Übersicht über die Sicherheit

WebSphere eXtreme Scale kann den Datenzugriff sichern, unter anderem durch Integration mit externen Sicherheitsprovidern.

Anmerkung: In einem vorhandenen nicht zwischengespeicherten Datenspeicher, z. B. einer Datenbank, haben Sie wahrscheinlich integrierte Sicherheitsfeatures, die Sie nicht aktiv konfigurieren oder aktivieren müssen. Nachdem Sie Ihre Daten jedoch mit eXtreme Scale zwischengespeichert haben, müssen Sie die daraus resultierende wichtige Tatsache berücksichtigen, dass die Sicherheitsfeatures Ihres Back-Ends nicht mehr wirksam sind. Sie können die Sicherheit von eXtreme Scale auf den erforderlichen Stufen konfigurieren, so dass Ihre neue zwischengespeicherte Datenarchitektur ebenfalls sicher ist.
Es folgt eine kurze Zusammenfassung der Sicherheitsfeatures von eXtreme Scale. Ausführlichere Informationen zur Konfiguration der Sicherheit finden Sie im Verwaltung und im Programmierung.

Grundlegende Informationen zur verteilten Sicherheit

Die verteilte Sicherheit von eXtreme Scale basiert auf drei Schlüsselkonzepten:
Vertrauenswürdige Authentifizierung
Die Möglichkeit, die Identität des Anforderers zu bestimmen. WebSphere eXtreme Scale unterstützt Client/Server- und Server/Server-Authentifizierung.
Berechtigung
Die Möglichkeit, dem Anforderer Zugriffsberechtigungen zu erteilen. WebSphere eXtreme Scale unterstützt verschiedene Berechtigungen für verschiedene Operationen.
Sicherer Transport
Die sichere Übertragung von Daten über ein Netz. WebSphere eXtreme Scale unterstützt die Protokolle Layer Security/Secure Sockets Layer (TLS/SSL).

Authentifizierung

WebSphere eXtreme Scale unterstützt ein verteiltes Client/Server-Framework. Eine Client/Server-Sicherheitsinfrastruktur ist verfügbar, um den Zugriff auf Server von eXtreme Scale zu sichern. Wenn der Server von eXtreme Scale beispielsweise eine Authentifizierung erfordert, muss ein Client von eXtreme Scale Berechtigungsnachweise für die Authentifizierung beim Server vorlegen. Diese Berechtigungsnachweise können eine Kombination von Benutzername und Kennwort, ein Clientzertifikat, ein Kerberos-Ticket oder Daten sein, die in einem zwischen Client und Server vereinbarten Format präsentiert werden.

Berechtigung

Berechtigungen von WebSphere eXtreme Scale basieren auf Subject-Objekten und Berechtigungen. Sie können Java Authentication and Authorization Services (JAAS) für die Berechtigung des Zugriffs verwenden, oder Sie können eine angepasste Lösung wie Tivoli Access Manager (TAM) für die Behandlung der Berechtigungen integrieren. Die folgenden Berechtigungen können einem Client oder einer Gruppe erteilt werden:

Map-Berechtigung
Berechtigung zum Durchführen von Einfüge-, Lese-, Aktualisierungs-, Bereinigungs- oder Löschoperationen in Maps.
ObjectGrid-Berechtigung
Berechtigung zum Ausführen von Objekt- oder Entitätsabfragen für ObjectGrid-Objekte.
DataGrid-Agentenberechtigung
Berechtigung für die Implementierung von DataGrid-Agenten in einem ObjectGrid.
Serverseitige Map-Berechtigung
Berechtigung zum Replizieren einer Server-Map auf der Clientseite oder zum Erstellen eines dynamischen Index für die Server-Map.
Verwaltungsberechtigung
Berechtigung für die Ausführung von Verwaltungstasks.

Transportsicherheit

Zum Sichern der Client/Server-Kommunikation unterstützt WebSphere eXtreme Scale TLS/SSL. Diese Protokolle bieten Sicherheit auf Transportebene mit Authentizität, Integrität und Vertraulichkeit für eine sichere Verbindung zwischen einem Client und einem Server von eXtreme Scale.

Gridsicherheit

In einer sicheren Umgebung muss ein Server in der Lage sein, die Authentizität eines anderen Servers zu prüfen. WebSphere eXtreme Scale verwendet für diesen Zweck einen Mechanismus mit Shared-Secret-Schlüsselzeichenfolgen. Dieser Shared-Secret-Schlüsselmechanismus gleicht einem gemeinsam genutzten Kennwort. Alle Server von eXtreme Scale stimmen der Verwendung einer gemeinsamen Shared-Secret-Zeichenfolge zu. Wenn ein Server dem Datengrid beitritt, wird er aufgefordert, diese Shared-Secret-Zeichenfolge vorzulegen. Wenn die Shared-Secret-Zeichenfolge des beitretenden Servers der Zeichenfolge im Masterserver entspricht, kann der Server dem Grid beitreten. Andernfalls wird die Beitrittsanforderung zurückgewiesen.

Das Senden einer Shared-Secret-Zeichenfolge als Klartext ist nicht sicher. Die Sicherheitsinfrastruktur von eXtreme Scale stellt ein SecureTokenManager-Plug-in bereit, über das der Server den geheimen Schlüssel vor dem Senden sichern kann. Sie können festlegen, wie die Sicherungsoperation implementiert wird. WebSphere eXtreme Scale stellt eine Implementierung bereit, in der die Sicherungsoperation so implementiert ist, dass das Shared Secret verschlüsselt und signiert wird.

JMX-Sicherheit (Java Management Extensions) in einer dynamischen Implementierungstopologie

Die JMX-MBean-Sicherheit wird in allen Versionen von eXtreme Scale unterstützt. Clients der Katalogserver-MBeans und Container-Server-MBeans können authentifiziert werden und auf die MBean-Operationen zugreifen.

Lokale Sicherheit von eXtreme Scale

Die lokale Sicherheit von eXtreme Scale unterscheidet sich vom verteilten eXtreme-Scale-Modell, weil die Anwendung direkt instanziiert wird und eine ObjectGrid-Instanz verwendet. Ihre Anwendung und eXtreme-Scale-Instanzen befinden sich in derselben Java Virtual Machine (JVM). Da es in diesem Modell kein Client/Server-Konzept gibt, wird die Authentifizierung nicht unterstützt. Ihre Anwendungen müssen ihre Authentifizierung selbst verwalten und anschließend das authentifizierte Subject-Objekt an eXtreme Scale übergeben. Der Berechtigungsmechanismus, der für das lokale Programmiermodell von eXtreme Scale verwendet wird, ist jedoch dasselbe wie beim Client/Server-Modell.

Konfiguration und Programmierung

Weitere Informationen zum Konfigurieren und Programmieren der Sicherheit finden Sie in den Abschnitten Sicherheitsintegration mit externen Providern und Sicherheits-API.