WebSphere eXtreme
Scale puede proteger el acceso a los datos, incluida la posibilidad de integración con proveedores de datos externos.
Nota: En un almacén de datos no almacenado en memoria caché existente, como una base de datos, probablemente, tendrá características de seguridad incorporadas que podría necesitar para configurar o habilitar de forma activa. No obstante, después de haber almacenado en memoria caché los datos con
eXtreme Scale, debe considerar la situación resultante importante de que las características de seguridad del programa de fondo ya no están en vigor.
Puede configurar la seguridad de eXtreme Scale en los niveles necesarios de modo que la nueva arquitectura almacenada en memoria caché para los datos también esté protegida.
A continuación, aparece un breve resumen de las características de seguridad de
eXtreme Scale. Si desea más información detallada sobre cómo configurar la seguridad, consulte
Guía de administración y
Guía de programación.
Conceptos básicos de la seguridad distribuida
La seguridad distribuida de
eXtreme Scale se basa en tres conceptos clave:
- Autenticación de confianza
- La capacidad de determinar la identidad del solicitante. WebSphere eXtreme
Scale da soporte a la autenticación de cliente a servidor y servidor a servidor.
- Autorización
- La capacidad de dar permisos para otorgar derechos de acceso al solicitante.
WebSphere eXtreme
Scale da soporte a distintas autorizaciones para diversas operaciones.
- Transporte seguro
- La transmisión segura de datos a través de una red. WebSphere eXtreme
Scale soporta los protocolos TLS/SSL (Transport
Layer Security/Secure Sockets Layer).
Autenticación
WebSphere eXtreme
Scale da soporte a la infraestructura distribuida de cliente-servidor. La infraestructura de seguridad de cliente-servidor existe para proteger el acceso a los servidores de
eXtreme Scale. Por ejemplo, cuando el servidor eXtreme Scale requiere una autenticación, el cliente de eXtreme Scale debe proporcionar las credenciales para autenticar el servidor. Estas credenciales pueden ser un par de nombre de usuario y contraseña, un certificado de cliente, un ticket de Kerberos o datos que se presentan en un formato acordado por el cliente y el servidor.
Autorización
Las autorizaciones de
WebSphere eXtreme
Scale se basan en sujetos y permisos. Puede utilizar JAAS (Java Authentication and Authorization Services) para autoriza el acceso, o puede conectar un método personalizado, como Tivoli Access Manager
(TAM), para manejar las autorizaciones. Pueden otorgarse las siguientes autorizaciones a un cliente o grupo:
- Autorización de correlaciones
- Realizar operaciones de inserción, lectura, actualización o supresión en correlaciones.
- Autorización de ObjectGrid
- Realizar consultas de objetos o entidades en objetos ObjectGrid.
- Autorización de agentes de DataGrid
- Permitir que los agentes de DataGrid se desplieguen en un ObjectGrid.
- Autorización de correlaciones del lado del servidor
- Duplicar una correlación de servidor con el lado del cliente o crear un índice dinámico con la correlación de servidor.
- Autorización de administración
- Realizar tareas de administración.
Seguridad de transporte
Para proteger la comunicación cliente-servidor, WebSphere eXtreme
Scale soporta
TLS/SSL. Estos protocolos proporcionan el nivel de seguridad de la capa de transporte con la autenticidad, integridad y confidencialidad para una conexión segura entre un cliente y un servidor de eXtreme Scale.
Seguridad de la cuadrícula
En un entorno seguro, un servidor debe poder comprobar la autenticidad de otro servidor.
Para ello WebSphere eXtreme
Scale utiliza un mecanismo de serie de clave secreta compartida. Este mecanismo de clave secreta es parecido a una contraseña secreta. Todos los servidores de eXtreme Scale acuerdan una serie secreta compartida. Cuando un servidor se une a la cuadrícula de datos, el servidor se ve obligado a presentar la serie secreta. Si la serie secreta del servidor que se une coincide con una del servidor maestro, este servidor se puede unir a la cuadrícula. De lo contrario, la solicitud se rechaza.
El envío de una serie secreta en texto normal no es seguro. La infraestructura de seguridad de eXtreme Scale proporciona un plug-in SecureTokenManager para permitir al servidor proteger este secreto antes de enviarlo. Puede elegir cómo implementar la operación segura.
WebSphere eXtreme
Scale proporciona una implementación, en la que se implementa la operación segura para cifrar y firmar la serie secreta.
Seguridad JMX (Java Management
Extensions) en una topología de despliegue dinámico
La seguridad de JMX
MBean recibe soporte en todas las versiones de eXtreme Scale. Los clientes de MBeans de servidor de catálogo y MBeans de servidor de contenedor pueden autenticarse, y se puede forzar el acceso a operaciones de MBean.
Seguridad de eXtreme Scale local
La seguridad de eXtreme Scale local es distinta del modelo de
eXtreme Scale distribuido porque la aplicación crea una instancia y utiliza una instancia de ObjectGrid directamente. La aplicación y las instancias de eXtreme Scale están en la misma JVM (Java Virtual Machine).
Puesto que no hay ningún concepto de cliente-servidor en este modelo, no se da soporte a la autenticación. Las aplicaciones deben gestionar su propia autenticación y, a continuación, pasar el objeto Subject autenticado aeXtreme Scale. Sin embargo, el mecanismo de autorización que se utiliza para el modelo de programación de eXtreme Scale local es el mismo que se ha utilizado para el modelo cliente-servidor.