WebSphere eXtreme Scale permet de sécuriser l'accès aux données et l'intégration de fournisseurs de sécurité externes.
Remarque : Dans un magasin de données non mis en cache, une base de données, par exemple,
il est probable que certaines fonctions pré-intégrées de sécurité ne vous serviront à rien pour la configuration ou l'activation. Cependant, une fois vos données mises en cache avec eXtreme Scale, vous devez prendre en compte le fait que vos fonctions de sécurité du dorsal ne sont plus actives. Vous pouvez configurer la sécurité de eXtreme Scale aux niveaux nécessaires, de sorte que votre nouvelle architecture mise en cache soit également sécurisée.
Vous trouverez ci-dessous un bref récapitulatif des fonctions de sécurité de
eXtreme Scale. Pour des informations plus détaillées sur la configuration de la sécurité, voir
Guide d'administration et
Guide de programmation.
Notions de base sur la sécurité répartie
La sécurité répartie
eXtreme Scale se base sur trois concepts :
- Authentification approuvée
- Possibilité de déterminer l'identité du demandeur. WebSphere eXtreme Scale prend en charge l'authentification client-serveur et serveur-serveur.
- Autorisation
- Possibilité d'octroyer des droits d'accès au demandeur. WebSphere eXtreme Scale prend en charge différentes autorisations pour des opérations diverses.
- Transfert sécurisé
- Transmission sécurisé des données sur le réseau. WebSphere eXtreme Scale prend en charge les protocoles Transport
Layer Security/Secure Sockets Layer (TLS/SSL).
Authentification
WebSphere eXtreme Scale prend en charge les structures de serveurs clients répartis. Une infrastructure de sécurité du serveur client est en place pour sécuriser l'accès aux serveurs eXtreme Scale. Par exemple, lorsque l'authentification est requise par le serveur eXtreme Scale, un client eXtreme Scale doit fournir ses informations d'identification pour s'authentifier sur le serveur. Ces informations peuvent être un nom d'utilisateur et un mot de passe, un certificat client, un ticket Kerberos ou des données présentées dans un format choisi par le client et le serveur.
Autorisation
Les autorisations
WebSphere eXtreme Scale sont basées sur des objets et des permissions. Vous pouvez utiliser le service JAAS (Java Authentication and Authorization Services) pour autoriser l'accès, ou vous pouvez choisir une approche personnalisée, telle que Tivoli Access Manager
(TAM), pour gérer les autorisations. Les autorisations suivantes peuvent être octroyées à un client ou un groupe :
- Autorisation de mappes
- Effectuez des opérations d'insertion, de lecture, de mise à jour, d'expulsion ou de suppression sur les mappes.
- Autorisation ObjectGrid
- Lancez des requêtes sur un objet ou une entité sur les objets ObjectGrid.
- Autorisation de l'agent DataGrid
- Permet aux agents DataGrid d'être déployés en une base de données ObjectGrid.
- Autorisation de mappes côté serveur
- Répliquez une mappe de serveur côté client ou créez un index dynamique pour la mappe de serveur.
- Autorisation d'administration
- Effectuez des tâches d'administration.
Sécurité du transfert
Pour sécuriser la communication du serveur client, WebSphere eXtreme Scale prend en charge les protocoles
TLS/SSL. Ces protocoles fournissent une sécurité de couche de transport, avec des fonctions d'authentification, d'intégrité et de confidentialité pour une connexion sécurisée entre le client eXtreme Scale et le serveur.
Sécurité de grille
Dans un environnement sécurisé, un serveur doit être capable de vérifier l'authenticité d'un autre serveur. WebSphere eXtreme Scale utilise un mécanisme de clé secrète partagée dans ce but. Ce mécanisme est similaire à un mot de passe partagé. Tous les serveurs eXtreme Scale s'accordent sur une clé secrète partagée. Lorsqu'un serveur rejoint la grille de données, il est invité à présenter la chaîne secrète. Si la clé secrète du serveur tentant de se joindre correspond à la clé sur serveur principal, le serveur peut se joindre à la grille. Dans le cas contraire, la requête de jointure est rejetée.
L'envoi d'une clé secrète en texte clair n'est pas sécurisé. L'infrastructure de sécurité eXtreme Scale fournit un plug-in SecureTokenManager pour permettre au serveur de sécuriser cette clé secrète avant l'envoi. Vous pouvez choisir la façon dont vous souhaitez implémenter l'opération sécurisée. Avec WebSphere eXtreme Scale, une opération sécurisée est implémentée pour chiffrer et signer la clé secrète.
Fonctions de sécurité Java Management Extensions (JMX) dans une topologie de déploiement dynamique
Les fonctions de sécurité JMX
MBeans sont prises en charge dans toutes les versions de eXtreme Scale. Les clients des beans gérés de serveur de catalogue et de serveur de conteneur peuvent être authentifiés, et l'accès aux opérations MBean peut être forcé.
Sécurité eXtreme Scale locale
La sécurité eXtreme Scale locale est différente du modèle eXtreme Scale réparti car l'application s'instancie directement et utilise une instance ObjectGrid. Votre application et les instances eXtreme Scale se trouvent dans la même machine virtuelle
Java (JVM). Etant donné qu'aucun concept client-serveur n'existe dans ce modèle, l'authentification n'est pas prise en charge. Vos applications doivent gérer leur propre authentification, puis transmettre l'objet authentifié à eXtreme Scale. Cependant, le mécanisme d'autorisation utilisé pour le modèle de programmation eXtreme Scale est le même que celui utilisé pour le modèle client-serveur.