WebSphere eXtreme
Scale pode
proteger o acesso a dados, incluindo permissão para integração com
provedores de segurança externos.
Nota: Em um armazenamento de dados fora do cache existente, como um banco de dados, provavelmente
é necessário ter recursos de segurança integrados que podem não ser
necessários para configuração ou ativação de modo ativo. Entretanto, após ter
armazenado seus dados em cache com o eXtreme Scale,
você deve considerar a importante situação resultante de que seus
recursos de segurança de backend não estão mais em vigor. É possível
configurar a segurança do eXtreme Scale
no níveis necessários para que a nova arquitetura armazenada em cache
para os seus dados também fique segura.
A seguir é apresentado um breve resumo sobre os recursos de segurança do
eXtreme Scale. Para obter mais informações detalhadas sobre como configurar a segurança, consulte o
Guia de Administração e o
Guia de Programação.
Fundamentos sobre Segurança Distribuída
A segurança distribuída do
eXtreme Scale é baseada em três conceitos fundamentais:
- Autenticação confiável
- A habilidade de determinar a identidade do solicitante. O
WebSphere eXtreme
Scale suporta autenticação
cliente-para-servidor e servidor-para-servidor.
- Autorização
- A habilidade de dar permissões para conceder direitos de acesso ao
solicitante. O WebSphere eXtreme
Scale suporta
diferentes autorizações para várias operações.
- Transporte Seguro
- A transmissão segura dos dados sobre uma rede. O WebSphere eXtreme
Scale suporta os protocolos TLS/SSL (Transport
Layer Security/Secure Sockets Layer).
Autenticação
O WebSphere eXtreme
Scale
suporta uma estrutura de cliente e servidor distribuída. Uma infraestrutura de
segurança de cliente e servidor está estabelecida para proteger o acesso aos servidores
eXtreme Scale. Por exemplo, quando a autenticação é necessária pelo servidor do eXtreme Scale, um cliente do eXtreme Scale deve fornecer credenciais para se autenticar no servidor. Essas
credenciais podem ser um par de nome de usuário e senha, um certificado cliente, um ticket
Kerberos ou dados que são apresentados em um formato acordado entre o cliente e o servidor.
Autorização
As autorizações do
WebSphere eXtreme
Scale
são baseadas em assuntos e permissões. É possível utilizar o Java Authentication and Authorization Services (JAAS) para autorizar o acesso ou é possível conectar uma abordagem customizada,
tal como Tivoli Access Manager
(TAM), para tratar as autorizações. As seguintes autorizações podem ser fornecidas
a um cliente ou grupo:
- Autorização de mapa
- Execute operações insert, read, update, evict ou delete nos Mapas.
- Autorização do ObjectGrid
- Execute consultas em objetos ou entidades nos objetos ObjectGrid.
- Autorização do agente do DataGrid
- Permita que os agentes do DataGrid sejam implementados em um ObjectGrid.
- Autorização do mapa do lado do servidor
- Replique um mapa de servidor para o lado do cliente ou crie um índice
dinâmico para o mapa do servidor.
- Autorização de administração
- Execute tarefas de administração.
Segurança do Transporte
Para garantir a segurança da comunicação entre cliente e o servidor, o WebSphere eXtreme
Scale suporta TLS/SSL. Estes protocolos fornecem segurança da camada de transporte com autenticidade, integridade e confidencialidade para uma conexão segura entre um cliente e um servidor do eXtreme Scale.
Segurança da Grade
Em um
ambiente seguro, um servidor deve poder verificar a autenticidade de outro
servidor. O WebSphere eXtreme
Scale utiliza um
mecanismo de cadeia de chave secreta compartilhado para este propósito. Este
mecanismo de chave secreta é semelhante a uma senha compartilhada. Todos os
servidores eXtreme Scale aceitam uma
cadeia secreta compartilhada. Quando um servidor se junta à grade de dados, o servidor é desafiado a apresentar a sequência secreta. Se a cadeia secreta do servidor que está se juntando corresponder a uma cadeia no servidor principal, então o servidor que está se juntando pode ser unir á grade. Caso contrário, o pedido de junção será
rejeitado.
Não é seguro enviar um segredo em texto não-criptografado. A infraestrutura de segurança do eXtreme Scale fornece um plug-in SecureTokenManager para possibilitar que o servidor faça a segurança deste segredo antes de enviá-lo. É possível escolher
como implementar a operação segura. O WebSphere eXtreme
Scale
fornece uma implementação, na qual a operação segura é implementada para
criptografar e assinar o segredo.
Segurança Java Management
Extensions (JMX) em uma Topologia de Implementação Dinâmica
A segurança
JMX MBean é suportada em todas as versões do eXtreme Scale. Clientes dos MBeans do servidor de catálogos e MBeans do servidor de contêineres
podem ser autenticados e o acesso às operações do MBean podem ser impostos.
Segurança Local do eXtreme Scale
A
segurança local do eXtreme Scale
é diferente do modelo distribuído do eXtreme Scale
porque o aplicativo instancia diretamente e utiliza uma instância do
ObjectGrid. Seu aplicativo e as instâncias do eXtreme Scale
estão na mesma Java virtual machine
(JVM). Como não há nenhum conceito de cliente/servidor neste modelo, a autenticação não
é suportada. Seu aplicativo deve gerenciar sua própria autenticação e, então, passar
o objeto Subject autenticado para o eXtreme Scale. Porém, o mecanismo de autorização usado para o modelo de programação do eXtreme Scale local é o mesmo que o usado para o modelo cliente/servidor.