Seguridad en mainframe

SEGURIDAD EN MAINFRAME 2011 2011

TABLA DE CONTENIDO

Pág.INTRODUCCION………………………………………………………………………………………..……...…… 2

1. Servicios de seguridad e infraestructura……………………………………………………………………………………………… 2

2. Situación real de la seguridad en z/OS en el año 2009…………………………………………………………………….…. 4

2.1. ¿Es realmente seguro el entorno z/OS? ………………………………………………………………………………………..…. 42.2. La seguridad en los mainframes de IBM. ¿Mito o realidad? ………………………………………………………..….…. 42.3. ¿Cómo ha pasado el tiempo para System/360? …………………………………………………………………………….….. 52.4. ¿Es realmente seguro en la actualidad? …………………………………………………………………….…………………….. 5

3. RACF……………………………………………………………………………………………………………………………………................ 8

4. Tivoli zSecure Manager for RACF z/VM…………………………………………………………………………………………….… 9

5. System z9…………………………………………………………………………………………………………………………………………………………. 14

6. BIBLIOGRAFÍA……………………………………………………………………………………………………………………….…….…… 15

www.ticalcanze.tk


INTRODUCCION

No es frecuente hallar consenso cuando se habla de seguridad en mainframes IBM. En la mayoría de las

ocasiones se asocia a la seguridad z/OS y en concreto, al control de acceso a recursos (RACF). Otros

auditores se centran en la configuración de seguridad del producto o productos que se tengan para

gestionar la seguridad. También es usual, especialmente en entornos financieros, que la seguridad

del mainframe haga referencia al estado de las facilidades criptográficas, de sus importantes

implicaciones.

Esta variabilidad quizás se deba a que los mainframes son sistemas complejos donde corren aplicaciones

igualmente complejas, con lo que no son habituales auditorías integrales que cubran todos los posibles

elementos que guardan relación con la seguridad. Dependiendo de lo que nos diga la evaluación de

riesgos, se suelen atacar aspectos individuales con la finalidad de opinar sobre el estado de seguridad en

relación a un alcance específico. Este planteamiento es perfectamente válido, si bien a la larga puede

provocar que se altere el concepto de seguridad del mainframe, sobre todo si evaluamos únicamente

determinados aspectos de forma repetitiva y no la totalidad de elementos que son susceptibles de

análisis y que tienen implicación directa en la seguridad de estas máquinas transaccionales.

www.ticalcanze.tk


1. Servicios de seguridad e infraestructura

Los servicios de seguridad y de la capa de infraestructura contienen los componentes de nivel

superior, que puede ser directamente asignado al marco de seguridad de

IBM. Cada Administración de la Seguridad Fundacional componente representa controles

de negocio, en lugar de la tecnología.

Las propias subcapas constan de servicios individuales y relacionados entre sí:

La seguridad de la información y la infraestructura de gestión de eventos proporciona

la infraestructura para automatizar el registro de la agregación,

correlación y análisis. También permite a una organización reconocer, investigar y

responder a incidentes de forma automática, y agilizar los incidentes

el seguimiento y la manipulación, con el objetivo de mejorar las operaciones de

seguridad y riesgos de la información

de gestión.

La infraestructura de identidad, el acceso y el derecho proporciona servicios para la

gestión de usuarios contraseñas de aprovisionamiento, inicio de sesión único, control

de acceso, y la sincronización de usuarios información a través de directorios.

La infraestructura de la política de seguridad proporciona servicios para gestionar el

desarrollo

aplicación de políticas de seguridad de una manera coherente y automatizar el despliegue

de esas políticas a los sistemas informáticos.

www.ticalcanze.tk


2. Situación real de la seguridad en z/OS en el año 2009

Esta tecnología no sólo está muy viva sino que actualmente protege el 80% de los datos de

nuestras mayores empresas, siendo particularmente cierto en el mundo de la banca.

a. ¿Es realmente seguro el entorno z/OS?

La falta de personal capacitado, el crecimiento de la complejidad y las unidades de

volumen que se manejan (miles de terminales conectados, cientos de miles de trabajos

ejecutados diariamente, centenares de millones de ficheros, decenas de TB de datos

sensibles gestionados por segundo, decenas de millones de transacciones realizadas

contra esos datos) impiden que realmente se puedan poner en marcha medidas que

puedan detectar aquellas acciones de usuarios que están destinadas a realizar fraudes,

destruir información o denegar el servicio durante días.

b. La seguridad en los mainframes de IBM. ¿Mito o realidad?

Su seguridad era inexpugnable, el bastión System/360 y sus evoluciones System/370,

System/XA y System/ESA estaban bajo el control exclusivo de los iniciados y era

realmente difícil hacerse con un manual de cualquiera de los aspectos que mostraban

esas tecnologías. Incluso siendo cliente había una gran cantidad de manuales que

describían el funcionamiento interno de los sistemas operativos y el hardware específico

que sólo podían ser consultados por los ingenieros de hardware o software de IBM.

El conocimiento de un entorno es la primera fase de cualquier acto ilícito informático:

Intrusión, fraude, destrucción de datos, robo de datos. Hasta mediados de los 80 era muy

difícil lograr material que ilustrase sobre el entorno de los mainframes de IBM.

Por lo tanto hasta los años 90 palabras como intrusión, hacking o ciberterrorismo no

existían en las arquitecturas informáticas basadas en mainframe. Las únicas situaciones

de riesgo que se consideraban era el fraude de algún programador que hábilmente había

decidido redondear sobre una cuenta a su favor cambios de divisa o liquidaciones de

cuentas.

En cualquier caso, algún fraude que si se pudo corroborar no salió del ámbito de la

compañía en cuestión para no dañar la imagen de la misma.

Este desconocimiento de la tecnología, unido a una disponibilidad cercana al 99,99%

hicieron concebir a la mente de los directivos de las grandes empresas que el mainframe

era inexpugnable.

www.ticalcanze.tk


c. ¿Cómo ha pasado el tiempo para System/360?

A mediados de los años 90 el mainframe estaba totalmente cercado por las florecientes

tecnologías que surgían por doquier: TCP/IP, Unix, Windows, cliente/servidor, Zero

Administration; y nuevos jugadores con: Sun, HP, Microsoft.

Aquellas pantallas de fósforo verde o ámbar del mainframe fueron sustituidas por

pequeños ordenadores que conectados a servidores más potentes enseñaban

maravillosos gráficos y menús desplegables ergonómicamente adecuados.

Pero IBM supo reaccionar a tiempo y consolidar su tecnología en soluciones de hardware

y software que actuaban de súper servidor de datos de propósito general.

A los sistemas antes mencionados les siguieron el OS/390 y la gran esperanza de IBM: el

sistema operativo z/OS de 64 bits. Con ellos abrió su conectividad hacia el mundo IP,

relegando a un segundo plano al SNA e incluso desarrolló un emulador de Unix llamado

USS (Unix System Services) con el que tratar que sus grandes clientes usuarios de

mainframe no tuvieran que abandonarlo para desarrollar aplicaciones atractivas a los

usuarios en infraestructuras de otros fabricantes.

Hábilmente, el personal de marketing de los grandes sistemas como el que tratamos

acuñó otro término que defendiera su posición: El Rigthsizing o “cada tecnología se debe

de usar para su principal función”.

Desde el punto de vista económico las unidades de medida cambiaron de medir los costes

en miles de millones, a cientos de millones de las antiguas pesetas.

Cuarenta años después los pilares tecnológicos en los que se asentó la tecnología durante

los primeros quince siguen estando vigentes en las últimas versiones.

Si preguntamos a un director de Organización y sistemas sobre la seguridad de su mainframe

su respuesta será en un 99% que es un sistema totalmente seguro.

Si se lo preguntamos a un director de IT su respuesta será que: “con todos los problemas que

tienen en resguardar el mundo abierto no vamos ahora a decirle que el mainframe no es

seguro. ¡Por supuesto que es seguro!”.

Si le realizamos la misma pregunta al responsable de seguridad hará el entorno mainframe, el

90% de los encuestados nos dirá que conocen perfectamente los riesgos y las

vulnerabilidades pero que es muy difícil explotarlas, por lo que el riesgo es muy bajo.

d. ¿Es realmente seguro en la actualidad?

En el trabajo diario de auditar en profundidad estos sistemas en grandes empresas que tienen

el 90% de los datos soportados en mainframe, hemos comprobado que actualmente el

www.ticalcanze.tk


mainframe tiene nuevas amenazas que han llegado con la “modernidad” de los entornos

informáticos.

Podemos resumir las amenazas en una clasificación básica:

Descapitalización de profesionales:

IBM hace quince años comenzó con la desamortización de personal especializado en

mainframes a través de las prejubilaciones. En esta tendencia le siguió la Banca (su

principal cliente) y posteriormente la industria. Actualmente es prácticamente imposible

encontrar un profesional con experiencia suficiente cuya edad sea menor a 45 años.

Las nuevas generaciones “huyen” literalmente, de aprender la complejidad de estos

sistemas que están limitados a menos de 100 potenciales clientes en España.

La complejidad del sistema ha crecido de forma exponencial en los últimos diez años y el

conocimiento necesario respecto al número de profesionales ha decrecido en igual

proporción. El punto de encuentro de las dos tendencias es actualmente un equilibrio

delicado en cuanto a la inversión necesaria en horas de trabajo para mantener el sistema

seguro, frente al gran número de tareas del día a día en grupos de soporte cada vez de

menor tamaño.

Apertura en la conectividad:

En los últimos diez años se ha dotado al mainframe de la habilidad de hablarse con

cualquier otra infraestructura informática a través del TCP/IP, pero también de las

vulnerabilidades asociados a servicios como: FTP, HTTP.

En estos sistemas es la submisión (envío y ejecución) de trabajos por lotes desde un

usuario al que sólo se le ha permitido el acceso exclusivo a transferir ficheros. Igualmente

podrá llevarse del sistema los resultados de los trabajos e incluso borrar parte de su

rastro. El nivel de conocimientos necesario es el descargarse de Internet un cliente FTP de

dos dólares. El número de usuarios que tienen esta cualidad en algunas de los principales

clientes de España puede ser incluso todos los que el sistema tiene definidos, sobre todo

cuando se utilizan nuevas tecnologías como los directorios X500 (LDAP).

Aluminosis:

A mediados de los ochenta IBM desarrolló el mejor servidor de seguridad de la industria,

este servidor es el RACF o en su versión moderna Secureway@Security Server for z/OS.

Este es un software de seguridad que teniendo la potencialidad de securizar un sistema

hasta el nivel B2, tiene el hándicap (desventaja impuesta por el deterioro del uso) de no

ser muy amigable a la hora de administrarlo.

www.ticalcanze.tk


Actualmente podemos encontrar bases de datos de seguridad donde se han definido

reglas de acceso de usuarios a recursos durante veinte años. El resultado son grandes

vulnerabilidades en la defensa de dichos recursos porqué no hay forma, con las

herramientas estándar que proporciona IBM, de estar seguro de que a un recurso sólo

puede acceder un usuario o grupo de usuarios en concreto.

Facilidad de acceso a la información interna de los sistemas:

Con la llegada de Internet IBM decidió publicar en su web todos los manuales necesarios

para comprender los sistemas operativos de sus mainframes. Estos manuales son

necesarios para comprender como hacer que el sistema haga lo que tú quieras sin dejar

rastro de auditoría. Actualmente, aunque IBM dejara de publicarlos en la web el número

de sites donde residen copias de los mismos se cuentan por decenas de miles, por lo que

el conocimiento ya ha dejado de ser oscuro y se encuentra en la luz que proporciona

Internet.

Emuladores de hardware:

Hace veinte años, aunque hubiéramos tenido la información necesaria para hacer rutinas

que modificaran el sistema, teníamos aún que tener un entorno en el que probar, lo que

significaba la inversión de centenares de miles de euros.

Hoy en día existen varios emuladores de hardware de mainframe que capacitan a pc´s de

menos de 600€ para ejecutar una gran parte de los sistemas operativos empresariales de

mainframe. Este software que en su versión freeware se llama Hércules, es libre y se

puede descargar de Internet después de una breve búsqueda. Es cierto que el único

sistema operativo que “legalmente” se puede ejecutar en él es la versión 3.8 de MVS pero

vayan al típico “emule” y busque otros sistemas.

www.ticalcanze.tk


3. RACF:

El Security Server o el tradicionalmente llamado RACF (Resource Access Control Facility).

Aunque pueda parecer que todos los sistemas de seguridad al final se basen en lo mismo, en el

caso del mainframe es un caso aparte, ya que el sistema de seguridad de un mainframe se

desarrolló junto con el desarrollo del sistema operativo y por tanto, es intrínseco y está

fuertemente acoplado al mismo.

En cambio, en otros sistemas tipo Unix y demás, la seguridad fue un desarrollo posterior y por

tanto, sigue otras directrices.

RACF es un compendio de reglas de seguridad que se crean en base a unas clases. Una clase es un

grupo de objetos los cuales queremos otorgarle un determinado acceso, por lo que todo objeto

perteneciente a la misma clase tendrá el mismo nivel de seguridad. Por objeto se entiende desde

un fichero, hasta un slot de proceso o abstracción funcional de software, por llamarlo de alguna

manera.

Existen dos tipos de clases:

Las denominadas “normales”: es decir, clases de acceso, facilitys, logging y demás.

Las clases “especiales”, que son dos: Estas clases se denominan especiales porque pueden

ser gobernadas por clases “normales” que les concederán un cierto acceso, estas clases

pueden ser regidas por otras clases.

o Las clases Usuario: es muy importante porque se hace cargo de la seguridad

referente al tipo de usuario, tipo de acceso a los elementos mainframe y que

facilidades tiene otorgado para realizar su trabajo.

o Las clases Dataset: es una clase especial que sirve para tener el control total sobre

todo elemento susceptible de grabarse en disco o cinta.

Por tanto, se podría decir que RACF controla TODO el sistema internamente (procesos,

subprocesos, schedulers, dispatchers, el núcleo, etcétera), controla los usuarios, el acceso de los

usuarios a los datos, el acceso de los mecanismos de acceso a los datos, la interacción de los

mecanismos de acceso con los procesos.

www.ticalcanze.tk


4. Tivoli zSecure Manager for RACF z/VM

IBM Tivoli zSecure Manager for RACF z/VM ha sido diseñado para proporcionar a los

administradores herramientas que les ayudarán a liberar el potencial de su sistema de mainframe,

haciendo posible una administración eficaz y efectiva del RACF, a la vez que ayuda a reducir el uso

de recursos.

Al automatizar muchas de las funciones de administración de sistemas recurrentes, Tivoli zSecure

Manager for RACF z/VM le puede ayudar a maximizar los recursos de TI, reducir errores, mejorar la

QoS y demostrar conformidad.

Sus capacidades son, las siguientes:

Automatizar tareas de gestión de la seguridad de z/VM complejas y que requieren mucho

tiempo con acciones simples de un solo paso que pueden llevarse a cabo sin un conocimiento

detallado de los comandos del RACF.

Identificar rápidamente y evitar problemas en el RACF antes de que se conviertan en una

amenaza para la seguridad y la conformidad.

Ayudar a reducir la carga de la consolidación de las bases de datos.

Crear controles exhaustivos de auditoría sin un esfuerzo manual importante.

Generar y visualizar informes de auditoría personalizados con calendarios flexibles y secciones

de eventos.

a. Cifrado de discos:

Para ayudar a garantizar que sus datos almacenados están seguros, z/VM soporta el uso de

las funciones de cifrado IBM Full Disc Encryption del sistema IBM DS8000. Para utilizar estas

funciones de cifrado no es necesario realizar ningún cambio en la configuración del sistema

z/VM. El estado de cifrado de un volumen se determina fácilmente utilizando un simple

comando z/VM.

b. Cifrado de cintas:

z/VM ayuda a proteger los datos almacenados en cinta de una forma rentable ofreciendo

soporte para el cifrado de datos basado en unidades utilizando las soluciones

IBM System Storage TS1120 Tape Drive (tipo de máquina 3592, modelo E05) e

IBM System Storage TS1130 Tape Drive (tipo de máquina 3592, modelo E06).

El cifrado de cintas exige que el IBM Encryption Key Manager se ejecute en otro sistema

operativo, utilizando una conexión fuera de banda (como TCP/IP) a una unidad de control de

cinta. El soporte de z/VM incluye el cifrado para Double Data Rate (DDR) y SPXTAPE, así como

para huéspedes que no puedan ofrecer su propia habilitación de cifrado (por ejemplo, CMS y

Linux para System z).

www.ticalcanze.tk


z/VM también hace posible el cifrado de cintas por parte de huéspedes (como z/OS) que

tienen la capacidad de controlar las funcionalidades de cifrado de cintas por sí mismas y

ejecutar, opcionalmente, el Encryption Key Manager. Los cartuchos de cinta cifrados con

anterioridad pueden volverse a cifrar con un nuevo conjunto de claves sin necesidad de leer y

reescribir los datos almacenados en el cartucho, permitiendo así una protección continua de

los datos almacenados en el cartucho de cinta mientras se cambian o sustituyen los

certificados de cifrado que se utilizaban para crearlos.

Los huéspedes de z/VSE pueden utilizar DFSMS/VM FL221 para localizar unidades de cinta

3592 aptas para cifrado en una biblioteca de cintas automatizada empresarial.

c. Servidor Secure Sockets Layer (SSL)

El servidor TCP/IP for z/VM SSL está disponible para facilitar conversaciones seguras y

privadas entre servidores z/VM y clientes externos. Con el soporte de z/VM para SSL y para

Transport Layer Security (TLS), un servidor VM pueden comunicarse con un cliente seguro sin

necesidad de cambiar al propio servidor. El servidor SSL suministrado con z/VM soporta

servicios de cifrado/descifrado de 40 bits, 56 bits y 128 bits. El servidor SSL es capaz de

ofrecer soporte transparente para protocolos que pueden encapsularse en una sesión SSL

segura (por ejemplo, HTTPS) y presta servicio a aplicaciones que necesitan pasar de un texto

sin cifrar a un texto seguro, tales como TN3270, File Transfer Protocol (FTP) y Simple Mail

Transfer Protocol (SMTP).

d. Aceleración criptográfica

La función criptográfica del IBM System z10 ha sido diseñada para satisfacer los requisitos de

seguridad de los servidores de alta gama.

Puede configurarse como un coprocesador para transacciones de clave segura o como un

acelerador para la aceleración SSL, ofreciendo mejoras importantes en el rendimiento de los

algoritmos criptográficos utilizados para el cifrado y la generación y verificación de pares de

claves públicas y privadas.

z/VM pone las funciones Crypto Express2 y Crypto Express3 a disposición de los huéspedes

bien con acceso dedicado para su uso en operaciones de clave segura y clave sin cifrar o bien

con acceso compartido para operaciones de clave sin cifrar.

La CP Assist for Cryptographic Function (CPACF) forma parte de cada procesador en el

servidor System z de IBM. Ofrece un conjunto de funciones criptográficas que se centra en la

función de cifrado/descifrado de SSL, Virtual Private Network (VPN) y aplicaciones de

almacenamiento de datos. La CPACF es utilizada por las funciones SSL/TLS incluidas en el

www.ticalcanze.tk


cliente y el servidor LDAP z/VM y por las funciones SSL proporcionadas por el servidor SSL

z/VM. Cualquier máquina virtual puede acceder a las funciones de la CPACF utilizando las

ampliaciones Message-Security Assist (MSA) de la arquitectura de procesador System z de

IBM. No se necesita ninguna autorización o configuración explícita de z/VM.

e. Certificación según la norma de criterios comunes

El z/VM V5.3 con el componente RACF Security Server ha sido certificado por la Oficina

Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der

Informationstechnik [BSI]) por su conformidad con el Controlled Access Protection Profile

(CAPP) y el Labelled Security Protection Profile (LSPP) de la norma de criterios comunes para

la seguridad de TI, ISO/IEC 15408, al nivel de garantía de evaluación 4, incrementado con los

procedimientos de resolución de errores (EAL4+). Aún no se ha llevado a cabo la evaluación

de conformidad del z/VM V6.1, pero ha sido diseñado para cumplir las mismas normas.

f. Interconexión con z/VM

z/VM ofrece dos tipos de interconexión virtual:

LANs huésped la VSWITCH:

Estas tecnologías permiten a los huéspedes comunicarse entre sí y con otros hosts de la

red sin necesidad de dedicar recursos de hardware a cada huésped.

Las LANs huésped son segmentos simulados de LAN que no tienen una conexión integrada

a ninguna otra LAN. Sólo se conectan a otra red cuando un huésped lleva a cabo servicios

rutinarios. Pueden definirse para simular HiperSockets o un funcionamiento OSA-Express

en modo QDIO.

Las LANs huésped definidas para funcionar como OSA-Express pueden configurarse para

simular el modo OSA L2 (Ethernet) o el modo Internet Protocol (IP). En modo Ethernet,

cada huésped de la LAN huésped se referencia por su dirección Media Access Control

(MAC) y los datos se transmiten y reciben como tramas Ethernet completas. Este modo

soporta IP, SNA, NetBios o cualquier otro formato de trama Ethernet. En modo IP, cada

huésped se referencia por su dirección IP. Se pueden utilizar los protocolos IPv4 o IPv6,

ayudando así a los desarrolladores de aplicaciones y de pilas TCP/IP a crear y probar

nuevas aplicaciones y controladores de dispositivo aptos para IPv6.

www.ticalcanze.tk


g. VSWITCH

z/VM ofrece la capacidad de implantar conmutadores virtuales Ethernet. El z/VM VSWITCH

elimina la necesidad de que máquinas virtuales funcionen como routers para conectar una

LAN huésped a una LAN física a través de un adaptador OSA-Express. Los routers virtuales

consumen una capacidad de procesador muy valiosa debido a la necesidad de copiar

repetidas veces los datos que están siendo transportados.

El VSWITCH puede ayudar a disminuir estos problemas, así como a proporcionar una

configuración y un control de red virtual centralizados. Estos controles permiten al

administrador de z/VM otorgar y revocar acceso a la red de forma mucho más sencilla.

El VSWITCH ofrece un soporte de recuperación de errores mejorado para lograr una

recuperación con menos interrupciones tras algunos de los fallos de red más comunes,

ayudando así a mejorar la continuidad del negocio y la fiabilidad y disponibilidad de la

infraestructura.

Al igual que en las LANs huésped, el VSWITCH soporta tanto el modo L2 (Ethernet) como el

modo de transporte de datos IP.

El VSWITCH también ofrece soporte para la norma de agregación de enlaces 802.3ad del

Institute of Electrical and Electronics Engineers (IEEE). Este soporte está diseñado para

permitir la agrupación de hasta ocho puertos OSA-Express en un único puerto lógico. Esto

ayuda a aumentar el ancho de banda más allá de lo que podría proporcionar un único

adaptador OSA-Express y ofrece una recuperación de errores más rápida y uniforme en el

caso de un fallo en el enlace.

Los huéspedes pueden aprovechar estas conexiones altamente disponibles y de mayor ancho

de banda sin necesidad de ninguna configuración adicional. No es necesario definir y

gestionar múltiples adaptadores de red virtuales o implementar protocolos de enrutamiento

dinámicos dentro del huésped.

h. Virtualización de redes z/VM

z/VM ofrece la capacidad de autorizar que un huésped conectado a una LAN huésped o a un

VSWITCH z/VM motive la entrada de un adaptador de red virtual (tarjeta de interfaz de red

(NIC)) en ‘modo promiscuo’. En este modo, el huésped actúa como un ‘detector’ virtual para

capturar tráfico de red. Esta capacidad puede ayudar a un administrador (o propietario de

www.ticalcanze.tk


una máquina virtual huésped) a capturar datos de red y a resolver problemas de red virtuales.

También puede utilizarse para implementar un sistema de detección de intrusos (IDS).

z/VM aprovecha la tecnología VLAN del IEEE para ayudar a reducir el número de puertos OSA-

Express2 o OSA-Express3 necesarios para transportar el tráfico a múltiples segmentos de LAN.

Para soportar VLANs, z/VM ofrece:

Soporte de interfaz de red OSA-Express y HiperSockets virtual para el etiquetado VLAN

de tramas Ethernet por parte de los huéspedes y de CP, tal y como se describe en el

protocolo IEEE 802.1q.

Puertos de acceso virtuales que permiten la asignación de huéspedes no compatibles

con VLAN a VLANs específicas sin necesidad de realizar ningún cambio en la

configuración IP del huésped.

Puertos de enlace virtuales que permiten a huéspedes compatibles con VLAN utilizar una

VLAN autorizada.

La capacidad de consolidar autorizaciones VLAN dentro de un gestor de seguridad

externo (ESM) como el RACF.

Administración y gestión de redes simplificada de las VLANs con soporte para Generic

Attribute Registration Protocol (GARP) y VLAN Registration Protocol (GVRP) utilizando

adaptadores OSA-Express2 u OSA-Express3 en z/VM.

z/VM proporciona la capacidad de restringir las comunicaciones entre huéspedes dentro de

un VSWITCH y entre adaptadores OSA-Express compartidos utilizados por el VSWITCH. El

aislamiento de puertos del VSWITCH y el aislamiento de la conexión de datos QDIO pueden

ayudarle a diseñar redes virtuales que cumplen estrictas políticas de separación de datos. El

aislamiento del tráfico en adaptadores OSA-Express compartidos está disponible para

componentes OSA-Express2 y OSA-Express3 en un servidor System z10 EC y en un servidor

z10 BC con los MCLs mínimos necesarios.

www.ticalcanze.tk


5. System z9:

El System z9 de IBM es el sistema de cómputo más confiable y seguro que jamás se haya

construido. Duplica en potencia de procesamiento, capacidad y memoria a su antecesor, el

mainframe conocido como "T-Rex".

El sistema constituye un hito en la tecnología de la computación, con capacidades de seguridad,

virtualización y colaboración que, según declaraciones de la compañía, lo posicionan como eje

de la nueva era de la computación colaborativa.

El System z9 representa una iniciativa de desarrollo que llevó tres años, demandó 1.200

millones de dólares y requirió la participación de 5.000 ingenieros, desarrolladores de software

y expertos de seguridad de IBM de distintas partes del mundo.

a. Seguridad en toda la red

El System z9 está construido con base al legado de 41 años del mainframe como sistema rico

en seguridad. IBM diseñó el mainframe con una seguridad de hardware avanzada. Cada

sistema también contiene claves criptográficas maestras almacenadas en un paquete

"inviolable" diseñado para transformar los datos en ceros a fin de evitar la captura física por

parte de un intruso.

El System z9 es capaz de permitir políticas de seguridad homogéneas en todos los servidores,

todos los datos y ahora en toda la red, todo ello de conformidad con los objetivos del negocio,

mediante la gestión centralizada de claves en z/OS y otras características de seguridad

incorporadas.

El z9 proporciona protección avanzada contra riesgos internos y externos con estas nuevas

características:

Simplificación y seguridad de datos de mainframe en archivo

Criptografía avanzada

Transacciones en línea seguras y más rápidas

Seguridad de Internet más fácil de implementar para cargas de trabajo de mainframe

Seguridad basada en red con Cisco

www.ticalcanze.tk


6. BIBLIOGRAFÍA:

http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/

http://sigt.net/archivo/seguridad-en-mainframe-introduccion-al-racf.xhtml

http://www.go2bsecure.com/engine/index.php?

option=com_content&task=view&id=127&Itemid=124

http://www.ca.com/ar/mainframe-security.aspx

http://www.foremad.es/index.php?

option=com_flexicontent&view=items&cid=6:gratuitos&id=2248:administracion-de-seguridad-

de-un-mainframe&Itemid=23

http://www.geonoticias.com/noticias/software/nuevo-mainframe-ibm.html

http://www.ibm.com/pe/systems/z/hardware/index.phtml

www.ticalcanze.tk

http://www.ibm.com/pe/systems/z/hardware/index.phtml

http://www.geonoticias.com/noticias/software/nuevo-mainframe-ibm.html

http://www.foremad.es/index.php?option=com_flexicontent&view=items&cid=6:gratuitos&id=2248:administracion-de-seguridad-de-un-mainframe&Itemid=23



http://www.ca.com/ar/mainframe-security.aspx

http://www.go2bsecure.com/engine/index.php?option=com_content&task=view&id=127&Itemid=124

http://www.go2bsecure.com/engine/index.php?option=com_content&task=view&id=127&Itemid=124

http://sigt.net/archivo/seguridad-en-mainframe-introduccion-al-racf.xhtml

http://www.sahw.com/wp/archivos/2010/05/10/seguridad-en-mainframes-ibm/

Technology

Seguridad en mainframe