WebSphere eXtreme Scale kann den Datenzugriff sichern, unter anderem durch Integration mit externen
Sicherheitsprovidern.
Anmerkung: In einem vorhandenen nicht zwischengespeicherten Datenspeicher, z. B. einer Datenbank, haben Sie wahrscheinlich integrierte Sicherheitsfeatures, die Sie nicht
aktiv konfigurieren oder aktivieren müssen.
Nachdem Sie Ihre Daten jedoch mit eXtreme Scale zwischengespeichert haben, müssen Sie die daraus resultierende wichtige Tatsache
berücksichtigen, dass die Sicherheitsfeatures Ihres Back-Ends nicht mehr wirksam sind.
Sie können die Sicherheit von eXtreme Scale auf den erforderlichen Stufen
konfigurieren, so dass Ihre neue zwischengespeicherte Datenarchitektur ebenfalls sicher ist.
Es folgt eine kurze Zusammenfassung der Sicherheitsfeatures von
eXtreme Scale.
Ausführlichere Informationen zur Konfiguration der Sicherheit finden Sie im
Verwaltung und im
Programmierung.
Grundlegende Informationen zur verteilten Sicherheit
Die verteilte Sicherheit von
eXtreme Scale basiert auf drei
Schlüsselkonzepten:
- Vertrauenswürdige Authentifizierung
- Die Möglichkeit, die Identität des Anforderers zu bestimmen. WebSphere eXtreme Scale unterstützt
Client/Server- und Server/Server-Authentifizierung.
- Berechtigung
- Die Möglichkeit, dem Anforderer Zugriffsberechtigungen zu erteilen.
WebSphere eXtreme Scale unterstützt verschiedene Berechtigungen für verschiedene Operationen.
- Sicherer Transport
- Die sichere Übertragung von Daten über ein Netz. WebSphere eXtreme Scale unterstützt die Protokolle
Layer Security/Secure Sockets Layer (TLS/SSL).
Authentifizierung
WebSphere eXtreme Scale unterstützt ein verteiltes
Client/Server-Framework. Eine Client/Server-Sicherheitsinfrastruktur ist verfügbar, um den Zugriff auf Server von
eXtreme Scale zu sichern. Wenn der Server von
eXtreme Scale beispielsweise eine Authentifizierung erfordert, muss ein Client von
eXtreme Scale Berechtigungsnachweise für die Authentifizierung beim Server vorlegen.
Diese Berechtigungsnachweise können eine Kombination von Benutzername und Kennwort, ein Clientzertifikat, ein Kerberos-Ticket oder Daten
sein, die in einem zwischen Client und Server vereinbarten Format präsentiert werden.
Berechtigung
Berechtigungen von
WebSphere eXtreme Scale basieren auf Subject-Objekten und
Berechtigungen.
Sie können Java Authentication and Authorization Services
(JAAS) für die Berechtigung des Zugriffs verwenden, oder Sie können eine angepasste Lösung wie
Tivoli Access Manager
(TAM) für die Behandlung der Berechtigungen integrieren. Die folgenden Berechtigungen können einem Client oder einer Gruppe erteilt werden:
- Map-Berechtigung
- Berechtigung zum Durchführen von Einfüge-, Lese-, Aktualisierungs-, Bereinigungs- oder Löschoperationen in Maps.
- ObjectGrid-Berechtigung
- Berechtigung zum Ausführen von Objekt- oder Entitätsabfragen für ObjectGrid-Objekte.
- DataGrid-Agentenberechtigung
- Berechtigung für die Implementierung von DataGrid-Agenten in einem ObjectGrid.
- Serverseitige Map-Berechtigung
- Berechtigung zum Replizieren einer Server-Map auf der Clientseite oder zum Erstellen eines dynamischen Index
für die Server-Map.
- Verwaltungsberechtigung
- Berechtigung für die Ausführung von Verwaltungstasks.
Transportsicherheit
Zum Sichern der Client/Server-Kommunikation unterstützt
WebSphere eXtreme Scale TLS/SSL. Diese Protokolle bieten Sicherheit auf Transportebene mit
Authentizität, Integrität und Vertraulichkeit für eine sichere Verbindung zwischen einem Client und einem Server von
eXtreme Scale.
Gridsicherheit
In einer sicheren Umgebung muss ein Server in der Lage sein, die Authentizität
eines anderen Servers zu prüfen.
WebSphere eXtreme Scale verwendet für diesen Zweck einen Mechanismus mit Shared-Secret-Schlüsselzeichenfolgen.
Dieser Shared-Secret-Schlüsselmechanismus gleicht einem gemeinsam genutzten Kennwort.
Alle Server von eXtreme Scale stimmen der Verwendung einer gemeinsamen
Shared-Secret-Zeichenfolge zu.
Wenn ein Server dem Datengrid beitritt, wird er aufgefordert, diese Shared-Secret-Zeichenfolge vorzulegen.
Wenn die Shared-Secret-Zeichenfolge des beitretenden Servers der Zeichenfolge im Masterserver entspricht,
kann der Server dem Grid beitreten.
Andernfalls wird die Beitrittsanforderung zurückgewiesen.
Das Senden einer Shared-Secret-Zeichenfolge als Klartext ist nicht sicher. Die Sicherheitsinfrastruktur von
eXtreme Scale stellt ein SecureTokenManager-Plug-in bereit, über das der Server
den geheimen Schlüssel vor dem Senden sichern kann.
Sie können festlegen, wie die Sicherungsoperation implementiert wird.
WebSphere eXtreme Scale stellt eine
Implementierung bereit, in der die Sicherungsoperation so implementiert ist, dass das Shared Secret
verschlüsselt und signiert wird.
JMX-Sicherheit (Java Management
Extensions) in einer dynamischen Implementierungstopologie
Die JMX-MBean-Sicherheit
wird in allen Versionen von eXtreme Scale unterstützt. Clients
der Katalogserver-MBeans und Container-Server-MBeans können authentifiziert werden und auf die
MBean-Operationen zugreifen.
Lokale Sicherheit von eXtreme Scale
Die lokale Sicherheit von eXtreme Scale
unterscheidet sich vom verteilten eXtreme-Scale-Modell, weil die Anwendung direkt
instanziiert wird und eine ObjectGrid-Instanz verwendet.
Ihre Anwendung und eXtreme-Scale-Instanzen befinden sich in derselben Java Virtual Machine (JVM). Da es in diesem Modell kein
Client/Server-Konzept gibt, wird die Authentifizierung nicht unterstützt.
Ihre Anwendungen müssen ihre Authentifizierung selbst verwalten und anschließend das
authentifizierte Subject-Objekt an eXtreme Scale übergeben. Der Berechtigungsmechanismus, der für das lokale Programmiermodell
von eXtreme Scale verwendet wird, ist jedoch dasselbe wie beim Client/Server-Modell.