O documento discute a pervasive encryption no IBM Z, que permite a criptografia transparente e em massa de dados em repouso para simplificar a proteção de dados e o cumprimento de normas regulatórias. A pervasive encryption criptografa automaticamente todos os dados em repouso usando chaves gerenciadas pelo sistema, de forma transparente para as aplicações. Isso protege dados em vários níveis, incluindo VSAM, DB2, IMS e logs, entre outros, sem impactar o desempenho.
Detalhes internos da z14/Otimização de códigos - por Luiz Carlos Orsoni (MAFFEI)
Pervasive Encryption por Eugênio Fernandes (IBM)
1. EUGENIOf@br.IBM.com
IT Specialist for Security for Mainframe for Latin America
Consultor
IBM Certified
zChampion
Membro da Academia de Tecnologia da IBM
Pre Sales Support
(+55 11) 996 580 594
(+55 11) 2132-2861
Z Dataset
Encryption
Pervasive Encryption
2. Agenda
Introdução à Pervasive Encryption
z/OS dataset encryption
Arquivos Suportados
Implemenção de z/OS data set encryption
3. Dado – Risco de Segurança e Requisitos
Uso Extensivo de Criptografia é um dos fatores que
melhor pode diminuir os riscos e perdas financeiras, além
de ir ao encontro de normas regulamentadoras.
Proteção e Segurança do
Dado são necessidades de
negócio
- “ Não é uma questão de
‘se’, mas ‘quando’ … “
Política regulatória cresce
em complexidade
Ou seja,
FISMA, GDPR, HIPAA, PCI-DSS, SOX
Norma Brasileira:
https://ibm.biz/Bd2jdP
4. Implementação de Criptografia: Complexo?
Perguntas frequentes:
1. O que deve ser criptografado?
2. Quando deve ocorrer a criptografia?
3. Quem é responsável pela criptografia?
“Proteção de Dados requer um alto investimento para
alencar soluções e/ou possibilitar criptografia diretamente
nos aplicativos.”
5. IBM Z Systems Pervasive Encryption
Melhor método para proteger o dado
Dado é o novo perímetro
Um método transparente que permite criptografia
dos dados, com simplificação e redução de custos
associados à proteção de dados e de compliance
de normas regulamentadoras.
6. IBM z14
A máquina mais qualificada para estabelecer o DADO como
novo perímetro
Criptografa todos os dados in-flight e em repouso com
novas características de hardware, sistema operacional e
middleware, transparente aos sistemas aplicativos.
7. IBM z14
• Protege todas as aplicações e bancos de dados de
acordo com políticas corporativas sem requerer
mudanças em sistemas aplicativos e sem impactar SLA.
• Criptografia em massa habilitada no sistema
operacional.
• Novos patamares de performance do coprocessador
criptográfico (CPACF), até 7x mais rápido que a z13 e
2.5x mais rápido que x86.
• Possibilita criptografia de todo tráfego de rede.
• Todas as chaves criptográficas são protegidas.
• Permite criptografia dos dados armazenados na
estrutura de cluster do ambiente z/OS (Coupling
Facility). Disponível para z/OS 2.3.
10. Secure – Protected – Clear Keys
Três níveis de segurança – Dois níveis de velocidade
• Processada no CryptoExpress6S para
proteção máxima da chave
• Armazenada encriptada (Master Key)
Secure
key
• Processada no CPACF com alta
velocidade
• Armazenada encriptada (Master Key)
Protected
key
• Processada em CPACF com alta
velocidade
• Armazenada em claro
Clear key
S
E
C
U
R
A
N
Ç
A
V
E
L
O
C
I
D
A
D
E
• Secure key é lenta para Data Encryption – Protected key e Clear são mais rápidas
• Protected key é melhor para pervasive encryption
• Necessária para pagamentos com
cartões (PINs e Chip)
• Opção para grandes dados:
Pervasive Encryption
• Melhor utilizar Protected Key
11. Segregação de Papeis
Data owners que necesitam ler a chave de
criptografia, e, portanto, acessar o conteúdo
Storage administrators que trabalham somente os
arquivos e não necessitam acessar o conteúdo (ler os
dados)
Chaves distintas protegendo arquivos distintos – ideal
para múltiplas políticas de segurança.
Prevenir que os administradores acessem o conteúdo
dos arquivos / bases de dados
Múltiplos utilitários podem processar o dado
COPY, DUMP e RESTORE
Migrate/Recall, Backup/Recover, Dump/Data Set Restore
PPRC, XRC, FlashCopy®, Concurrent Copy, etc.
System
administrator
Data owner
Manages the
content
Manages the
data set
12. Métodos de Acesso/Tipos de
Arquivos Suportados
BSAM/QSAM
• Arquivos Sequenciais
Somente Extended Format
VSAM e VSAM/RLS
• KSDS, ESDS, RRDS, VRRDS, LDS
Somente Extended Format
Transparência aos Aplicativos
Sem alterações nos aplicativos ou notificações que os arquivos estejam criptografados,
quando acessados por APIs padrões
Dados criptografados/desencriptografados somente quando acessados por métodos de acesso suportados.
• Criptografia/desencriptografia ocorre quando o dado é gravado ou lido do disco
• Dados em memória ou data buffers permanecem em claro
• Dados seguem encriptados durante backup/recover, migration/recall e replicação
Suporta Db2, IMS, zFS, Middleware, Logs, Batch e soluções ISV
13. Restrições
Arquivos de sistema (como Catálogos, SHCDS, HSM data sets) não devem
ser criptografados, a menos de determinação específica
Arquivos utilizados antes da inicialização do ICSF não podem ser
criptografados
Arquivos (não comprimidos) com extended format com BLKSIZE menor que
16 bytes não podem ser criptografados
Arquivos encriptados são suportados somente em devices tipo 3390
DFSMSdss REBLOCK é ignorado em funções COPY e RESTORE. Exit DFSMSdss
ADRREBLK não será chamada para arquivos encriptados
DFSMSdss não suporta processo de VALIDATE, quando executa backup de
de arquivos VSAM indexados. VALIDATE é ignorado.
Nota:
Arquivos que não podem utilizar
extended format
• Arquivos temporários
• Arquivos de SORTWK
14. Configuração do Sistema
14
Requisitos de Sistema Operacional
z/OS V2.3 RECOMENDADO
z/OS V2.2, com PTFs
z/OS V2.1, com PTFs (tolerância)
Suporta leitura e gravação de arquivos já encriptados.
ICSF
Revisar suporte e PTFs
Requisitos de Servidor
CP Assist for Cryptographic Functions (CPACF).
Hardware mínimo z196.
z196/z114 necessita de CEX3 (feature 0864)
zEC12/zBC12 necessita de CEX3 (feature 0864) ou CEX4 (feature 0865)
z13 - CEX5 (feature 0890)
15. Preparar ICSF CKDS Key
15
Security Admin necessita atualizar (update) o segmento ICSF
Set SYMCPACFWRAP(YES), SYMCPACFRET (YES)
Security Admin necessita parametrizar ICSF CKDS Key Record Read2
(CSNBKRR2)
Defina perfil de RACF com acesso NONE. Examples:
RDEFINE CSFSERV * UACC(NONE)
RDEFINE CSFSERV CSFKRR2 UACC(NONE)
Permita acesso de leitura a CSNBKRR2
PERMIT CSFKRR2 CLASS(CSFSERV) ID(*) ACCESS(READ)
Recursos SAF
16. Preparar Acesso às Key Labels
16
Security/Key Manager precisa garantir que as chaves existam
Key labels definidos no CKDS associado com chaves AES256
Administrador de Segurança cria profiles na classe CSFKEYS baseando-se nas necessidades da
instalação. Qualquer usuário que necessite acesso ao dado em claro precisa do acesso à key
label
Exemplos a seguir.
Defina profile RACF CSFKEYS com acesso NONE
RDEFINE CSFKEYS * UACC(NONE)
Defina profile RACF com acesso NONE
RDEFINE CSFKEYS key-label UACC(NONE)
Permitir acesso ao usuário JOSÉ, acessando por qualquer aplicação
PERMIT key-label CLASS(CSFKEYS) ID(JOSE) ACCESS(READ)
Permitir acesso ao usuário JOÃO, somente através do DFSMS
PERMIT key-label CLASS(CSFKEYS) ID(JOAO) ACCESS(READ) WHEN(CRITERIA(SMS(DSENCRYPTION)))
Permitir acesso a todos usuários, quando acessando através do DFSMS
PERMIT key-label CLASS(CSFKEYS) ID(*) ACCESS(READ) WHEN(CRITERIA(SMS(DSENCRYPTION)))
Setup CKDS, etc
Setup SAF resources for key-label
Desenhado para suportar diferenciação de papeis de Data Owner e Data Manager
17. Cenário: Requisitos para Acesso à
Key Label
Acesso ao dado é separado do acesso à chave de criptografia
Benefício: Habilidade de acesso ao key label baseado no papel. Apenas usuários que
necessitam acesso ao processamento do dado em branco possuem acesso à chave.
Utilização padrão:
Permitir acesso ao usuário JOSÉ, acessando por qualquer aplicação
PERMIT key-label CLASS(CSFKEYS) ID(JOSE) ACCESS(READ)
Permitir acesso ao usuário JOÃO, somente através do DFSMS
PERMIT key-label CLASS(CSFKEYS) ID(JOAO) ACCESS(READ)
WHEN(CRITERIA(SMS(DSENCRYPTION)))
Nota: Paulo, administrador de storage, não pode desencriptografar o dado.
Opcionalmente, pode ser indicado que Paulo não possui acesso explícito
PERMIT key-label CLASS(CSFKEYS) ID(PAULO) ACCESS(NONE)
Os exemplos acima mostram que o uso de profiles CSFKEYS são baseados nas
necessidades de acesso. Flexibilidade é o objetivo.
18. Cenário: Requisitos para Acesso à
Key Label
Acesso ao arquivo é o mesmo do acesso à key label
Benefício: Simplificação do gerenciamento de chave. Qualquer usuário com acesso de
leitura (ou superior) ao arquivo poderá encriptar/desencriptar o dado.
Utilização padrão:
Permitir acesso à key label para ser usada por qualquer usuário, acessando via
DFSMS
PERMIT key-label CLASS(CSFKEYS) ID(*)
WHEN(CRITERIA(SMS(DSENCRYPTION)))
Os exemplos acima mostram que o uso de profiles CSFKEYS são baseados nas
necessidades de acesso. Flexibilidade é o objetivo.
19. Auditoria
19
Auditores podem criar relatórios com informações de
SMF, listcat, DCOLLECT, etc.
Listar arquivos criptografados e não criptografados
Listar acessos a arquivos e listas de acesso
Listar alterações em perfis de arquivos
Relatórios para mapeamento e auditoria
20. Criação de Arquivos Encriptados –
Key Labels
Um arquivo será definido como ‘encriptado’ quando uma key label for
fornecida em sua alocação
Ordem para fornecimento de uma key label:
RACF Data set profile
JCL, Alocação Dinâmica, TSO Allocate, IDCAMS DEFINE
SMS: Data Class
Key label: 64-byte label of an existing key in the ICSF CKDS used for access
method encryption/decryption.
Encryption type: AES-256 bit key (XTS, protected key). Note: AES-256 key must
be generated as a secure key (i.e. protected by crypto express AES Master Key)
21. Compressão de Arquivos
Dados encriptados não são comprimidos
Backup e migração de dados encriptados podem impactar economia em
disco ou fita: Comprimir antes de encriptar!
Sempre que possível, converta para formato comprimido
Quando compressão é solicitada, o método de acessos trabalha com
compressão antes de encriptar
Administrador de Storage pode atualizar classes de arquivos definidos via ISMF
via opção COMPACTION
Administrador de Storage pode atualizar rotinas ACS via ISMF para selecionar
classes de dados para compressão
Política SMS para solicitor compressão
22. Usários podem acessar dados em arquivos encriptografados
Quando acessados via BSAM, QSAM, VSAM ou VSAM/RLS
– Acesso transparente… sem alterações nos aplicativos:
Dados criptografados ao serem gravados e desencriptografados na leitura
Obs: Aplicações que utilizem serviços de Media Manager podem necessitar de interface
para acessar arquivos criptografados.
Acesso ao Dado em Claro
Acesso a Dados em Arquivos
Encriptados
23. Conversão de Dados Existentes
para Dados Criptografados
Dados existentes podem ser copiados a um novo arquivo
criptografado.
Não há utilitários disponíveis para converter arquivos sem
desencriptografar e re-encriptar nos novos arquivos
Utilitários podem ser utilizados para copiar, por exemplo
ISPF 3.3 Copy data set
IDCAMS REPRO
IEBGENER
24. Resumo
Dados podem ser protegidos por
políticas de criptografia para :
• Evitar alterações custosas em aplicativos
• Protege dados automaticamente, antes de sua
criação
• Criptografa dados em massa, em grande escala
• Simplifica e reduz custo de compliance
• Seja transparente às aplicações
• Controle de Acesso
• Use chaves de criptografia gerenciadas
pelo sistema
Uso de criptografia que:
Protege dados com simplificação de compliance
Referências Úteis:
https://ibm.biz/Bd2Zv9 (Pervasive Encryption)
https://ibm.biz/BdzZjx (FAQ)
25. EUGENIOf@br.IBM.com
IT Specialist for Security for Mainframe for Latin America
Consultor
IBM Certified
zChampion
Membro da Academia de Tecnologia da IBM
Pre Sales Support
(+55 11) 996 580 594
(+55 11) 2132-2861
Dúvidas
26. Comparison of data at rest
encryption
Protects at the DASD subsystem level
All or nothing encryption
Only data at rest is encrypted
Single encryption key for everything
No application overhead
Prevents exposures on
- Disk removal
- Box removal
- File removal
1 Any applications or middleware making use of VSAM, QSAM, BSAM access methods. Refer to individual ISV
documentation to confirm support of z/OS data set encryption.
Full Disk
Encryption
z/OS Data Set
Encryption
• Broadly encrypt data at rest
• Covers VSAM, DB2, IMS, Middleware,
Logs, Batch, & ISV Solutions1
• Transparent to applications
• Encryption …
- By policy
- Tied to access control
- Keys controlled by host
• Encrypt in bulk for low-overhead
• Prevents exposures on
- Mis-identification or mis-classification
of sensitive data
- Compliance findings related to
unencrypted data
z/OS Database
Encryption
• Data remains encrypted inside
the database
• Data in memory buffers is also
protected
• Very flexible key granularity
- Down to the row and column level for DB2
- Segment level for IMS
• Excellent separation of duties
• Transparent to applications
• Prevents exposures on
- Unauthorized viewing of encrypted
sensitive data
- Non-DBMS data access
- Unauthorized access to DBMS generated
datasets (i.e. logs)