ENABLING BUSINESS. A THROUGH Z.

zCircle

IBM Italy

2017

Luigi PerroneIBM SWG – Security Systems

Security & Audit for zSystem & enterprise

Security Intelligence solution

luigi_perrone@it.ibm.com

Francesco BertagnolliIBM zSystems - IT Specialist

IBM Sales & Distribution - Hardware Sales

francesco.bertagnolli@it.ibm.com

2 IBM Security

2

Conosciamo bene il mainframe, nel quotidiano…

… in quante attività ed operazioni quotidiane di business e non, viene coinvolto

3 IBM Security

3

…ed il mainframe «parla» le nuove tecnologie

Cloud and Virtualization

Multi Factor Authentication

Blockchain

Mobile connection

Pervasive Encryption

Security Intelligence Analytics

Un’ evoluzione continua che dura da più di 50 anni

4 IBM Security

Mobile

Innovation

Intanto il mondo IT è in continua evoluzione…

Ma qual è il vero patrimonio di questo nuovo mondo ?

Ho bisogno di un’infrastruttura:

• Affidabile

• Scalabile

• Flessibile

• Performante

• Sicura

by default &

by design

5 IBM Security

Di certo, quello a cui assistiamo è…

Più velocità, più interconnessione, più condivisione, più dispositivi e più dati ….

Le varie organizzazioni sviluppano ed

implementano nuove piattaforme di

gestione dei dati (cloud, virtualization,

mobile, social business, ecc.)

DATI ISTANTANEI

IN OGNI MOMENTO

Con il social business si sono persi i

confini tra il tempo personale e quello

lavorativo, tra l’utilizzo confinato dei

dispositivi e l’utilizzo mobile, tra la

separazione fisica del dato personale con

quello aziendale.

ABBATTIMENTO

DEI CONFINI

La necessità di accedere ai velocemente

ai dati da qualsiasi dispositivo in uso ha

determinate un esplosione di quantità di

dati generata dalle numerose interazioni

digitali

ESPLOSIONE DI

DATI

(BIG-DATA)

La maggior esposizione del dato ha

permesso una velocità di crescita di

attacchi informatici che a loro volta hanno

incrementato la qualità e la complessità

dell’attacco stesso

ESPOSIZIONE

AGLI ATTACCHI

6 IBM Security

6

Dove risiede la maggior parte dei dati critici ?

Ci siamo mai domandati dove vengono conservati i nostri «cari» dati ?

…ecco spiegato perché non si può trascurare la sicurezza del mainframe !

%of enterprise data ishoused on the mainframe

80%of all active coderuns on the mainframe

74

Le moderne tecnologie hanno eliminato la

“mainframe isolation”, quindi la protezione e

salvaguardia del dato non può più essere

“superficiale”

7 IBM Security

7

Quindi…noi, da che parte stiamo ?

Quindi, la sicurezza sul nostro sistema è percepita come una sorta di

costrizione confinata e volta ad inseguire normative di audit e compliance o la

nostra infrastruttura è sicura perché ben controllata e ben governata ?

Insomma … siamo «in gabbia» o ci sentiamo «protetti» ?

8 IBM Security

IBM ha una soluzione globale di sicurezza

Consulting Services | Managed Services

QRadar Risk Manager

QRadar Incident Forensics

SiteProtector

Network Protection XGS

Key Lifecycle Manager

Guardium

zSecure

BigFix

Trusteer Apex

MaaS360

Trusteer Mobile

Trusteer Rapport

Trusteer Pinpoint

ResilientSystems Incident

Response

Identity Manager

Access Manager

Identity Governance and Intelligence

Privileged Identity Manager

DataPowerWeb Security

Gateway

AppScanSecurity

Intelligence

Cloud

Cloud Security Enforcer

QRadar SIEM

QRadar Vulnerability Manager

QRadar Log Manager

Global Threat IntelligenceX-Force Exchange

App Exchange

IBM Security

6200+ Security Experts - 11 SOCs - 10 Research Centers

15 Development Labs - 12K+ Clients in 133 countries - 3700+ Patents

SECURITY OPERATION

AND RESPONSE

INFORMATION RISK

AND PROTECTIONzSecure

9 IBM Security

Nel 2016 ci eravamo lasciati con grandi novità

Security

Intelligence

capability

RACF

NEWS

Policy

Data

Protection

New Real

Time

interface

10 IBM Security

Nel 2017… il Mainframe non rimane fermo !

L’imperativo è: DATA PROTECTION

• Nuovi aggiornamenti in RACF, nuove funzioni per la Security Intelligence, nuovi controlli per le

normative di compliance.

• Molteplici soluzioni di encryption sia HW che SW sono disponibili ed applicabili a seconda delle

specifiche esigenze.

• z/OS 2.3 introduce un nuovo approccio, con una concezione di data-encryption più ampia e capillare: la

Pervasive Encryption.

UID(0) Consistent Mapping

Field Level Access Checking

(FLAC) Granularity

UserID-Email Address

mapping:

8 character TSO user IDs

RACF NEWS

Policy-enabled data

protection for z/OS

Encryption

Enhancements

11 IBM Security

Coverage

Com

ple

xity &

Se

cu

rity

Con

tro

l

App Encryption

hyper-sensitive data

Database EncryptionProvide protection for very sensitive in-use

(DB level), in-flight & at-rest data

File or Dataset Level EncryptionProvide broad coverage for sensitive data using encryption tied

to access control for in-flight & at-rest data protection

Full Disk and Tape EncryptionProvide 100% coverage for in-flight & at-rest data with zero host CPU cost

Protezione contro la

manomissione e la

perdita di dati o

rimozione dei

devices fisici

Broad protection &

privacy gestita a livello

di Sistema z/OS

Granular protection & privacy

gestita direttamente a livello DB

sia per il controllo dei dati che

per la gestione delle chiavi

Data protection & privacy fornita e gestita

direttamente dale applicazioni.

Generalmente utilizzata quando

l’encryption non è disponibile o comunque

non adatta agli scopiL’encryption su

vasta scala è

garantita dalle

prestazioni

fornite dal

CPACF

Encryption si, ma a quale livello ?

12 IBM Security

Molteplici soluzioni di encryption sia HW che SW sono disponibili ed

applicabili a seconda delle specifiche esigenze, ma con z/OS 2.3 verrà

introdotto un nuovo approccio, con una concezione di data-encryption più

ampia e capillare: la Pervasive Encryption

Hardware & Software per la Data Protection

Enhanced security e data protection in z/OS 2.3 saranno disegnate per

fornire policy-enabled data protection per i data sets z/OS

DFSMS fornirà nuove funzionalità disegnate per dare agli utenti la possibilità

di criptare i data sets, utilizzando sia SAF che SMS policies, senza cambiare

i programmi applicativi

z/OS pianifica di dare agli utenti la possibilità di criptare i dati della Coupling

Facility, incluse le strutture list e cache

13 IBM Security

• E’ lo strato applicativo ad

applicare l’encryption

• Le applicazioni decidono per

quali dati deve essere applicata

l’encryption

• Non richiede nessun gestore di

chiavi esterno

• Richiede modifiche applicative

• Audit non strutturato e difficile

da effettuare

13

Application EncryptionApp

Encryption

14 IBM Security14

Database Encryption

Conforme con le normative di sicurezza e di privacy

Non è richiesto change applicativo

Integrazione nativa con l’esistente z/OS security-model

Differenti algoritmi di encryption: Triple DES, DES, AES

Granularità a livello di segmento IMS o di colonna DB2

(Se si utilizza la compressione a questo livello allora il dato

viene prima compresso e poi cifrato).

Implementazione integrata con RACF (key-label) e

Cryptographic function /ICSF

Bassissimo impatto sulle performance se utilizzato con il

crypto hw accelerator / CPACF

• DB2 EDITPROCs

Row level encryption.

Indexes not encrypted

No application changes

• DB2 FIELDPROC

Column level encryption.

Indexes encrypted.

No application changes

• DB2 User Defined Function (UDF)

Column level encryption.

Indexes encrypted.

Application changes, but better

access control when used with

VIEW, TRIGGER and MASK SQL

statements..

Secure or clear

DES/T-DES key

Database Encryption

15 IBM Security15

Disk & Tape Encryption

DS8870

DS3500

XIVN series

TS3500

library

TS1140

drive

LTO6 drive

TS3310

library

Spectrum Scale

Advanced

Netezza

Self-encrypting

solutions that

protect Data-at-Rest

KMIP-

conforming

databases

(e.g. IBM

DB2

V11.1*)Software

(e.g.

VMware VM

encryption*)

• In questo caso è lo storage (tape or disk) responsabile dell’encryption

• Nessun change alle applicazioni o al sistema operativo

• Necessità di un key-manager

Full Disk and Tape Encryption

16 IBM Security16

File/Dataset Encryption

Ma come possiamo attuare una politica di encryption selettiva e granulare

sulle altre tipologie di dati in uso (dataset & file) ?

“z/OS V2.3 plans to replace application development efforts with transparent, policy-based data set

encryption:

• Planning enhanced data protection for z/OS data sets, zFS file systems, and Coupling Facility

structures to give users the ability to encrypt data without needing to make costly

application program changes.”

Statement of Direction in the Announcement letter IBM United States Software Announcement 216-392, dated October 4, 2016

A new approach to

encryption

‘‘ Enhanced Data

Protection for z/OS ’’

• Granularità a livello di Data

set

• Abilitata attraverso

RACF/SMS

• Nessuna modifica applicativa

File or Data Set Level Encryption

17 IBM Security

Full Disk Encryption

• Protezione a livello di DASD

subsystem

• Encryption totale (non

selettiva)

• Encryption solo su dati fermi

(data-at-rest)

• Unica singola chiave di

encryption per tutti i dati su

disco

• Nessun carico sulle

applicazioni

• Previene rischi ed esposizioni

in casi di

Disk removal

Box removal

File removal

z/OS Database Encryption

• Consente la compliance con le

normative di personal data privacy

(PCI-DSS,HIPAA, GDPR, etc)

• Agisce nel rispetto delle ACL

DBMS (viene decifrato solo ciò a

cui si è autorizzati)

• Protezione alle esposizioni di dati

in chiaro, del tipo:

Databases memory buffers and files

Log records

All dump types

• SOD sull’accesso ai dati, sui

controlli e sulla gestione delle

chiavi

• Supporta tutte le versioni DB2/IMS

• Previene esposizioni relative a:

Unauthorized viewing of encrypted

sensitive data

Non-DBMS data access

z/OS Data Set Encryption

• Encryption estesa (pervasiva)

sui dati (data at rest)

• Encryption trasparente per le

applicazioni

• Encryption innescata da:

by policy

tied to access control

Keys controlled by host

• Previene eventuali esposizioni

su

Mis-identification or mis-

classification of sensitive data

Compliance findings related to

unencrypted data

• Nuovo approccio di sicurezza

in supporto alla normative di

General Data Protection

RegulationEncryption

Dunque…quale strategia di encryption attuare ?

18 IBM Security

App Encryption

Database Encryption

File or Dataset Level Encryption

Full Disk and Tape Encryption

Ma se facciamo Data Encryption, allora…

Key Management

• Qualunque sia l’approccio alla data encryption è utile valutare se e quale soluzione di

Key-Management adottare

• La soluzione di Key Management deve avere capacità di integrazione nativa con soluzioni

di encryption esistenti, capacità di essere conforme agli standard, capacità di fornire un

preciso audit-trail, capacità di separazione dei ruoli tra (key & data mgmt)

SKLM EKMF

ICSF+TKE

19 IBM Security

Mainframe Data Encryption: il valore dell’ Hardware

Con lo z13 e z13s l’hardware continua a fornire il suo strategico contributo

20 IBM Security

Le funzionalità di encryption accelerator sono fornite dal CPACF, un chip

disegnato appositamente per fornire le seguenti funzioni high-speed

cryptography

– Data Encryption Standard (DES) 56-bit key

– Triple Data Encryption Standard (TDES) 168-bit keys

– Advance Encryption Standard (AES) for 128-bit, 192 and 256 bit keys

– Secure Hash Algorithm (SHA) SHA-1, SHA-224, SHA-256, SHA-384 and

SHA-512

– Pseudo Random Number Generation (PRNG)

– Protected Key Support

CP Assist for Cryptographic Function - CPACF

DFSMS intends to make use of the Central Processor

Assist for Cryptographic Functions (CPACF) to encrypt

and decrypt

21 IBM Security

+

Dove possibile, prima comprimere e poi cryptare

Diverse possibilità di compressione (onChip, zEDC)

Importanza della compressione (performance, spazio disco)

Tool per valutare la compressione (zBNA)

Nuove funzionalità dei tools (zBNA, zPCR, …)

Prima la Compression, poi l’ Encryption

22 IBM Security

Un veloce focus sulle certificazioni

23 IBM Security

New security compliance: il GDPR

24 IBM Security

Security Intelligence anche per il Mainframe

IBM fornisce una soluzione di Security Intelligence, che include un sistema

SIEM, basata su tecnologia Qradar ed in grado di gestire facilmente gli eventi

generati in ambienti mainframe

zSecureEvent sources from z Systems

RACF CA ACF2 CA Top Secretz/OS CICS DB2

ExtensiveData Sources

Deep Intelligence

Accurateand Actionable

+ =

Prioritized incidents

EmbeddedIntelligence

REMEDIATION

• Incident forensics

• Around-the-clock management, monitoring and protection

• Incident response

EXTENSIVE DATA SOURCES

Servers and

mainframes

Data activity

Application

activity

Guardium

• DB2

• IMS

• VSAM

zSecure• z/OS• RACF• ACF2, TSS• CICS

AppScan

• Web Apps

• Mobile Apps

• Web Services

• Desktop Apps

IDENTIFICATION

• Data collection, storage, and analysis

• Real-time correlation and threat intelligence

• Automatic asset, service and user discovery and profiling

• Activity baselining and anomaly detection

QRadar AdvisorPowered by Watson

25 IBM Security

zSecure è la soluzione che realizza un’integrazione completa per l’infrastruttura

SIEM di QRadar.

zSecure Audit

QRadar: integrazione con zSecure Audit

26 IBM Security

Con zAlert si realizza la modalità di raccolta degli eventi in tempo reale, di

gradimento al team di controllo della sicurezza che opera con infrastrutture

SIEM.

Grazie a questa integrazione è possibile controllare dal SIEM tutto ciò che

accade, in termini di sicurezza, anche sul mainframe

SMF

zSecure Alert

Syslog

Protocol

QRadar: integrazione con zSecure Alert

27 IBM Security

In assenza della suite zSecure è possibile realizzare l’integrazione con Qradar

mediante il solo modulo standalone «zSecure Adapter for QRadar» capace di

fornire le stesse funzionalità di zAudit relativamente alla sola integrazione.

zSecure Adapter

E se non ho zSecure Audit o Alert ?

28 IBM Security

SMF “real-time interface”

• Con la versione z/OS 2.0 viene introdotta una nuova funzionalità SMF denominata

INMEM che consente di utilizzare una «application program interface» (API) per accedere

in real-time ai record SMF nel momento stesso in cui vengo scritti su LogStream

• zSecure Audit o zSecure Adapter for QRadar utilizzano queste API per catturare gli eventi

SMF, trasformarli nel formato LEEF e quindi inviarli a QRadar

Prerequisiti:

– SMF real-time interface (z/OS V2.0 and higher APAR OA49263)

– Utilizzo di Logstream SMF

– System Data Engine (SDE) - prodotto separato FMID (HHBO011E), Tale prodotto è

incluso come componente di zSecure Audit o zSecure Adapter),

SDE può anche essere fornito tramite il prodotto di analytics: IBM Common Data

Provider for z Systems (CDP) is part of IBM Operations Analytics for z Systems (IOAZ)

Caratteristiche:

– Started Task dedicato: CKQRADAR

– Capacità di filtering sui tipi record SMF con esclusione dei subtype

– Supporta UDP or TCP

– Supporta RACF, ACF2, TopSecret

29 IBM Security

IBM Common Data Provider for z Systems

zSecure & e la nuova SMF real-time interface

LEEF

LEEF

CKQRADAR

zSecure

Interface Module

LEEF

SMF RAW DATA

SMF RAW DATA

zAudit / Adapter for QRadar

30 IBM Security

E non finisce qui…

• IBM è in continuo sviluppo di

importanti features hardware

per supportare ulteriormente

la Data-Protection

• Importanti novità software

con lo z/OS 2.3

consentiranno di rafforzare

ulteriormente la leadership

del mainframe in ambito di

sicurezza

Diamo appuntamento a settembre con i nuovi annunci !

THANK YOU

ibm.com/security

securityintelligence.com

xforce.ibmcloud.com

@ibmsecurity

youtube/user/ibmsecuritysolutions

FOLLOW US ON:

© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind,

express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products

and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service

marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your

enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others.

No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems,

products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products

or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

Domande ?