まれていないので、認証はサポートされません。アプリケーションがそれ自身の認証を管理し、認証済みサブジェクト・オブジェクトを eXtreme Scale に渡す必要があります。ただし、
ローカル eXtreme Scale プログラミング・モデルに使用される許可メカニズムは、
クライアント/サーバー・モデルに使用されるものと同じです。