No es frecuente hallar consenso cuando se habla de seguridad en mainframes
IBM. En la mayoría de las ocasiones se asocia a la seguridad z/OS y en
concreto, al control de acceso a recursos (RACF).
Otros auditores se centran en la configuración de seguridad del
producto o productos que se tengan para gestionar la seguridad, como por
ejemplo Top
Secret. También es usual, especialmente en entornos financieros,
que la seguridad del mainframe haga referencia al estado de las
facilidades criptográficas, habida cuenta de sus importantes
implicaciones.
Esta variabilidad quizás se deba a que los mainframes son
sistemas complejos donde corren aplicaciones igualmente complejas, con
lo que no son habituales auditorías integrales que cubran todos los
posibles elementos que guardan relación con la seguridad. Dependiendo de
lo que nos diga la evaluación de riesgos, se suelen atacar aspectos
individuales como los citados anteriormente con la finalidad de opinar
sobre el estado de seguridad en relación a un alcance específico. Este
planteamiento es perfectamente válido, si bien a la larga puede provocar
que se desvirtúe el concepto de seguridad del mainframe, sobre
todo si evaluamos únicamente determinados aspectos de forma repetitiva y
no la totalidad de elementos que son susceptibles de análisis y que
tienen implicación directa en la seguridad de estas máquinas
transaccionales. Un ejemplo lo tenemos en el caso típico en el que de
una manera recurrente se centra la evaluación de seguridad única y
exclusivamente en RACF, pero en el que no se evalúan otros
componentes críticos como CICS, IMS o DB2,
por poner alguos ejemplos, o aquellas auditorías donde no se tienen en
cuenta las particularidades del sistema operativo que corra en la
máquina (normalmente z/OS, pero donde pueden existir z/VM,
z/VSE, z/OS UNIX o Linux para zSeries) ni la
seguridad inherente a las aplicaciones instaladas en la máquina.
Para todos aquellos interesados en tener una visión global de la
seguridad de los mainframes, IBM ha publicado un texto llamado Security
on the IBM Mainframe, en el que podemos encontrar una
descripción amplia y muy completa de los distintos componentes que
guardan relación con la seguridad en una máquina de este tipo. Además de
una introducción y un repaso histórico, en el texto hay referencias
técnicas a la arquitectura Z, al impacto de la virtualización en la
seguridad (z/VM), nociones sobre seguridad en otros sistemas
como z/VSE y z/TPF y cómo no, la seguridad clásica del
z/OS (criptografía, red, almacenamiento, aplicaciones,
servicios, SAF y RACF) así como las implicaciones en
la seguridad de los componentes usuales en un despliegue z/OS (parallel
sysplex, JES, SMF, GRS ... etc.)
En el libro también hay referencias a otros elementos menos comunes
pero igualmente relevantes, como z/OS Healthchecker,
complementos a RACF, la seguridad de componentes Java y la
familia Tivoli (TIM/TAM), así como referencias a lo que el
texto llama security exploiters (bases de datos DB2,
transaccionalidad CICS, base de datos IMS e
integradores MQ)
Un texto muy completo y donde se ofrece una visión general de la
seguridad en mainframes IBM más que aceptable, que además
cuenta con la ventaja de que prácticamente cada concepto tratado suele
estar desarrollado con mayor profundidad en algún otro paper, redbook
o recurso de IBM, con lo que aquellos que deseen profundizar en algún
apartado lo tendrán más fácil empleando los recursos en línea gratuitos
que ofrece el fabricante.
Una lectura muy recomendable para administradores de seguridad de
esta plataforma, para auditores de sistemas y en general para todo aquel
que tenga curiosidad en la materia.
Un saludo,
Autor: Sergio Hernando
Fuente: Seguridad de la Información y Auditoría de Sistemas
No comments:
Post a Comment