iNN - PowerInfo - SSS-Tools für Power System i Syntax System ...
iNN - PowerInfo - SSS-Tools für Power System i Syntax System ...
iNN - PowerInfo - SSS-Tools für Power System i Syntax System ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
• Backup Recovery and Media Services (BRMS 5761-BR1) Option 2 Advanced Feature<br />
Backup-Verschlüsselung kann auch ohne BRMS verwendet werden, wenn ein<br />
benutzereigenes Exit-Pro gramm <strong>für</strong> den Tape Management Service (TMS) Exit<br />
Point geschrieben wird.<br />
Funktionsübersicht<br />
In der abgebildeten Darstellung sehen Sie die Komponenten, die bei der Backup-<br />
Verschlüsselung involviert sind.<br />
Der Tape Management Service (QIBM_QTA_ TAPE_TMS) Exit Point im IBM i Betriebssystem<br />
stellt den zentralen Kontrollmechanismus dar, über den gesteuert wird,<br />
ob ein Objekt bei der Sicherung verschlüsselt wird oder nicht. Bei jedem Sicherungsbzw.<br />
Rückspeichervorgang über ein Band, werden Informationen über die betroffenen<br />
Objekte an den Exit Point und somit an das entsprechend registrierte Exit-Programm<br />
übergeben. Das Programm kann nun entscheiden, ob das Objekt ver- bzw. entschlüsselt<br />
werden soll. Mit IBM i Version 6.1 stellt BRMS ein solches Exit-Programm zur Verfügung.<br />
Soll nun ein Objekt verschlüsselt werden, müssen dem Exit Point Informationen<br />
über den zu verwendenden Schlüssel übergeben werden. Bei BRMS werden diese Informationen<br />
über die Media Policies definiert. Die erforderlichen Informationen sind:<br />
• Name und Bibliothek der Schlüsseldatei (Key StoreFile), welche die Datenverschlüsselungsschlüssel<br />
(Data Encryption Keys) enthält. Bei BRMS ist dies ein fest<br />
vorgegebener Name Q1AKEYFILE in Biblio thek QUSRBRM.<br />
• Name eines Datenverschlüsselungsschlüssels. Eine Schlüsseldatei kann viele<br />
verschiedene Schlüssel enthalten. Deshalb muss jeder Schlüssel durch einen eindeutigen<br />
Namen (Label) gekennzeichnet werden.<br />
Ob verschlüsselte Daten wirklich geschützt sind, hängt vom Schutz des jeweiligen<br />
Schlüssels ab, der beim Verschlüsselungsprozess benutzt wurde. Die Schlüsseldatei<br />
ist eine spezielle Datei, auf die über herkömmliche Mechanismen (z.B. SQL, ODBC)<br />
nicht zu gegriffen werden kann. Um die Datenverschlüsselungs schlüssel zu schützen,<br />
werden diese in der Schlüsseldatei über einen so genannten Master Key verschlüsselt.<br />
Dieser Master Key muss vom Sicherheitsbeauftragten gesetzt werden und befindet<br />
sich in einem geschützten Bereich im Licensed Internal Code (LIC) auf dem <strong>System</strong>.<br />
Die Schlüsseldateien, Datenverschlüsselungsschlüssel und Master Keys können<br />
in V6.1 über neue CL-Befehle, den IBM <strong>System</strong> i Navigator oder der webbasierenden<br />
Schnittstelle IBM <strong>System</strong>s Director Navigator for i5/OS definiert und verwaltet werden.<br />
Die Befehle können über die 5250 Menüs GO CMDMST bzw. GO CMDCKM aufgerufen<br />
werden.<br />
Implementierungsübersicht<br />
Die neue Backup-Verschlüsselungsfunktion kann mit relativ wenigen Konfigurationsschritten<br />
aktiviert und genutzt werden. Die folgende Auflistung beschreibt im<br />
Überblick die einzelnen Schritte anhand von CL-Befehlen. Selbstverständlich können<br />
diese Schritte auch über die graphischen Schnittstellen ausgeführt werden:<br />
www.inn-online.de < Seite > Seite: 12