Date post: | 18-Feb-2019 |
Category: |
Documents |
Upload: | truonghanh |
View: | 212 times |
Download: | 0 times |
ENABLING BUSINESS. A THROUGH Z.
zCircle
IBM Italy
2017
Luigi PerroneIBM SWG – Security Systems
Security & Audit for zSystem & enterprise
Security Intelligence solution
Francesco BertagnolliIBM zSystems - IT Specialist
IBM Sales & Distribution - Hardware Sales
2 IBM Security
2
Conosciamo bene il mainframe, nel quotidiano…
… in quante attività ed operazioni quotidiane di business e non, viene coinvolto
3 IBM Security
3
…ed il mainframe «parla» le nuove tecnologie
Cloud and Virtualization
Multi Factor Authentication
Blockchain
Mobile connection
Pervasive Encryption
Security Intelligence Analytics
Un’ evoluzione continua che dura da più di 50 anni
4 IBM Security
Mobile
Innovation
Intanto il mondo IT è in continua evoluzione…
Ma qual è il vero patrimonio di questo nuovo mondo ?
Ho bisogno di un’infrastruttura:
• Affidabile
• Scalabile
• Flessibile
• Performante
• Sicura
by default &
by design
5 IBM Security
Di certo, quello a cui assistiamo è…
Più velocità, più interconnessione, più condivisione, più dispositivi e più dati ….
Le varie organizzazioni sviluppano ed
implementano nuove piattaforme di
gestione dei dati (cloud, virtualization,
mobile, social business, ecc.)
DATI ISTANTANEI
IN OGNI MOMENTO
Con il social business si sono persi i
confini tra il tempo personale e quello
lavorativo, tra l’utilizzo confinato dei
dispositivi e l’utilizzo mobile, tra la
separazione fisica del dato personale con
quello aziendale.
ABBATTIMENTO
DEI CONFINI
La necessità di accedere ai velocemente
ai dati da qualsiasi dispositivo in uso ha
determinate un esplosione di quantità di
dati generata dalle numerose interazioni
digitali
ESPLOSIONE DI
DATI
(BIG-DATA)
La maggior esposizione del dato ha
permesso una velocità di crescita di
attacchi informatici che a loro volta hanno
incrementato la qualità e la complessità
dell’attacco stesso
ESPOSIZIONE
AGLI ATTACCHI
6 IBM Security
6
Dove risiede la maggior parte dei dati critici ?
Ci siamo mai domandati dove vengono conservati i nostri «cari» dati ?
…ecco spiegato perché non si può trascurare la sicurezza del mainframe !
%of enterprise data ishoused on the mainframe
80%of all active coderuns on the mainframe
74
Le moderne tecnologie hanno eliminato la
“mainframe isolation”, quindi la protezione e
salvaguardia del dato non può più essere
“superficiale”
7 IBM Security
7
Quindi…noi, da che parte stiamo ?
Quindi, la sicurezza sul nostro sistema è percepita come una sorta di
costrizione confinata e volta ad inseguire normative di audit e compliance o la
nostra infrastruttura è sicura perché ben controllata e ben governata ?
Insomma … siamo «in gabbia» o ci sentiamo «protetti» ?
8 IBM Security
IBM ha una soluzione globale di sicurezza
Consulting Services | Managed Services
QRadar Risk Manager
QRadar Incident Forensics
SiteProtector
Network Protection XGS
Key Lifecycle Manager
Guardium
zSecure
BigFix
Trusteer Apex
MaaS360
Trusteer Mobile
Trusteer Rapport
Trusteer Pinpoint
ResilientSystems Incident
Response
Identity Manager
Access Manager
Identity Governance and Intelligence
Privileged Identity Manager
DataPowerWeb Security
Gateway
AppScanSecurity
Intelligence
Cloud
Cloud Security Enforcer
QRadar SIEM
QRadar Vulnerability Manager
QRadar Log Manager
Global Threat IntelligenceX-Force Exchange
App Exchange
IBM Security
6200+ Security Experts - 11 SOCs - 10 Research Centers
15 Development Labs - 12K+ Clients in 133 countries - 3700+ Patents
SECURITY OPERATION
AND RESPONSE
INFORMATION RISK
AND PROTECTIONzSecure
9 IBM Security
Nel 2016 ci eravamo lasciati con grandi novità
Security
Intelligence
capability
RACF
NEWS
Policy
Data
Protection
New Real
Time
interface
10 IBM Security
Nel 2017… il Mainframe non rimane fermo !
L’imperativo è: DATA PROTECTION
• Nuovi aggiornamenti in RACF, nuove funzioni per la Security Intelligence, nuovi controlli per le
normative di compliance.
• Molteplici soluzioni di encryption sia HW che SW sono disponibili ed applicabili a seconda delle
specifiche esigenze.
• z/OS 2.3 introduce un nuovo approccio, con una concezione di data-encryption più ampia e capillare: la
Pervasive Encryption.
UID(0) Consistent Mapping
Field Level Access Checking
(FLAC) Granularity
UserID-Email Address
mapping:
8 character TSO user IDs
RACF NEWS
Policy-enabled data
protection for z/OS
Encryption
Enhancements
11 IBM Security
Coverage
Com
ple
xity &
Se
cu
rity
Con
tro
l
App Encryption
hyper-sensitive data
Database EncryptionProvide protection for very sensitive in-use
(DB level), in-flight & at-rest data
File or Dataset Level EncryptionProvide broad coverage for sensitive data using encryption tied
to access control for in-flight & at-rest data protection
Full Disk and Tape EncryptionProvide 100% coverage for in-flight & at-rest data with zero host CPU cost
Protezione contro la
manomissione e la
perdita di dati o
rimozione dei
devices fisici
Broad protection &
privacy gestita a livello
di Sistema z/OS
Granular protection & privacy
gestita direttamente a livello DB
sia per il controllo dei dati che
per la gestione delle chiavi
Data protection & privacy fornita e gestita
direttamente dale applicazioni.
Generalmente utilizzata quando
l’encryption non è disponibile o comunque
non adatta agli scopiL’encryption su
vasta scala è
garantita dalle
prestazioni
fornite dal
CPACF
Encryption si, ma a quale livello ?
12 IBM Security
Molteplici soluzioni di encryption sia HW che SW sono disponibili ed
applicabili a seconda delle specifiche esigenze, ma con z/OS 2.3 verrà
introdotto un nuovo approccio, con una concezione di data-encryption più
ampia e capillare: la Pervasive Encryption
Hardware & Software per la Data Protection
Enhanced security e data protection in z/OS 2.3 saranno disegnate per
fornire policy-enabled data protection per i data sets z/OS
DFSMS fornirà nuove funzionalità disegnate per dare agli utenti la possibilità
di criptare i data sets, utilizzando sia SAF che SMS policies, senza cambiare
i programmi applicativi
z/OS pianifica di dare agli utenti la possibilità di criptare i dati della Coupling
Facility, incluse le strutture list e cache
13 IBM Security
• E’ lo strato applicativo ad
applicare l’encryption
• Le applicazioni decidono per
quali dati deve essere applicata
l’encryption
• Non richiede nessun gestore di
chiavi esterno
• Richiede modifiche applicative
• Audit non strutturato e difficile
da effettuare
13
Application EncryptionApp
Encryption
14 IBM Security14
Database Encryption
Conforme con le normative di sicurezza e di privacy
Non è richiesto change applicativo
Integrazione nativa con l’esistente z/OS security-model
Differenti algoritmi di encryption: Triple DES, DES, AES
Granularità a livello di segmento IMS o di colonna DB2
(Se si utilizza la compressione a questo livello allora il dato
viene prima compresso e poi cifrato).
Implementazione integrata con RACF (key-label) e
Cryptographic function /ICSF
Bassissimo impatto sulle performance se utilizzato con il
crypto hw accelerator / CPACF
• DB2 EDITPROCs
Row level encryption.
Indexes not encrypted
No application changes
• DB2 FIELDPROC
Column level encryption.
Indexes encrypted.
No application changes
• DB2 User Defined Function (UDF)
Column level encryption.
Indexes encrypted.
Application changes, but better
access control when used with
VIEW, TRIGGER and MASK SQL
statements..
Secure or clear
DES/T-DES key
Database Encryption
15 IBM Security15
Disk & Tape Encryption
DS8870
DS3500
XIVN series
TS3500
library
TS1140
drive
LTO6 drive
TS3310
library
Spectrum Scale
Advanced
Netezza
Self-encrypting
solutions that
protect Data-at-Rest
KMIP-
conforming
databases
(e.g. IBM
DB2
V11.1*)Software
(e.g.
VMware VM
encryption*)
• In questo caso è lo storage (tape or disk) responsabile dell’encryption
• Nessun change alle applicazioni o al sistema operativo
• Necessità di un key-manager
Full Disk and Tape Encryption
16 IBM Security16
File/Dataset Encryption
Ma come possiamo attuare una politica di encryption selettiva e granulare
sulle altre tipologie di dati in uso (dataset & file) ?
“z/OS V2.3 plans to replace application development efforts with transparent, policy-based data set
encryption:
• Planning enhanced data protection for z/OS data sets, zFS file systems, and Coupling Facility
structures to give users the ability to encrypt data without needing to make costly
application program changes.”
Statement of Direction in the Announcement letter IBM United States Software Announcement 216-392, dated October 4, 2016
A new approach to
encryption
‘‘ Enhanced Data
Protection for z/OS ’’
• Granularità a livello di Data
set
• Abilitata attraverso
RACF/SMS
• Nessuna modifica applicativa
File or Data Set Level Encryption
17 IBM Security
Full Disk Encryption
• Protezione a livello di DASD
subsystem
• Encryption totale (non
selettiva)
• Encryption solo su dati fermi
(data-at-rest)
• Unica singola chiave di
encryption per tutti i dati su
disco
• Nessun carico sulle
applicazioni
• Previene rischi ed esposizioni
in casi di
Disk removal
Box removal
File removal
z/OS Database Encryption
• Consente la compliance con le
normative di personal data privacy
(PCI-DSS,HIPAA, GDPR, etc)
• Agisce nel rispetto delle ACL
DBMS (viene decifrato solo ciò a
cui si è autorizzati)
• Protezione alle esposizioni di dati
in chiaro, del tipo:
Databases memory buffers and files
Log records
All dump types
• SOD sull’accesso ai dati, sui
controlli e sulla gestione delle
chiavi
• Supporta tutte le versioni DB2/IMS
• Previene esposizioni relative a:
Unauthorized viewing of encrypted
sensitive data
Non-DBMS data access
z/OS Data Set Encryption
• Encryption estesa (pervasiva)
sui dati (data at rest)
• Encryption trasparente per le
applicazioni
• Encryption innescata da:
by policy
tied to access control
Keys controlled by host
• Previene eventuali esposizioni
su
Mis-identification or mis-
classification of sensitive data
Compliance findings related to
unencrypted data
• Nuovo approccio di sicurezza
in supporto alla normative di
General Data Protection
RegulationEncryption
Dunque…quale strategia di encryption attuare ?
18 IBM Security
App Encryption
Database Encryption
File or Dataset Level Encryption
Full Disk and Tape Encryption
Ma se facciamo Data Encryption, allora…
Key Management
• Qualunque sia l’approccio alla data encryption è utile valutare se e quale soluzione di
Key-Management adottare
• La soluzione di Key Management deve avere capacità di integrazione nativa con soluzioni
di encryption esistenti, capacità di essere conforme agli standard, capacità di fornire un
preciso audit-trail, capacità di separazione dei ruoli tra (key & data mgmt)
SKLM EKMF
ICSF+TKE
19 IBM Security
Mainframe Data Encryption: il valore dell’ Hardware
Con lo z13 e z13s l’hardware continua a fornire il suo strategico contributo
20 IBM Security
Le funzionalità di encryption accelerator sono fornite dal CPACF, un chip
disegnato appositamente per fornire le seguenti funzioni high-speed
cryptography
– Data Encryption Standard (DES) 56-bit key
– Triple Data Encryption Standard (TDES) 168-bit keys
– Advance Encryption Standard (AES) for 128-bit, 192 and 256 bit keys
– Secure Hash Algorithm (SHA) SHA-1, SHA-224, SHA-256, SHA-384 and
SHA-512
– Pseudo Random Number Generation (PRNG)
– Protected Key Support
CP Assist for Cryptographic Function - CPACF
DFSMS intends to make use of the Central Processor
Assist for Cryptographic Functions (CPACF) to encrypt
and decrypt
21 IBM Security
+
Dove possibile, prima comprimere e poi cryptare
Diverse possibilità di compressione (onChip, zEDC)
Importanza della compressione (performance, spazio disco)
Tool per valutare la compressione (zBNA)
Nuove funzionalità dei tools (zBNA, zPCR, …)
Prima la Compression, poi l’ Encryption
24 IBM Security
Security Intelligence anche per il Mainframe
IBM fornisce una soluzione di Security Intelligence, che include un sistema
SIEM, basata su tecnologia Qradar ed in grado di gestire facilmente gli eventi
generati in ambienti mainframe
zSecureEvent sources from z Systems
RACF CA ACF2 CA Top Secretz/OS CICS DB2
ExtensiveData Sources
Deep Intelligence
Accurateand Actionable
+ =
Prioritized incidents
EmbeddedIntelligence
REMEDIATION
• Incident forensics
• Around-the-clock management, monitoring and protection
• Incident response
EXTENSIVE DATA SOURCES
Servers and
mainframes
Data activity
Application
activity
Guardium
• DB2
• IMS
• VSAM
zSecure• z/OS• RACF• ACF2, TSS• CICS
AppScan
• Web Apps
• Mobile Apps
• Web Services
• Desktop Apps
IDENTIFICATION
• Data collection, storage, and analysis
• Real-time correlation and threat intelligence
• Automatic asset, service and user discovery and profiling
• Activity baselining and anomaly detection
QRadar AdvisorPowered by Watson
25 IBM Security
zSecure è la soluzione che realizza un’integrazione completa per l’infrastruttura
SIEM di QRadar.
zSecure Audit
QRadar: integrazione con zSecure Audit
26 IBM Security
Con zAlert si realizza la modalità di raccolta degli eventi in tempo reale, di
gradimento al team di controllo della sicurezza che opera con infrastrutture
SIEM.
Grazie a questa integrazione è possibile controllare dal SIEM tutto ciò che
accade, in termini di sicurezza, anche sul mainframe
SMF
zSecure Alert
Syslog
Protocol
QRadar: integrazione con zSecure Alert
27 IBM Security
In assenza della suite zSecure è possibile realizzare l’integrazione con Qradar
mediante il solo modulo standalone «zSecure Adapter for QRadar» capace di
fornire le stesse funzionalità di zAudit relativamente alla sola integrazione.
zSecure Adapter
E se non ho zSecure Audit o Alert ?
28 IBM Security
SMF “real-time interface”
• Con la versione z/OS 2.0 viene introdotta una nuova funzionalità SMF denominata
INMEM che consente di utilizzare una «application program interface» (API) per accedere
in real-time ai record SMF nel momento stesso in cui vengo scritti su LogStream
• zSecure Audit o zSecure Adapter for QRadar utilizzano queste API per catturare gli eventi
SMF, trasformarli nel formato LEEF e quindi inviarli a QRadar
Prerequisiti:
– SMF real-time interface (z/OS V2.0 and higher APAR OA49263)
– Utilizzo di Logstream SMF
– System Data Engine (SDE) - prodotto separato FMID (HHBO011E), Tale prodotto è
incluso come componente di zSecure Audit o zSecure Adapter),
SDE può anche essere fornito tramite il prodotto di analytics: IBM Common Data
Provider for z Systems (CDP) is part of IBM Operations Analytics for z Systems (IOAZ)
Caratteristiche:
– Started Task dedicato: CKQRADAR
– Capacità di filtering sui tipi record SMF con esclusione dei subtype
– Supporta UDP or TCP
– Supporta RACF, ACF2, TopSecret
29 IBM Security
IBM Common Data Provider for z Systems
zSecure & e la nuova SMF real-time interface
LEEF
LEEF
CKQRADAR
zSecure
Interface Module
LEEF
SMF RAW DATA
SMF RAW DATA
zAudit / Adapter for QRadar
30 IBM Security
E non finisce qui…
• IBM è in continuo sviluppo di
importanti features hardware
per supportare ulteriormente
la Data-Protection
• Importanti novità software
con lo z/OS 2.3
consentiranno di rafforzare
ulteriormente la leadership
del mainframe in ambito di
sicurezza
Diamo appuntamento a settembre con i nuovi annunci !
THANK YOU
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
FOLLOW US ON:
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind,
express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products
and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service
marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your
enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others.
No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products
or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
Domande ?