Bundesamt für Sicherheit in der Informationstechnik

M 2.286 Planung und Einsatz von zSeries-Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Planung

Vor der Anschaffung und Inbetriebnahme von zSeries-Systemen müssen verschiedene planerische Tätigkeiten durchgeführt werden. Für die Planung des Einsatzes der zSeries-Systeme sind folgende Empfehlungen bezüglich der Sicherheit zu beachten:

Infrastruktur

Der Standort der zSeries-Hardware muss in einem zutrittsgeschützten Rechenzentrum geplant werden. Empfehlungen für die Infrastruktursicherheit von Rechenzentren finden sich in Baustein B 2.9 Rechenzentrum .

Hardware

Die Hardware-Ressourcen, die für den Betrieb benötigt werden, müssen geplant und in ihrer Kapazität entsprechend den Anforderungen dimensioniert werden. Dies betrifft die gesamte Hardware-Ausstattung, von der Anzahl der Prozessoren, über Kanäle, Festplatten und Bandstationen bis hin zu Netz-Komponenten (inklusive Netzanschlüsse).

Betriebssysteme

Es ist zu klären, welches der möglichen Betriebssysteme (z/OS, zLinux ohne Trägersystem, zLinux unter dem Trägersystem z/VM, etc.) für die Anforderungen der Anwendung zum Einsatz kommen muss.

Anforderung der Anwendungen

Die Anforderungen der Anwendungen an die Hardware und das Betriebssystem müssen bei der Planung berücksichtigt werden:

  • Wie viele Anwender werden auf die Anwendung gleichzeitig zugreifen?
  • Wird ein Single-System oder ein Parallel-Sysplex System benötigt? (u. a. eine Frage der Verfügbarkeit)
  • Welches Datenvolumen wird durch den Betrieb der Anwendung anfallen? (Festplatten, Magnetbandstationen)
  • Welchen Schutzbedarf hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit hat die Anwendung bzw. ihre Daten?
  • Welche Netzanschlüsse werden benötigt bzw. von wo erfolgen Zugriffe (aus dem Internet, Intranet, eigene Netzumgebung)?

Prozesse

Es ist zu überprüfen, wie das neue System in die bestehenden Prozesse eingebunden werden kann. Dies betrifft z. B. das Change Management, Eskalations- und Meldeverfahren, Sicherheits-Audits und weitere Management-Disziplinen.

Die Einhaltung der Sicherheitsvorgaben und -richtlinien der Behörde oder des Unternehmens muss bei der Planung mit berücksichtigt werden.

Personal

Es ist zu überprüfen, wie viele Mitarbeiter mit welcher Ausbildung für den Betrieb des zSeries-Systems benötigt werden. Stehen nicht genügend ausgebildete Mitarbeiter mit Mainframe-Wissen zur Verfügung, müssen die Schulungsmaßnahmen rechtzeitig initiiert werden.

Einsatzszenarien

Im Folgenden werden exemplarisch einige typische Einsatzszenarien von zSeries-Systemen vorgestellt und Empfehlungen zur Trennung von Systemen mit unterschiedlichen Sicherheitsanforderungen beschrieben.

Batch-Systeme

Bei Batch-Systemen steht die Stapelverarbeitung im Vordergrund. Stapelverarbeitung bedeutet, dass vorgegebene Programme (Batch-Jobs) an Hand von durch JCL (Job Control Language) definierten Abläufen ohne Interaktion mit den Benutzern - in der Regel große - Datenbestände bearbeiten. Batch-Systeme können sowohl als Einzelsysteme als auch im Rahmen von Parallel-Sysplex-Clustern betrieben werden. Für Batch-Systeme ist zu überlegen, ob eine Scheduling-Funktion zur Kontrolle der Stapelverarbeitung eingesetzt werden soll (siehe M 2.287 Batch-Job-Planung für z/OS-Systeme ). Die Verwaltung der Zugriffsrechte sollte durch RACF (Resource AccessControl Facility) abgedeckt werden. Anhand der Anforderungen an die Skalierbarkeit ist außerdem zu prüfen, ob ein Parallel-Sysplex-Cluster eingesetzt werden sollte.

Online-Systeme

Online-Systeme verarbeiten Transaktionen, die durch interaktive Arbeiten der Benutzer am Bildschirm ausgelöst werden. Hierbei kommen häufig sogenannte Transaktionsmonitore wie CICS (Customer Information Control System) oder IMS (Information Management System) zum Einsatz. Wie bei Batch-Systemen sollte RACF zur Verwaltung und Durchsetzung der Zugriffsrechte verwendet werden. Bei hohen Anforderungen an die Verfügbarkeit des Online-Systems sollte geprüft werden, ob diesen Anforderungen durch den Einsatz eines Parallel-Sysplex-Clusters Rechnung getragen werden kann. Weitere Empfehlungen finden sich in der Maßnahme M 2.296 Grundsätzliche Überlegungen zu z/OS-Transaktionsmonitoren .

Web-Server

zSeries-Systeme werden auch als Web-Server für Internet- oder Intranet-Angebote eingesetzt. Als Betriebssystem kommt dabei z/OS oder auch zLinux (separat oder als Gast unter z/VM) zum Einsatz. Sicherheitsempfehlungen für den Betrieb von Linux auf zSeries-Systemen finden sich in der Maßnahme M 4.212 Absicherung von Linux für zSeries .

Datenbank-Server

z/OS-Systeme können auch als Datenbank-Server eingesetzt werden. Das System stellt dazu, häufig mit Hilfe der Datenbank-Software DB2, Services zur Verfügung, die es erlauben, Datenbankinformationen abzufragen oder deren Inhalte zu verändern. Datenbank-Server werden oft in Verbindung mit Transaktionsmonitoren (z. B. CICS) oder mit Webservern eingesetzt und liefern diesen den notwendigen Datenbank-Zugriff. Die Konzentration auf den reinen Datenbank-Service reduziert die Komplexität und verbessert die Performance des Systems gerade bei sehr großen Datenbanken. Wie bei den vorher beschriebenen Szenarien sollte RACF auch bei Datenbank-Servern zur Verwaltung und Durchsetzung der Zugriffsrechte verwendet werden. Weitere Empfehlungen zum Einsatz von DB2 finden sich in der Maßnahme M 2.296 Grundsätzliche Überlegungen zu z/OS-Transaktionsmonitoren.

Universelle Systeme

Universelle Systeme sind Mainframes, die mehrere der oben beschriebenen Dienste erbringen. Sie verarbeiten sowohl Batch-Jobs als auch Online-Transaktionen und enthalten einen (oder mehrere) Datenbank-Server. Gegebenenfalls werden sie zusätzlich auch noch als Webserver im Internet oder Intranet eingesetzt. In allen Bereichen sollte RACF als Sicherheitssystem eingesetzt werden.

System-Trennung

Da für Produktions-Systeme unter z/OS in der Regel höhere Sicherheitsanforderungen gelten als für Test- und Entwicklungssysteme, muss zwischen beiden Systemumgebungen eine Trennung erfolgen. Um diese Trennung zu realisieren, sind folgende Empfehlungen zu berücksichtigen:

Gemeinsame Festplatten-Zugriffe

Die Festplatten sind den Test- und Produktions-Systemen so zuzuordnen, dass unberechtigte Zugriffe auf Produktions-Daten verhindert werden können. Dabei erfolgt die Definition der Adressen im HCD (Host ConfigurationDefinition). Es muss durch technische und organisatorische Maßnahmen sichergestellt werden, dass Festplatten aus Test-Systemen an Produktions-Systemen (und umgekehrt) nicht Online gesetzt werden können und dass auf die gleichen Festplatten nicht gleichzeitig von Test- und Produktions-Systemen aus zugegriffen werden kann (Shared DASD).

Einsatz von FTP

Der Datenaustausch zwischen Produktions- und Test-Systemen sollte über FTP (File Transfer Program) erfolgen.

Shared Sysplex

Produktions- und Test-Systeme sollten nicht im selben Parallel Sysplex-Verbund betrieben werden. Ist eine solche Konstellation notwendig, muss eine logische Trennung über entsprechende Standards und RACF-Definitionen (Resource Access ControlFacility) sicherstellen, dass kein Missbrauch von Dateizugriffen entstehen kann.

Shared RACF-Datenbanken

Es sollte überlegt werden, für Produktions- und Test-Systeme keine Shared-RACF-Datenbanken zu verwenden.

Prüffragen:

  • Wird der Standort der zSeries-Hardware in einem zutrittsgeschützten Rechenzentrum geplant?

  • Werden die Hardware-Resourcen des zSeries-Systems, die für den Betrieb benötigt werden, geplant und in ihrer Kapazität entsprechend den Anforderungen dimensioniert?

  • Wird bei der Planung des zSeries-Systems die Einhaltung der Sicherheitsvorgaben und -richtlinien berücksichtigt?

  • Stehen für den Betrieb von zSeries-Systemen genügend ausgebildete Mitarbeiter mit Mainframe-Wissen zur Verfügung?

  • Ist beim Einsatz von zSeries-Systemen sichergestellt, dass Test- und Produktions-Systeme nicht im gleichen Parallel-Sysplex-Verbund laufen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK