iNN - PowerInfo - SSS-Tools für Power System i Syntax System ...

Weitere Magazine

Empfehlungen

Info

• Backup Recovery and Media Services (BRMS 5761-BR1) Option 2 Advanced Feature Backup-Verschlüsselung kann auch ohne BRMS verwendet werden, wenn ein benutzereigenes Exit-Pro gramm für den Tape Management Service (TMS) Exit Point geschrieben wird. Funktionsübersicht In der abgebildeten Darstellung sehen Sie die Komponenten, die bei der Backup- Verschlüsselung involviert sind. Der Tape Management Service (QIBM_QTA_ TAPE_TMS) Exit Point im IBM i Betriebssystem stellt den zentralen Kontrollmechanismus dar, über den gesteuert wird, ob ein Objekt bei der Sicherung verschlüsselt wird oder nicht. Bei jedem Sicherungsbzw. Rückspeichervorgang über ein Band, werden Informationen über die betroffenen Objekte an den Exit Point und somit an das entsprechend registrierte Exit-Programm übergeben. Das Programm kann nun entscheiden, ob das Objekt ver- bzw. entschlüsselt werden soll. Mit IBM i Version 6.1 stellt BRMS ein solches Exit-Programm zur Verfügung. Soll nun ein Objekt verschlüsselt werden, müssen dem Exit Point Informationen über den zu verwendenden Schlüssel übergeben werden. Bei BRMS werden diese Informationen über die Media Policies definiert. Die erforderlichen Informationen sind: • Name und Bibliothek der Schlüsseldatei (Key StoreFile), welche die Datenverschlüsselungsschlüssel (Data Encryption Keys) enthält. Bei BRMS ist dies ein fest vorgegebener Name Q1AKEYFILE in Biblio thek QUSRBRM. • Name eines Datenverschlüsselungsschlüssels. Eine Schlüsseldatei kann viele verschiedene Schlüssel enthalten. Deshalb muss jeder Schlüssel durch einen eindeutigen Namen (Label) gekennzeichnet werden. Ob verschlüsselte Daten wirklich geschützt sind, hängt vom Schutz des jeweiligen Schlüssels ab, der beim Verschlüsselungsprozess benutzt wurde. Die Schlüsseldatei ist eine spezielle Datei, auf die über herkömmliche Mechanismen (z.B. SQL, ODBC) nicht zu gegriffen werden kann. Um die Datenverschlüsselungs schlüssel zu schützen, werden diese in der Schlüsseldatei über einen so genannten Master Key verschlüsselt. Dieser Master Key muss vom Sicherheitsbeauftragten gesetzt werden und befindet sich in einem geschützten Bereich im Licensed Internal Code (LIC) auf dem System. Die Schlüsseldateien, Datenverschlüsselungsschlüssel und Master Keys können in V6.1 über neue CL-Befehle, den IBM System i Navigator oder der webbasierenden Schnittstelle IBM Systems Director Navigator for i5/OS definiert und verwaltet werden. Die Befehle können über die 5250 Menüs GO CMDMST bzw. GO CMDCKM aufgerufen werden. Implementierungsübersicht Die neue Backup-Verschlüsselungsfunktion kann mit relativ wenigen Konfigurationsschritten aktiviert und genutzt werden. Die folgende Auflistung beschreibt im Überblick die einzelnen Schritte anhand von CL-Befehlen. Selbstverständlich können diese Schritte auch über die graphischen Schnittstellen ausgeführt werden: www.inn-online.de < Seite > Seite: 12
1. Installieren Sie Betriebssystemvoraussetzungen. 2. Setzen Sie den Save/Restore Master Key über die Befehle: ADDMSTPART MSTKEY(*SAVRST) PASSPHRASE (‚Always remember this passphrase It cannot be saved‘) SETMSTKEY MSTKEY(*SAVRST) 3. Setzen Sie einen Master Key für den Schutz einer Schlüsseldatei. Folgende zwei Befehle setzen den Master Key mit der ID 1: ADDMSTPART MSTKEY(1) PASSPHRASE(‚This is a secret passphrase that I have to remember‘) SETMSTKEY MSTKEY(1) Die Wörter im PASSPHRASE Parameter des ADDM- STPART Befehls werden benutzt, um den Master Key zu generieren. 4. Erstellen Sie die Schlüsseldatei mit dem Befehl: CRTCKMKSF KEYSTORE (QUSRBRM/Q1AKEYFILE) MSTKEY(1) AUT(*EXCLUDE) TEXT(‚Schlüsseldatei für BRMS‘) 5. Generieren Sie einen oder mehrere Datenverschlüsselungsschlüssel mit folgendem Befehl. GENCKMKSFE KEYSTORE (QUSRBRM/Q1AKEYFILE) RCDLBL(MAY2008_KEY) KEYTYPE(*AES) KEYSIZE(32) In diesem Fall wird ein AES-Schlüssel mit einer Länge von 256 Bits (32 Bytes) und einem Schlüsselnamen von MAY2008_KEY erstellt. 6. Erstellen oder ändern Sie eine bestehende Media Policy im BRMS und geben die entsprechenden Parameter ein. Über folgenden Befehl können Sie die Media Policies erstellen bzw. ändern: WRKPCYBRM TYPE(*MED) In der Policy müssen Sie die Encrypt Data Parametergruppe wie folgt definieren: Encrypt Data . . . . . . . . *YES *NO, *YES Key store file . . . . . . Q1AKEYFILE Name Key store library. . . . . QUSRBRM Name Key record label . . . . . MAY2008_KEY 7. Aktivieren Sie die Verschlüsselung in Ihrer Backup oder Archive Control Group. Folgender Befehl zeigt die Backup Control Groups: WRKCTLGBRM TYPE(*BKU) Stellen Sie sicher, dass die Media Policy definiert ist und für die zu sichernden Objekte der Encrypt Para meter auf *MEDPCY steht. Backup List Parallel Private Seq Items Type Type Authorities Encrypt 10 BARLEN *OBJ *DEFAULT *NO *MEDPCY Von nun an werden alle Objekte, welche die entsprechende Media Policy und Control Group verwenden, verschlüsselt gesichert. Über den WRKMEDIBRM Befehl können jederzeit die Informationen über den verwendeten Schlüssel (Datei und Namen) www.inn-online.de < Seite > Seite: 13
Seite 1 und 2: iNN - PowerInfo 4. September 2008 6
Seite 3 und 4: Wann und wo findet das iNN - Partne
Seite 5 und 6: 3.4.1 Using CGIDEV2 for Generating
Seite 7 und 8: 1 Artikel in deutscher Sprache Für
Seite 9 und 10: 1.1.3 IBM investiert 300 Millionen
Seite 11: 1.2 Neue Software Backup-Verschlüs
Seite 15 und 16: Schlüsselverwaltung Dem Thema Schl
Seite 17 und 18: auf die se Weise auch neue Betriebs
Seite 19 und 20: „German“ aus. Abbildung 1: Laun
Seite 21 und 22: Die neuen Demonstrationen zu Themen
Seite 23 und 24: Abbildung 6: Ein Quellen-Aufruf-Dia
Seite 25 und 26: Aufwand mit demselben Page-Designer
Seite 27 und 28: the assumption that some past numbe
Seite 29 und 30: A web service client constructs a S
Seite 31 und 32: for their workloads. The limited nu
Seite 33 und 34: C = cumulative Y = year DDD = days
Seite 35 und 36: 2.5 IBM Updates DB2 Web Query Busin
Seite 37 und 38: 2.6 DB2 for i DBA: Pinpointing Prob
Seite 39 und 40: Figure 3: SQL details output. The S
Seite 41 und 42: 2.7 Database Modernization Still Un
Seite 43 und 44: 2.8.2 High Availability and Scalabi
Seite 45 und 46: 2.8.5 WebSphere Commerce High Avail
Seite 47 und 48: to achieve the upgrade with the cor
Seite 49 und 50: 3 Tekki-Corner 3.1 New utility at E
Seite 51 und 52: Embedded SQL: Values … into - die
Seite 53 und 54: 3.3 The Power of the Question Mark
Seite 55 und 56: y the workstation user as in the fo
Seite 57 und 58: There are two (hopefully) obvious d
Seite 59 und 60: The Skeleton Spreadsheet Figure 1:
Seite 61 und 62: 4 Wichtige PC-News 4.1 Virus-Warnun
Seite 63 und 64:
7 Important Links 7.1 Midrange Serv
Seite 65 und 66:
10 Special Thanks to: Michael Augel
Seite 67 und 68:
DV-Dialog Dudda Medien-Service ☞
Seite 69 und 70:
Midrange Magazin ☞ Ansprechpartne
Seite 71:
Veda GmbH ☞ Ansprechpartner: Klau
Alle anzeigen

iNN - PowerInfo - SSS-Tools für Power System i Syntax System ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?