Долгое время администраторы считали мэйнфреймы неприступным бастионом безопасности по сравнению с относительно сложно структурированными архитектурами клиент-сервер, ведь лишь небольшой круг лиц обладал доступом к системам и процессам, которые к тому же надежно ограждены от внешних воздействий.

Но защитные стены вдруг упали. В последнее время получило распространение обращение по виртуальной частной сети (Virtual Private Network, VPN) к приложениям на базе Web, работающим на мэйнфреймах в средах Linux или UNIX. Такое открытие мэйнфреймовых сред для доступа извне имеет два серьезных последствия: с одной стороны, предприятие должно защищать свои данные от неправомочного использования; с другой — соблюдать правовые нормы. В результате пресловутая тема соответствия законам приобрела значимость и в мире мэйнфреймов.

Рисунок 1. Организационная составляющая играет существенную роль, однако она должна быть дополнена техническими мерами.

Безопасность мэйнфреймов можно эффективно повысить, лишь когда определены и внедрены обязательные директивы безопасности и за ними осуществляется постоянный контроль (см. Рисунок 1).

БЕЗОПАСНОСТЬ КАК НЕПРЕРЫВНЫЙ ПРОЦЕСС

В неоднородной и открытой вовне мэйнфреймовой инфраструктуре безопасность — не фиксированное состояние, ее следует постоянно пересматривать и адаптировать. При этом ядром безопасности мэйнфреймов, как и прежде, являются средства контроля за доступом к ресурсам (Resource Access Control Facility, RACF). RACF регистрирует все значимые для мощного компьютера события в файле журнала, записывает команды, к примеру на изменение прав доступа, и документирует таким образом поведение при доступе (см. Рисунок 2).

НИКАКОГО СООТВЕТСТВИЯ БЕЗ СТРАТЕГИИ БЕЗОПАСНОСТИ

Для того чтобы установить, какие действия могут представлять собой угрозу для безопасности мэйнфрейма, предприятию требуется вначале принять внутренние директивы безопасности.

Рисунок 2. Безопасность мэйнфреймов базируется на анализе поведения.

Первым делом определяется, какая информация, приложения и процессы важны и у кого есть доступ к ним. По согласованию с соответствующим структурным подразделением следует проверить, чтобы классификация отвечала рабочим требованиям отдельных пользователей. Необходимые для этого контрольные списки содержатся в каталогах по сертификации из второй части BS7799, ISO27001 и в руководстве по базовой защите ИТ — они предоставляют хорошую базу для составления правил безопасности. В отчете должны быть отражены все пользователи с их цифровыми идентификаторами (ID) и правами.

Таким образом, ответственный администратор получает общий обзор активированных пользовательских ID и связанных с ними прав доступа. Точно так же можно идентифицировать «мертвые» регистрационные записи покинувших предприятие сотрудников (один из главных источников опасности в мире мэйнфреймов).

МОНИТОРИНГ ПУТЕМ АНАЛИЗА И СОСТАВЛЕНИЯ ОТЧЕТОВ

Решения для аудита помогают при оценке и мониторинге безопасности мэйнфреймов, благодаря проводимому анализу и составлению отчетов в стандартном формате.

Инструмент для проведения аудита сопоставляет системы и приложения с имеющимися директивами и позволяет, к примеру, распознавать пробелы в системе обеспечения безопасности вследствие неправильной конфигурации операционной системы. Если такие слабые места вовремя не заметить, то пользователи могут обойти систему контроля доступа. Информация, имеющая отношение к безопасности сохраняется автоматически и коррелируется с уже доступными данными.

Таким образом, решение для аудита дает полный обзор всех пользователей RACF, которые работают с обследуемым мэйнфреймом, отображает информацию об их доступе к системе, выделяет рискованные настройки и выявляет сомнительные определения или изменения параметров z/OS и профилей RACF.

ЕДИНЫХ КОНЦЕПЦИЙ БЕЗОПАСНОСТИ НЕТ

На многих предприятиях в процессе реорганизации инфраструктуры ИТ — вследствие слияния компаний или для снижения издержек — системы были консолидированы. Это имело серьезные последствия для безопасности: часто в целях экономии работа выполнялась недостаточно квалифицированным персоналом, и существующие базы данных систем безопасности оказывались слабо связаны друг с другом. К тому же нередко из виду упускается необходимость согласования различных концепций безопасности. Как следствие, сегодня нередко на предприятии имеется несколько разнородных систем с разной архитектурой и без единых стандартов.

В этих обстоятельствах обслуживание инфраструктуры становится довольно сложной задачей. Изменение системы в одном месте может повлечь за собой проблемы с другим приложением, причем предвидеть заранее это невозможно.

Для снижения вероятности системного отказа администраторам мэйнфреймов и процессам пакетной обработки заданий часто по этой причине выдаются широкие права на пользование приложениями, поскольку неясно, что произойдет, если права ограничить. Однако это приводит к проблемам, когда обладающий столь обширными полномочиями администратор случайно или намеренно нарушит директиву. Возможными опасностями являются передача прав доступа посторонним лицам, запоздалое обнаружение нарушений правил безопасности, невыполненное отслеживание атаки или ошибки в обслуживании.

У АДМИНИСТРАТОРОВ МЭЙНФРЕЙМОВ МНОГО ПРАВ

Как и прежде, администраторы мэйнфреймов обладают практически неограниченными правами. Чтобы освободить их от груза этой ответственности и предотвратить злоупотребление, права доступа необходимо регламентировать. Вместе с тем, следует ввести мониторинг административной деятельности ответственных за мэйнфрейм во избежание возможных ошибок использования и нарушения директив безопасности.

Изменения в RACF допускаются только при условии их согласованности с правилами безопасности. Для этого RACF дополняют автоматизированным механизмом управления для мэйнфрейма. Соответствующее программное обеспечение должно в реальном времени автоматически сравнивать каждую команду RACF с определенной директивой безопасности и блокировать команды, ей противоречащие. Если, к примеру, администратор вопреки правилам дает некоему профилю дополнительные права доступа, то программа блокирует его команду и, при задании необходимых настроек, подает сигнал тревоги.

Кроме того, решение задач, касающихся безопасности, должно быть разделено между несколькими администраторами. Один администратор, к примеру, может следить за назначением ролей и профилей, в то время как другой проверяет записи в контрольном журнале. Цель — постоянный контроль за функционированием мэйнфрейма.

ПОИСК НОВЫХ СТРАТЕГИЙ

Мэйнфреймы надежны и более производительны, чем многие серверные системы, однако обладают одним решающим недостатком: из-за сложной иерархии групп и профилей вследствие объединения нескольких баз данных очень сложно ясно представить структуру вложенных прав доступа. Поэтому нарушения правил безопасности часто остаются незамеченными.

Лишь специализированное решение для проведения аудита и проверок на соответствие законодательным нормам обладает необходимыми функциями для своевременного распознавания нарушений правил безопасности в реальном времени и обеспечения безопасности на базе сред мэйнфреймов.

Роб ван Хобокен — директор по безопасности и основатель компании Consul Risk Management.


Контрольный список: безопасность мэйнфреймов

  • Имеются ли директивы безопасности для мэйнфрейма?
  • Исключает ли конфигурация операционной системы возможность обхода мер безопасности?
  • Располагают ли администраторы лишь теми правами, которые им действительно необходимы?
  • Распределяется ли решение задач, относящихся к безопасности, между несколькими администраторами?
  • Достаточно ли быстро проводятся обновления?
  • Удаляются ли «мертвые» регистрационные записи?
  • Регулярно ли оцениваются «исключения» из данных SMF (исключения из правил)?
  • Проводится ли немедленное отслеживание подозрительных действий?
  • Используются ли автоматические решения мониторинга?

? AWi Verlag