際際滷

際際滷Share a Scribd company logo

z/OS Pervasive Encryption

Luigi Perrone
Luigi Perrone

Proteggere i dati con la Pervasive Encryption

1 of 22
Downloaded 19 times
IBM Z Security Luigi Perrone IBM SWG Security Systems Security & Audit for zSystem & enterprise Security Intelligence solution luigi_perrone@it.ibm.com Settembre, 2017 Proteggere i dati con la Pervasive Encryption
2 IBM Security Il punto di partenza: qual 竪 il vero patrimonio dei sistemi IT ? Innovation Data Sommersi da molteplici tecnologie che moltiplicano la diffusione di.
3 IBM Security Proteggere il dato: un 束must損 per la sicurezza Da sempre, uno dei principali obiettivi della sicurezza risulta essere la protezione dei dati Da sempre, la protezione dei dati 竪 stata regolamentata mediante policy di sicurezza Da sempre, il controllo degli accessi e della modalit di utilizzo dei dati avviene tramite tracciatura e reporting degli eventi Eppure. Le probabilit nellarco di 1 anno di avere una violazione dei dati Nel 2016 竪 stato calcolato il costo medio di un data breach Grazie anche alle normative internazionali, i controlli sulla sicurezza dei dati hanno assunto una giusta rilevanza Ora la preoccupazione 竪 passata dal 束se succede?損 al 束quando succede?損
4 IBM Security Diverse sono le tecniche e le soluzioni messe in campo Tutto quello che 竪 stato messo in atto pu嘆 essere considerato sufficiente ai fini di una possibile violazione dei dati ? Uninfrastruttura di sicurezza ben organizzata prevede limpiego di diverse soluzioni che consentono di coprire tutte le aree tematiche di sicurezza
5 IBM Security La crittografia come strumento di difesa del dato Un efficace approccio per il rafforzamento nella protezione dei dati 竪 rappresentato dalle soluzioni di crittografia Il mercato offre diverse soluzioni di crittografia dei dati fornendo pro e contro Ma quali sono le reali problematiche legate alladozione della crittografia ? Molto spesso occorre stabilire: Quali sono i dati da criptare Dove eseguire il processo di encryption. A carico di quale componente ? Il costo della crittografia in termini di risorse Quanti e quali 束change損 applicativi sono necessari Chi 竪 il responsabile del processo di encryption Encrypting only the data required to achieve compliance should be viewed as a minimum threshold, not a best practice
6 IBM Security Coverage Complexity&SecurityControl App Encryption hyper-sensitive data Database Encryption Provide protection for very sensitive in-use (DB level), in-flight & at-rest data File or Dataset Level Encryption Provide broad coverage for sensitive data using encryption tied to access control for in-flight & at-rest data protection Full Disk and Tape Encryption Provide 100% coverage for in-flight & at-rest data with zero host CPU cost Protezione contro la manomissione e la perdita di dati o rimozione dei devices fisici Broad protection & privacy gestita a livello di Sistema z/OS Granular protection & privacy gestita direttamente a livello DB sia per il controllo dei dati che per la gestione delle chiavi Data protection & privacy fornita e gestita direttamente dale applicazioni. Generalmente utilizzata quando lencryption non 竪 disponibile o comunque non adatta agli scopi Lencryption su vasta scala 竪 garantita dalle prestazioni fornite da Z14 CPACF Encryption si, ma a quale livello ?
7 IBM Security Il nuovo mainframe 束rivoluziona損 lapproccio allencryption Il nuovo mainframe Z14 consente di cambiare totalmente lapproccio allencryption mediante il concetto di 束Pervasive Encryption損 per una completa soluzione di protezione del dato 束at Rest損 e 束in Flight損 senza alcuna incidenza sulle applicazioni Con la Pervasive Encryption si raggiunge il massimo della flessibilit in termini di protezione dei dati, grazie alla possibilit di scelta di come deve essere applicata lencryption Lapplicazione estesa della Pervasive Encryption consente di: Disaccoppiare lencryption del dato dalla sua classificazione Ridurre al minimo il rischio di avere dati sensibili scoperti in quanto non tempestivamente rilevati e non opportunamente classificati Rendere pi湛 difficile agli hackers di identificare la tipologia del dato Rafforzare la protezione del dato in ogni suo stadio Soddisfare i requisiti di compliance riducendone i costi in termini di risorse
8 IBM Security Z14 Quanto 竪 pervasiva lencryption sullo Z14 ? Grazie alle funzionalit hardware e software offerta dallo Z14 e z/OS 2.3, 竪 possibile declinare la soluzione di pervasive encryption su diverse specifiche aree: Integrated Crypto Hardware - CPACF & Crypto Express6S - Data at Rest Dataset Encryption - File system & Database - Clustering - Coupling Facility - Network zERT - Network approved encryption criteria - Secure Service Container - Secure deployment of software appliances - Key Management - Real-time, centralized management of keys & certificates -
9 IBM Security Z14 Integrated Cryptographic Hardware Lhardware messo in campo dal nuovo sistema Z14 竪 incomparabile con qualsiasi altra soluzione di mercato La potenza, laffidabilit, la velocit e la sicurezza delle operazioni di encryption/decryption consentono una totale trasparenza alle applicazioni ed alla continuit dei servizi. CP Assist for Cryptographic Functions (CPACF) Hardware accelerated encryption per ogni core Performance improvements: fino a 7x rispetto alla versione precedente Migliori Prestazioni derivanti da una pi湛 bassa latenza nelle operazioni di encryption Migliori prestazioni derivanti da una netta diminuzione di CPU overhead Piattaforma con il pi湛 alto livello di protezione per le chiavi di encryption Hardware Crypto Express6S Next generation PCI Hardware Security Module (HSM) Performance improvements up to 2x Industry leading FIPS 140-2 Level 4 Certification Design
10 IBM Security Z14 z/OS Secure Service Container Una nuova LPAR che impone policy e standard di sicurezza per il deploy di software e firmware su virtual appliance in ambienti zLinux CF z/OS z/OS z/OS z/OS SANNetwork Storage System LinuxONE/ z Systems Secure Service Container Extending the value of z hardware crypto Protected-key CPACF key value not visible to OS or application LinuxONE / z Systems Simplified, fast deployment and management of packaged solutions Tamper protection during Appliance installation and runtime Confidentiality of data and code running within the Appliance both at flight and at rest Restricts administrator access to workload and data Secure Service Container architecture builds on the value z systems hardware crypto using a runtime environment designed to help clients reduce risk.
11 IBM Security Z14 Coupling Facility Encryption Uno stadio in cui il dato pu嘆 essere vulnerabile 竪 quello relativo alla Coupling Facility (CF) e alla CF Link infrastructure. Analogo discorso per i dati allocati nelle CF structures che, non essendo criptati, potrebbero essere soggetti a possibili attacchi. Storage System CPACF CPACF CPACF CPACF z/OS CF CF z/OS z/OS SANNetwork abc *** *** XES z/OS Parallel Sysplex Cluster z/OS 2.3 Protection of data in-flight and in-use (CF) CPACF CPACFCPACF CPACF Lencryption nelle strutture di CF pu嘆 essere abilitata mediante CFRM policy senza effettuare alcuna modifica applicativa. CPACF 竪 un prerequisito alla realizzazione dellencryption in Coupling Facility
12 IBM Security Z14 z/OS Network Security Con zERT 竪 ora possibile monitorare gli stack IP in termini di encryption (se viene adottata oppure no, per quale tipo di traffico ed in che modo viene utilizzata) Vengono supportate le connessioni TCP (TLS, SSL, SSH, Ipsec) + EE (IPsec) COMM SERVER COMM SERVER CF z/OS z/OS SANNetwork Storage System *** App A *** App Babc LinuxONE/Linux on z abc Protection of data in-flight z/OS 2.3 Discovery Reporting
13 IBM Security Data 束at rest損: fino ad ora, con disk & tape encryption Un efficace metodo di encryption dei dati 竪 sempre stato offerto dai dispositivi hardware di storage capaci di incaricarsi della elaborazione dellencryption, senza andare ad intaccare la CPU del sistema DS8000 Disk Encryption Lencryption a livello di disk-drive assicura la protezione dei dati anche quando il disco viene sostituito, spostato o comunque rimosso Tape Encryption Lencryption a livello di tape-drive assicura la protezione dei dati quando devono essere archiviati o trasportati tra differenti data-center SAN Network Storage System abc abcz/OS CF z/OS z/OS LinuxONE/Linux on z xyzxyz *** *** abc abc
14 IBM Security Data 束at rest損 con Dataset Encryption La novit della Dataset Encryption permette la granularit nella protezione del file-system senza alcuna necessit di modifiche applicative Con semplici policy-routines 竪 possibile realizzare la 束Dataset Encryption損 su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM Storage System In-memory system or application data buffers will not be encrypted CPACF z/OS CF z/OS z/OS SAN Network *** DB2,IMS, zFS, etc... LinuxONE/Linux on z abc *** z/OS 2.2 & 2.3 CPACF Encryption effettuata in fase di allocazione dei dataset attraverso RACF, e/o routine SMS Non 竪 richiesto alcun 束change損 applicativo Realizza una totale granularit nella protezione dei dataset (extended) E perfettamente conforme alla SoD, distinguendo la gestione del controllo degli accessi ai dataset da quella delle key-label di encryption Ogni operazione pu嘆 essere tracciata per tutti gli scopi di audit LinuxONE/Linux on z DB server block device encryption CPACF ***
15 IBM Security Dataset encryption per rafforzare la SoD Data Owner (Gestione del contenuto-dati) Storage Admin (Gestione dellorganizzazione-dati) Con la Dataset Encryption viene rafforzata la Separation-of-Duty tra chi deve operare sui dati e chi invece deve gestirne la loro organizzazione in termini di allocazione e memorizzazione. Per poter accedere ai dati il data-owner deve avere sia lautorizzazione di accesso al dataset che quella sulla key-label Per poter gestire i dataset lo storage-admin deve avere accesso solo ai dataset E possibile creare 束griglie損 di accesso ai dati differenti utilizzando differenti encryption- key ed encryption-label (COPY-DUMP-RESTORE-MIGRATE)
16 IBM Security RACF CSFSERV CSFKEYS FACILITY (for SMS mode) ICSF+TKE Clear Key Protect Key Secure Key CKDS DFSMS DATASET PROFILE DFP Segment DATAKEY(key label) PKDS DATACLASS ACS ROUTINES Gli step da eseguire per la Dataset Encryption 1 - ICSF SETUP 2 - RACF SETUP 3 - DFSMS SETUP CPACF CryptoExpress DATASET ALLOCATION/MIGRATION ( 1 RACF DATAKEY 2 JCL DSKLBL 3 SMS DATACLASS ) Dataset/VSAM (define/copy) DB2 (Online Reorg) IMS (Online Reorg) ENCRYPTION VERIFY (SMF LISTCAT IEHLIST DCOLLECT CSI ISITMGD)
17 IBM Security Dataset Encryption: come funziona ? TKE Symmetric Keys Asymmetric Keys Token AES DES RSA ECC Data Keys SecureorClearKeys Key Label + Data Key CKDS PKDS Key Label + Data Key TKDS Key Label + Data Key Digital Certificate RACF DFSMS JCL HSA wrapping key AES wrapping key DES Domain1 Lpar1 AES DES RSA ECC Master Keys CRYPTO EXPRESS CARD Domain2 Lpar2 DomainN LparN AES Key Label X ICSF IPL CONSOLE ICSF AddressSpace Richiesta allocazione Dataset recupero Key-label richiesta key encryption Data Encryption Dataset Encrypted wrapping 1 1 1 2 3 5 6 7 8 9 C D CPACF cpu HSA memory AES Key Label X decryption A Protected Key B 4
18 IBM Security App Encryption Database Encryption File or Dataset Level Encryption Full Disk and Tape Encryption Ma se facciamo Data Encryption, allora KEY MANAGEMENT Qualunque sia lapproccio alla data encryption 竪 utile valutare se e quale soluzione di Key-Management adottare La soluzione di Key Management deve avere capacit di integrazione nativa con soluzioni di encryption esistenti, capacit di essere conforme agli standard, capacit di fornire un preciso audit-trail, capacit di separazione dei ruoli tra (key & data mgmt) ICSF+TKE ( Master Keys + Operational Keys ) EKMF (Operational Keys ) SKLM (Operational Keys ) Self-Encryption Devices KMIP support
19 IBM Security Z14 Encryption Key Management Lapplicazione dellencryption su vasta scala richiede un sistema di gestione delle chiavi semplice ed affidabile in termini gestionali e di sicurezza Le attuali soluzioni adottate in diversi ambiti IT sono caratterizzate da sistemi gi in grado di operare in ambiente enterprise in quanto basati su specifici sw, oppure su soluzioni custom realizzate ad hoc per specifiche necessit. In molti casi, per嘆, non esiste una gestione globale delle chiavi di encryption Policy based key generation Policy based key rotation Key usage tracking Key backup & recovery IBM Enterprise Key Management Foundation (EKMF) fornisce una gestione sicura e centralizzata per le chiavi crittografiche e per i certificati digitali, capace di supportare differenti piattaforme e key-stores . EKMF key management for pervasive encryption must provide
20 IBM Security Z14 zBatch Network Analyzer (zBNA) Come stimare leventuale carico di CPU determinato dallutilizzo pervasivo dellencryption ? zBNA Background: A no charge, as is tool originally designed to analyze batch windows PC based, and provides graphical and text reports Available on techdocs for customers, business partners, and IBMers http://www- 03.ibm.com/support/techdocs/atsmastr.nsf/WebIndex/PRS5132 Previously enhanced for zEDC to identify & evaluate compression candidates zBNA Encryption Enhancements: zBNA will be further enhanced to help clients estimate encryption CPU overhead based on actual client workload SMF data Ability to select z13 or z14 as target machine Support will be provided for z/OS data set encryption Coupling Facility encryption zBNA 1.8.1
21 IBM Security Z14 Gestire la pervasive encryption con semplicit ! Con semplici policy-routines 竪 possibile realizzare la 束Dataset Encryption損 su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM zSecure Command Verifier: Nuova policy di enforcement per lutilizzo di DATAKEY zSecure Admin: Nuove funzioni amministrative per il segmento DFP che contiene la DATAKEY zSecure Audit: Nuovo reporting sullutilizzo delle Key-Labels sia per VSAM che non-VSAM dataset - Extend existing report types DSN / SENSDSN Nuovo reporting per la classe CSFKEYS - New report types ICSF_SYMKEY, ICSF_PUBKEY Nuovo reporting sui sistemi con dischi shared e che possono/non-possono effettuare loperazione di decryption (causa differenti livelli di sw) Nuovo reporting derivante dai record SMF - Type 14/15 non-VSAM and Type 62 VSAM keylabel use - ICSF - zERT records to show encryption strengths IBM Security zSecure suite zSecure 2.3
THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: 息 Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

Recommended

Key management
Key managementKey management
Key management
Luigi Perrone
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overview
Luigi Perrone
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 news
Luigi Perrone
Pervasive Encryption for DB2
Pervasive Encryption for DB2Pervasive Encryption for DB2
Pervasive Encryption for DB2
Luigi Perrone
Short Brocade Presentation
Short Brocade PresentationShort Brocade Presentation
Short Brocade Presentation
Leonardo Antichi
Fare sicurezza con zSecure
Fare sicurezza con zSecureFare sicurezza con zSecure
Fare sicurezza con zSecure
Luigi Perrone
Come integrare il mainframe con QRadar
Come integrare il mainframe con QRadarCome integrare il mainframe con QRadar
Come integrare il mainframe con QRadar
Luigi Perrone
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3
Antonio Capobianco
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
Company profile ingenium logic
Company profile ingenium logicCompany profile ingenium logic
Company profile ingenium logic
Ingenium Logic srl
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
Proteggi il tuo cammino verso lindustria 4.
Proteggi il tuo cammino verso lindustria 4. Proteggi il tuo cammino verso lindustria 4.
Proteggi il tuo cammino verso lindustria 4.
Jordi Garc鱈a
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
11 arcadis
11 arcadis11 arcadis
11 arcadis
Andrea Colombetti
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione
S.info Srl
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
Stefano Dindo
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
ciii_inginf
Open Security
Open SecurityOpen Security
Open Security
Francesco Taurino
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentation
Dino Fornaciari
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
Ist. Superiore Marini-Gioia - Enzo Exposyto
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
ENTER S.r.l.
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
M.Ela International Srl
Brochure-Piql-Preservation-Services-Italian
Brochure-Piql-Preservation-Services-ItalianBrochure-Piql-Preservation-Services-Italian
Brochure-Piql-Preservation-Services-Italian
Toni Mancuso
Presentazione meraki mdm
Presentazione meraki mdmPresentazione meraki mdm
Presentazione meraki mdm
Lan & Wan Solutions
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy

More Related Content

What's hot (7)

[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
Company profile ingenium logic
Company profile ingenium logicCompany profile ingenium logic
Company profile ingenium logic
Ingenium Logic srl
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
Proteggi il tuo cammino verso lindustria 4.
Proteggi il tuo cammino verso lindustria 4. Proteggi il tuo cammino verso lindustria 4.
Proteggi il tuo cammino verso lindustria 4.
Jordi Garc鱈a
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ
[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2[Se T 05 0044] T I Prs Secure Log Appliance [2
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
Company profile ingenium logic
Company profile ingenium logicCompany profile ingenium logic
Company profile ingenium logic
Ingenium Logic srl
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastruttureL'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
Firewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitorFirewall, Antispam e ipmonitor
Firewall, Antispam e ipmonitor
laisit
Proteggi il tuo cammino verso lindustria 4.
Proteggi il tuo cammino verso lindustria 4. Proteggi il tuo cammino verso lindustria 4.
Proteggi il tuo cammino verso lindustria 4.
Jordi Garc鱈a
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
TechnologyBIZ

Similar to z/OS Pervasive Encryption (20)

Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
11 arcadis
11 arcadis11 arcadis
11 arcadis
Andrea Colombetti
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione
S.info Srl
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
Stefano Dindo
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
ciii_inginf
Open Security
Open SecurityOpen Security
Open Security
Francesco Taurino
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentation
Dino Fornaciari
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
Ist. Superiore Marini-Gioia - Enzo Exposyto
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
ENTER S.r.l.
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
M.Ela International Srl
Brochure-Piql-Preservation-Services-Italian
Brochure-Piql-Preservation-Services-ItalianBrochure-Piql-Preservation-Services-Italian
Brochure-Piql-Preservation-Services-Italian
Toni Mancuso
Presentazione meraki mdm
Presentazione meraki mdmPresentazione meraki mdm
Presentazione meraki mdm
Lan & Wan Solutions
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Agenda digitale Umbria
Smau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano FratepietroSmau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano Fratepietro
SMAU
Cips webinar jetico - perch辿 encryption e altre misure sono un must
Cips webinar jetico - perch辿 encryption e altre misure sono un mustCips webinar jetico - perch辿 encryption e altre misure sono un must
Cips webinar jetico - perch辿 encryption e altre misure sono un must
Giovanni Zanasca
Spectrum protect family.laura
Spectrum protect family.lauraSpectrum protect family.laura
Spectrum protect family.laura
Laura Narducci
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
CONFINDUSTRIA TOSCANA NORD
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
11 arcadis
11 arcadis11 arcadis
11 arcadis
Andrea Colombetti
Consolidamento e virtualizzazione
Consolidamento e virtualizzazione Consolidamento e virtualizzazione
Consolidamento e virtualizzazione
S.info Srl
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
Stefano Dindo
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
Sicurezza delle Informazioni, Best practice per lambiente di lavoro remoto n...
ciii_inginf
Open Security
Open SecurityOpen Security
Open Security
Francesco Taurino
BYTE Engineering Services presentation
BYTE Engineering Services presentationBYTE Engineering Services presentation
BYTE Engineering Services presentation
Dino Fornaciari
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
Ist. Superiore Marini-Gioia - Enzo Exposyto
Cloudup, cloud server al minuto
Cloudup, cloud server al minutoCloudup, cloud server al minuto
Cloudup, cloud server al minuto
ENTER S.r.l.
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
M.Ela International Srl
Brochure-Piql-Preservation-Services-Italian
Brochure-Piql-Preservation-Services-ItalianBrochure-Piql-Preservation-Services-Italian
Brochure-Piql-Preservation-Services-Italian
Toni Mancuso
Presentazione meraki mdm
Presentazione meraki mdmPresentazione meraki mdm
Presentazione meraki mdm
Lan & Wan Solutions
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Agenda digitale Umbria
Smau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano FratepietroSmau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano Fratepietro
SMAU
Cips webinar jetico - perch辿 encryption e altre misure sono un must
Cips webinar jetico - perch辿 encryption e altre misure sono un mustCips webinar jetico - perch辿 encryption e altre misure sono un must
Cips webinar jetico - perch辿 encryption e altre misure sono un must
Giovanni Zanasca
Spectrum protect family.laura
Spectrum protect family.lauraSpectrum protect family.laura
Spectrum protect family.laura
Laura Narducci
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
CONFINDUSTRIA TOSCANA NORD

More from Luigi Perrone (6)

z/OS Authorized Code Scanner
z/OS Authorized Code Scannerz/OS Authorized Code Scanner
z/OS Authorized Code Scanner
Luigi Perrone
Sklm webinar
Sklm webinarSklm webinar
Sklm webinar
Luigi Perrone
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
Come gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLMCome gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLM
Luigi Perrone
IBM Qradar-Advisor
IBM Qradar-AdvisorIBM Qradar-Advisor
IBM Qradar-Advisor
Luigi Perrone
Racf psw enhancement
Racf psw enhancementRacf psw enhancement
Racf psw enhancement
Luigi Perrone
z/OS Authorized Code Scanner
z/OS Authorized Code Scannerz/OS Authorized Code Scanner
z/OS Authorized Code Scanner
Luigi Perrone
Sklm webinar
Sklm webinarSklm webinar
Sklm webinar
Luigi Perrone
Mfa.intro
Mfa.introMfa.intro
Mfa.intro
Luigi Perrone
Come gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLMCome gestire l'encryption dei dati con SKLM
Come gestire l'encryption dei dati con SKLM
Luigi Perrone
IBM Qradar-Advisor
IBM Qradar-AdvisorIBM Qradar-Advisor
IBM Qradar-Advisor
Luigi Perrone
Racf psw enhancement
Racf psw enhancementRacf psw enhancement
Racf psw enhancement
Luigi Perrone

z/OS Pervasive Encryption

  • 1. IBM Z Security Luigi Perrone IBM SWG Security Systems Security & Audit for zSystem & enterprise Security Intelligence solution luigi_perrone@it.ibm.com Settembre, 2017 Proteggere i dati con la Pervasive Encryption
  • 2. 2 IBM Security Il punto di partenza: qual 竪 il vero patrimonio dei sistemi IT ? Innovation Data Sommersi da molteplici tecnologie che moltiplicano la diffusione di.
  • 3. 3 IBM Security Proteggere il dato: un 束must損 per la sicurezza Da sempre, uno dei principali obiettivi della sicurezza risulta essere la protezione dei dati Da sempre, la protezione dei dati 竪 stata regolamentata mediante policy di sicurezza Da sempre, il controllo degli accessi e della modalit di utilizzo dei dati avviene tramite tracciatura e reporting degli eventi Eppure. Le probabilit nellarco di 1 anno di avere una violazione dei dati Nel 2016 竪 stato calcolato il costo medio di un data breach Grazie anche alle normative internazionali, i controlli sulla sicurezza dei dati hanno assunto una giusta rilevanza Ora la preoccupazione 竪 passata dal 束se succede?損 al 束quando succede?損
  • 4. 4 IBM Security Diverse sono le tecniche e le soluzioni messe in campo Tutto quello che 竪 stato messo in atto pu嘆 essere considerato sufficiente ai fini di una possibile violazione dei dati ? Uninfrastruttura di sicurezza ben organizzata prevede limpiego di diverse soluzioni che consentono di coprire tutte le aree tematiche di sicurezza
  • 5. 5 IBM Security La crittografia come strumento di difesa del dato Un efficace approccio per il rafforzamento nella protezione dei dati 竪 rappresentato dalle soluzioni di crittografia Il mercato offre diverse soluzioni di crittografia dei dati fornendo pro e contro Ma quali sono le reali problematiche legate alladozione della crittografia ? Molto spesso occorre stabilire: Quali sono i dati da criptare Dove eseguire il processo di encryption. A carico di quale componente ? Il costo della crittografia in termini di risorse Quanti e quali 束change損 applicativi sono necessari Chi 竪 il responsabile del processo di encryption Encrypting only the data required to achieve compliance should be viewed as a minimum threshold, not a best practice
  • 6. 6 IBM Security Coverage Complexity&SecurityControl App Encryption hyper-sensitive data Database Encryption Provide protection for very sensitive in-use (DB level), in-flight & at-rest data File or Dataset Level Encryption Provide broad coverage for sensitive data using encryption tied to access control for in-flight & at-rest data protection Full Disk and Tape Encryption Provide 100% coverage for in-flight & at-rest data with zero host CPU cost Protezione contro la manomissione e la perdita di dati o rimozione dei devices fisici Broad protection & privacy gestita a livello di Sistema z/OS Granular protection & privacy gestita direttamente a livello DB sia per il controllo dei dati che per la gestione delle chiavi Data protection & privacy fornita e gestita direttamente dale applicazioni. Generalmente utilizzata quando lencryption non 竪 disponibile o comunque non adatta agli scopi Lencryption su vasta scala 竪 garantita dalle prestazioni fornite da Z14 CPACF Encryption si, ma a quale livello ?
  • 7. 7 IBM Security Il nuovo mainframe 束rivoluziona損 lapproccio allencryption Il nuovo mainframe Z14 consente di cambiare totalmente lapproccio allencryption mediante il concetto di 束Pervasive Encryption損 per una completa soluzione di protezione del dato 束at Rest損 e 束in Flight損 senza alcuna incidenza sulle applicazioni Con la Pervasive Encryption si raggiunge il massimo della flessibilit in termini di protezione dei dati, grazie alla possibilit di scelta di come deve essere applicata lencryption Lapplicazione estesa della Pervasive Encryption consente di: Disaccoppiare lencryption del dato dalla sua classificazione Ridurre al minimo il rischio di avere dati sensibili scoperti in quanto non tempestivamente rilevati e non opportunamente classificati Rendere pi湛 difficile agli hackers di identificare la tipologia del dato Rafforzare la protezione del dato in ogni suo stadio Soddisfare i requisiti di compliance riducendone i costi in termini di risorse
  • 8. 8 IBM Security Z14 Quanto 竪 pervasiva lencryption sullo Z14 ? Grazie alle funzionalit hardware e software offerta dallo Z14 e z/OS 2.3, 竪 possibile declinare la soluzione di pervasive encryption su diverse specifiche aree: Integrated Crypto Hardware - CPACF & Crypto Express6S - Data at Rest Dataset Encryption - File system & Database - Clustering - Coupling Facility - Network zERT - Network approved encryption criteria - Secure Service Container - Secure deployment of software appliances - Key Management - Real-time, centralized management of keys & certificates -
  • 9. 9 IBM Security Z14 Integrated Cryptographic Hardware Lhardware messo in campo dal nuovo sistema Z14 竪 incomparabile con qualsiasi altra soluzione di mercato La potenza, laffidabilit, la velocit e la sicurezza delle operazioni di encryption/decryption consentono una totale trasparenza alle applicazioni ed alla continuit dei servizi. CP Assist for Cryptographic Functions (CPACF) Hardware accelerated encryption per ogni core Performance improvements: fino a 7x rispetto alla versione precedente Migliori Prestazioni derivanti da una pi湛 bassa latenza nelle operazioni di encryption Migliori prestazioni derivanti da una netta diminuzione di CPU overhead Piattaforma con il pi湛 alto livello di protezione per le chiavi di encryption Hardware Crypto Express6S Next generation PCI Hardware Security Module (HSM) Performance improvements up to 2x Industry leading FIPS 140-2 Level 4 Certification Design
  • 10. 10 IBM Security Z14 z/OS Secure Service Container Una nuova LPAR che impone policy e standard di sicurezza per il deploy di software e firmware su virtual appliance in ambienti zLinux CF z/OS z/OS z/OS z/OS SANNetwork Storage System LinuxONE/ z Systems Secure Service Container Extending the value of z hardware crypto Protected-key CPACF key value not visible to OS or application LinuxONE / z Systems Simplified, fast deployment and management of packaged solutions Tamper protection during Appliance installation and runtime Confidentiality of data and code running within the Appliance both at flight and at rest Restricts administrator access to workload and data Secure Service Container architecture builds on the value z systems hardware crypto using a runtime environment designed to help clients reduce risk.
  • 11. 11 IBM Security Z14 Coupling Facility Encryption Uno stadio in cui il dato pu嘆 essere vulnerabile 竪 quello relativo alla Coupling Facility (CF) e alla CF Link infrastructure. Analogo discorso per i dati allocati nelle CF structures che, non essendo criptati, potrebbero essere soggetti a possibili attacchi. Storage System CPACF CPACF CPACF CPACF z/OS CF CF z/OS z/OS SANNetwork abc *** *** XES z/OS Parallel Sysplex Cluster z/OS 2.3 Protection of data in-flight and in-use (CF) CPACF CPACFCPACF CPACF Lencryption nelle strutture di CF pu嘆 essere abilitata mediante CFRM policy senza effettuare alcuna modifica applicativa. CPACF 竪 un prerequisito alla realizzazione dellencryption in Coupling Facility
  • 12. 12 IBM Security Z14 z/OS Network Security Con zERT 竪 ora possibile monitorare gli stack IP in termini di encryption (se viene adottata oppure no, per quale tipo di traffico ed in che modo viene utilizzata) Vengono supportate le connessioni TCP (TLS, SSL, SSH, Ipsec) + EE (IPsec) COMM SERVER COMM SERVER CF z/OS z/OS SANNetwork Storage System *** App A *** App Babc LinuxONE/Linux on z abc Protection of data in-flight z/OS 2.3 Discovery Reporting
  • 13. 13 IBM Security Data 束at rest損: fino ad ora, con disk & tape encryption Un efficace metodo di encryption dei dati 竪 sempre stato offerto dai dispositivi hardware di storage capaci di incaricarsi della elaborazione dellencryption, senza andare ad intaccare la CPU del sistema DS8000 Disk Encryption Lencryption a livello di disk-drive assicura la protezione dei dati anche quando il disco viene sostituito, spostato o comunque rimosso Tape Encryption Lencryption a livello di tape-drive assicura la protezione dei dati quando devono essere archiviati o trasportati tra differenti data-center SAN Network Storage System abc abcz/OS CF z/OS z/OS LinuxONE/Linux on z xyzxyz *** *** abc abc
  • 14. 14 IBM Security Data 束at rest損 con Dataset Encryption La novit della Dataset Encryption permette la granularit nella protezione del file-system senza alcuna necessit di modifiche applicative Con semplici policy-routines 竪 possibile realizzare la 束Dataset Encryption損 su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM Storage System In-memory system or application data buffers will not be encrypted CPACF z/OS CF z/OS z/OS SAN Network *** DB2,IMS, zFS, etc... LinuxONE/Linux on z abc *** z/OS 2.2 & 2.3 CPACF Encryption effettuata in fase di allocazione dei dataset attraverso RACF, e/o routine SMS Non 竪 richiesto alcun 束change損 applicativo Realizza una totale granularit nella protezione dei dataset (extended) E perfettamente conforme alla SoD, distinguendo la gestione del controllo degli accessi ai dataset da quella delle key-label di encryption Ogni operazione pu嘆 essere tracciata per tutti gli scopi di audit LinuxONE/Linux on z DB server block device encryption CPACF ***
  • 15. 15 IBM Security Dataset encryption per rafforzare la SoD Data Owner (Gestione del contenuto-dati) Storage Admin (Gestione dellorganizzazione-dati) Con la Dataset Encryption viene rafforzata la Separation-of-Duty tra chi deve operare sui dati e chi invece deve gestirne la loro organizzazione in termini di allocazione e memorizzazione. Per poter accedere ai dati il data-owner deve avere sia lautorizzazione di accesso al dataset che quella sulla key-label Per poter gestire i dataset lo storage-admin deve avere accesso solo ai dataset E possibile creare 束griglie損 di accesso ai dati differenti utilizzando differenti encryption- key ed encryption-label (COPY-DUMP-RESTORE-MIGRATE)
  • 16. 16 IBM Security RACF CSFSERV CSFKEYS FACILITY (for SMS mode) ICSF+TKE Clear Key Protect Key Secure Key CKDS DFSMS DATASET PROFILE DFP Segment DATAKEY(key label) PKDS DATACLASS ACS ROUTINES Gli step da eseguire per la Dataset Encryption 1 - ICSF SETUP 2 - RACF SETUP 3 - DFSMS SETUP CPACF CryptoExpress DATASET ALLOCATION/MIGRATION ( 1 RACF DATAKEY 2 JCL DSKLBL 3 SMS DATACLASS ) Dataset/VSAM (define/copy) DB2 (Online Reorg) IMS (Online Reorg) ENCRYPTION VERIFY (SMF LISTCAT IEHLIST DCOLLECT CSI ISITMGD)
  • 17. 17 IBM Security Dataset Encryption: come funziona ? TKE Symmetric Keys Asymmetric Keys Token AES DES RSA ECC Data Keys SecureorClearKeys Key Label + Data Key CKDS PKDS Key Label + Data Key TKDS Key Label + Data Key Digital Certificate RACF DFSMS JCL HSA wrapping key AES wrapping key DES Domain1 Lpar1 AES DES RSA ECC Master Keys CRYPTO EXPRESS CARD Domain2 Lpar2 DomainN LparN AES Key Label X ICSF IPL CONSOLE ICSF AddressSpace Richiesta allocazione Dataset recupero Key-label richiesta key encryption Data Encryption Dataset Encrypted wrapping 1 1 1 2 3 5 6 7 8 9 C D CPACF cpu HSA memory AES Key Label X decryption A Protected Key B 4
  • 18. 18 IBM Security App Encryption Database Encryption File or Dataset Level Encryption Full Disk and Tape Encryption Ma se facciamo Data Encryption, allora KEY MANAGEMENT Qualunque sia lapproccio alla data encryption 竪 utile valutare se e quale soluzione di Key-Management adottare La soluzione di Key Management deve avere capacit di integrazione nativa con soluzioni di encryption esistenti, capacit di essere conforme agli standard, capacit di fornire un preciso audit-trail, capacit di separazione dei ruoli tra (key & data mgmt) ICSF+TKE ( Master Keys + Operational Keys ) EKMF (Operational Keys ) SKLM (Operational Keys ) Self-Encryption Devices KMIP support
  • 19. 19 IBM Security Z14 Encryption Key Management Lapplicazione dellencryption su vasta scala richiede un sistema di gestione delle chiavi semplice ed affidabile in termini gestionali e di sicurezza Le attuali soluzioni adottate in diversi ambiti IT sono caratterizzate da sistemi gi in grado di operare in ambiente enterprise in quanto basati su specifici sw, oppure su soluzioni custom realizzate ad hoc per specifiche necessit. In molti casi, per嘆, non esiste una gestione globale delle chiavi di encryption Policy based key generation Policy based key rotation Key usage tracking Key backup & recovery IBM Enterprise Key Management Foundation (EKMF) fornisce una gestione sicura e centralizzata per le chiavi crittografiche e per i certificati digitali, capace di supportare differenti piattaforme e key-stores . EKMF key management for pervasive encryption must provide
  • 20. 20 IBM Security Z14 zBatch Network Analyzer (zBNA) Come stimare leventuale carico di CPU determinato dallutilizzo pervasivo dellencryption ? zBNA Background: A no charge, as is tool originally designed to analyze batch windows PC based, and provides graphical and text reports Available on techdocs for customers, business partners, and IBMers http://www- 03.ibm.com/support/techdocs/atsmastr.nsf/WebIndex/PRS5132 Previously enhanced for zEDC to identify & evaluate compression candidates zBNA Encryption Enhancements: zBNA will be further enhanced to help clients estimate encryption CPU overhead based on actual client workload SMF data Ability to select z13 or z14 as target machine Support will be provided for z/OS data set encryption Coupling Facility encryption zBNA 1.8.1
  • 21. 21 IBM Security Z14 Gestire la pervasive encryption con semplicit ! Con semplici policy-routines 竪 possibile realizzare la 束Dataset Encryption損 su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM zSecure Command Verifier: Nuova policy di enforcement per lutilizzo di DATAKEY zSecure Admin: Nuove funzioni amministrative per il segmento DFP che contiene la DATAKEY zSecure Audit: Nuovo reporting sullutilizzo delle Key-Labels sia per VSAM che non-VSAM dataset - Extend existing report types DSN / SENSDSN Nuovo reporting per la classe CSFKEYS - New report types ICSF_SYMKEY, ICSF_PUBKEY Nuovo reporting sui sistemi con dischi shared e che possono/non-possono effettuare loperazione di decryption (causa differenti livelli di sw) Nuovo reporting derivante dai record SMF - Type 14/15 non-VSAM and Type 62 VSAM keylabel use - ICSF - zERT records to show encryption strengths IBM Security zSecure suite zSecure 2.3
  • 22. THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: 息 Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
AboutCopyright
息 2025 際際滷