O documento discute a pervasive encryption no IBM Z, que permite a criptografia transparente e em massa de dados em repouso para simplificar a proteção de dados e o cumprimento de normas regulatórias. A pervasive encryption criptografa automaticamente todos os dados em repouso usando chaves gerenciadas pelo sistema, de forma transparente para as aplicações. Isso protege dados em vários níveis, incluindo VSAM, DB2, IMS e logs, entre outros, sem impactar o desempenho.

1. EUGENIOf@br.IBM.com
IT Specialist for Security for Mainframe for Latin America
Consultor
IBM Certified
zChampion
Membro da Academia de Tecnologia da IBM
Pre Sales Support
(+55 11) 996 580 594
(+55 11) 2132-2861
Z Dataset
Encryption
Pervasive Encryption

2. Agenda
 Introdução à Pervasive Encryption
 z/OS dataset encryption
 Arquivos Suportados
 Implemenção de z/OS data set encryption

3. Dado – Risco de Segurança e Requisitos
Uso Extensivo de Criptografia é um dos fatores que
melhor pode diminuir os riscos e perdas financeiras, além
de ir ao encontro de normas regulamentadoras.
Proteção e Segurança do
Dado são necessidades de
negócio
- “ Não é uma questão de
‘se’, mas ‘quando’ … “
Política regulatória cresce
em complexidade
Ou seja,
FISMA, GDPR, HIPAA, PCI-DSS, SOX
Norma Brasileira:
https://ibm.biz/Bd2jdP

4. Implementação de Criptografia: Complexo?
Perguntas frequentes:
1. O que deve ser criptografado?
2. Quando deve ocorrer a criptografia?
3. Quem é responsável pela criptografia?
“Proteção de Dados requer um alto investimento para
alencar soluções e/ou possibilitar criptografia diretamente
nos aplicativos.”

5. IBM Z Systems Pervasive Encryption
Melhor método para proteger o dado
Dado é o novo perímetro
Um método transparente que permite criptografia
dos dados, com simplificação e redução de custos
associados à proteção de dados e de compliance
de normas regulamentadoras.

6. IBM z14
A máquina mais qualificada para estabelecer o DADO como
novo perímetro
Criptografa todos os dados in-flight e em repouso com
novas características de hardware, sistema operacional e
middleware, transparente aos sistemas aplicativos.

7. IBM z14
• Protege todas as aplicações e bancos de dados de
acordo com políticas corporativas sem requerer
mudanças em sistemas aplicativos e sem impactar SLA.
• Criptografia em massa habilitada no sistema
operacional.
• Novos patamares de performance do coprocessador
criptográfico (CPACF), até 7x mais rápido que a z13 e
2.5x mais rápido que x86.
• Possibilita criptografia de todo tráfego de rede.
• Todas as chaves criptográficas são protegidas.
• Permite criptografia dos dados armazenados na
estrutura de cluster do ambiente z/OS (Coupling
Facility). Disponível para z/OS 2.3.

8. Coverage
Múltiplos Níveis de Criptografía
do Dado em Descanso

9. Exemplo de dados não
criptografados e criptografados

10. Secure – Protected – Clear Keys
Três níveis de segurança – Dois níveis de velocidade
• Processada no CryptoExpress6S para
proteção máxima da chave
• Armazenada encriptada (Master Key)
Secure
key
• Processada no CPACF com alta
velocidade
• Armazenada encriptada (Master Key)
Protected
key
• Processada em CPACF com alta
velocidade
• Armazenada em claro
Clear key
S
E
C
U
R
A
N
Ç
A
V
E
L
O
C
I
D
A
D
E
• Secure key é lenta para Data Encryption – Protected key e Clear são mais rápidas
• Protected key é melhor para pervasive encryption
• Necessária para pagamentos com
cartões (PINs e Chip)
• Opção para grandes dados:
Pervasive Encryption
• Melhor utilizar Protected Key

11. Segregação de Papeis
 Data owners que necesitam ler a chave de
criptografia, e, portanto, acessar o conteúdo
 Storage administrators que trabalham somente os
arquivos e não necessitam acessar o conteúdo (ler os
dados)
 Chaves distintas protegendo arquivos distintos – ideal
para múltiplas políticas de segurança.
 Prevenir que os administradores acessem o conteúdo
dos arquivos / bases de dados
 Múltiplos utilitários podem processar o dado
 COPY, DUMP e RESTORE
 Migrate/Recall, Backup/Recover, Dump/Data Set Restore
 PPRC, XRC, FlashCopy®, Concurrent Copy, etc.
System
administrator
Data owner
Manages the
content
Manages the
data set

12. Métodos de Acesso/Tipos de
Arquivos Suportados
 BSAM/QSAM
• Arquivos Sequenciais
 Somente Extended Format
 VSAM e VSAM/RLS
• KSDS, ESDS, RRDS, VRRDS, LDS
 Somente Extended Format
Transparência aos Aplicativos
 Sem alterações nos aplicativos ou notificações que os arquivos estejam criptografados,
quando acessados por APIs padrões
Dados criptografados/desencriptografados somente quando acessados por métodos de acesso suportados.
• Criptografia/desencriptografia ocorre quando o dado é gravado ou lido do disco
• Dados em memória ou data buffers permanecem em claro
• Dados seguem encriptados durante backup/recover, migration/recall e replicação
Suporta Db2, IMS, zFS, Middleware, Logs, Batch e soluções ISV

13. Restrições
 Arquivos de sistema (como Catálogos, SHCDS, HSM data sets) não devem
ser criptografados, a menos de determinação específica
 Arquivos utilizados antes da inicialização do ICSF não podem ser
criptografados
 Arquivos (não comprimidos) com extended format com BLKSIZE menor que
16 bytes não podem ser criptografados
 Arquivos encriptados são suportados somente em devices tipo 3390
 DFSMSdss REBLOCK é ignorado em funções COPY e RESTORE. Exit DFSMSdss
ADRREBLK não será chamada para arquivos encriptados
 DFSMSdss não suporta processo de VALIDATE, quando executa backup de
de arquivos VSAM indexados. VALIDATE é ignorado.
Nota:
 Arquivos que não podem utilizar
extended format
• Arquivos temporários
• Arquivos de SORTWK

14. Configuração do Sistema
14
Requisitos de Sistema Operacional
 z/OS V2.3 RECOMENDADO
 z/OS V2.2, com PTFs
 z/OS V2.1, com PTFs (tolerância)
 Suporta leitura e gravação de arquivos já encriptados.
 ICSF
 Revisar suporte e PTFs
Requisitos de Servidor
 CP Assist for Cryptographic Functions (CPACF).
 Hardware mínimo z196.
 z196/z114 necessita de CEX3 (feature 0864)
 zEC12/zBC12 necessita de CEX3 (feature 0864) ou CEX4 (feature 0865)
 z13 - CEX5 (feature 0890)

15. Preparar ICSF CKDS Key
15
 Security Admin necessita atualizar (update) o segmento ICSF
 Set SYMCPACFWRAP(YES), SYMCPACFRET (YES)
 Security Admin necessita parametrizar ICSF CKDS Key Record Read2
(CSNBKRR2)
 Defina perfil de RACF com acesso NONE. Examples:
 RDEFINE CSFSERV * UACC(NONE)
 RDEFINE CSFSERV CSFKRR2 UACC(NONE)
 Permita acesso de leitura a CSNBKRR2
 PERMIT CSFKRR2 CLASS(CSFSERV) ID(*) ACCESS(READ)
Recursos SAF

16. Preparar Acesso às Key Labels
16
 Security/Key Manager precisa garantir que as chaves existam
 Key labels definidos no CKDS associado com chaves AES256
 Administrador de Segurança cria profiles na classe CSFKEYS baseando-se nas necessidades da
instalação. Qualquer usuário que necessite acesso ao dado em claro precisa do acesso à key
label
 Exemplos a seguir.
 Defina profile RACF CSFKEYS com acesso NONE
 RDEFINE CSFKEYS * UACC(NONE)
 Defina profile RACF com acesso NONE
 RDEFINE CSFKEYS key-label UACC(NONE)
 Permitir acesso ao usuário JOSÉ, acessando por qualquer aplicação
 PERMIT key-label CLASS(CSFKEYS) ID(JOSE) ACCESS(READ)
 Permitir acesso ao usuário JOÃO, somente através do DFSMS
 PERMIT key-label CLASS(CSFKEYS) ID(JOAO) ACCESS(READ) WHEN(CRITERIA(SMS(DSENCRYPTION)))
 Permitir acesso a todos usuários, quando acessando através do DFSMS
 PERMIT key-label CLASS(CSFKEYS) ID(*) ACCESS(READ) WHEN(CRITERIA(SMS(DSENCRYPTION)))
Setup CKDS, etc
Setup SAF resources for key-label
Desenhado para suportar diferenciação de papeis de Data Owner e Data Manager

17. Cenário: Requisitos para Acesso à
Key Label
Acesso ao dado é separado do acesso à chave de criptografia
 Benefício: Habilidade de acesso ao key label baseado no papel. Apenas usuários que
necessitam acesso ao processamento do dado em branco possuem acesso à chave.
 Utilização padrão:
 Permitir acesso ao usuário JOSÉ, acessando por qualquer aplicação
 PERMIT key-label CLASS(CSFKEYS) ID(JOSE) ACCESS(READ)
 Permitir acesso ao usuário JOÃO, somente através do DFSMS
 PERMIT key-label CLASS(CSFKEYS) ID(JOAO) ACCESS(READ)
WHEN(CRITERIA(SMS(DSENCRYPTION)))
 Nota: Paulo, administrador de storage, não pode desencriptografar o dado.
Opcionalmente, pode ser indicado que Paulo não possui acesso explícito
 PERMIT key-label CLASS(CSFKEYS) ID(PAULO) ACCESS(NONE)
Os exemplos acima mostram que o uso de profiles CSFKEYS são baseados nas
necessidades de acesso. Flexibilidade é o objetivo.

18. Cenário: Requisitos para Acesso à
Key Label
Acesso ao arquivo é o mesmo do acesso à key label
 Benefício: Simplificação do gerenciamento de chave. Qualquer usuário com acesso de
leitura (ou superior) ao arquivo poderá encriptar/desencriptar o dado.
 Utilização padrão:
 Permitir acesso à key label para ser usada por qualquer usuário, acessando via
DFSMS
 PERMIT key-label CLASS(CSFKEYS) ID(*)
WHEN(CRITERIA(SMS(DSENCRYPTION)))
Os exemplos acima mostram que o uso de profiles CSFKEYS são baseados nas
necessidades de acesso. Flexibilidade é o objetivo.

19. Auditoria
19
 Auditores podem criar relatórios com informações de
SMF, listcat, DCOLLECT, etc.
 Listar arquivos criptografados e não criptografados
 Listar acessos a arquivos e listas de acesso
 Listar alterações em perfis de arquivos
Relatórios para mapeamento e auditoria

20. Criação de Arquivos Encriptados –
Key Labels
Um arquivo será definido como ‘encriptado’ quando uma key label for
fornecida em sua alocação
Ordem para fornecimento de uma key label:
 RACF Data set profile
 JCL, Alocação Dinâmica, TSO Allocate, IDCAMS DEFINE
 SMS: Data Class
Key label: 64-byte label of an existing key in the ICSF CKDS used for access
method encryption/decryption.
Encryption type: AES-256 bit key (XTS, protected key). Note: AES-256 key must
be generated as a secure key (i.e. protected by crypto express AES Master Key)

21. Compressão de Arquivos
 Dados encriptados não são comprimidos
 Backup e migração de dados encriptados podem impactar economia em
disco ou fita: Comprimir antes de encriptar!
 Sempre que possível, converta para formato comprimido
 Quando compressão é solicitada, o método de acessos trabalha com
compressão antes de encriptar
 Administrador de Storage pode atualizar classes de arquivos definidos via ISMF
via opção COMPACTION
 Administrador de Storage pode atualizar rotinas ACS via ISMF para selecionar
classes de dados para compressão
Política SMS para solicitor compressão

22.  Usários podem acessar dados em arquivos encriptografados
 Quando acessados via BSAM, QSAM, VSAM ou VSAM/RLS
– Acesso transparente… sem alterações nos aplicativos:
Dados criptografados ao serem gravados e desencriptografados na leitura
Obs: Aplicações que utilizem serviços de Media Manager podem necessitar de interface
para acessar arquivos criptografados.
Acesso ao Dado em Claro
Acesso a Dados em Arquivos
Encriptados

23. Conversão de Dados Existentes
para Dados Criptografados
 Dados existentes podem ser copiados a um novo arquivo
criptografado.
 Não há utilitários disponíveis para converter arquivos sem
desencriptografar e re-encriptar nos novos arquivos
 Utilitários podem ser utilizados para copiar, por exemplo
 ISPF 3.3 Copy data set
 IDCAMS REPRO
 IEBGENER

24. Resumo
 Dados podem ser protegidos por
políticas de criptografia para :
• Evitar alterações custosas em aplicativos
• Protege dados automaticamente, antes de sua
criação
• Criptografa dados em massa, em grande escala
• Simplifica e reduz custo de compliance
• Seja transparente às aplicações
• Controle de Acesso
• Use chaves de criptografia gerenciadas
pelo sistema
Uso de criptografia que:
Protege dados com simplificação de compliance
Referências Úteis:
https://ibm.biz/Bd2Zv9 (Pervasive Encryption)
https://ibm.biz/BdzZjx (FAQ)

25. EUGENIOf@br.IBM.com
IT Specialist for Security for Mainframe for Latin America
Consultor
IBM Certified
zChampion
Membro da Academia de Tecnologia da IBM
Pre Sales Support
(+55 11) 996 580 594
(+55 11) 2132-2861
Dúvidas

26. Comparison of data at rest
encryption
 Protects at the DASD subsystem level
 All or nothing encryption
 Only data at rest is encrypted
 Single encryption key for everything
 No application overhead
 Prevents exposures on
- Disk removal
- Box removal
- File removal
1 Any applications or middleware making use of VSAM, QSAM, BSAM access methods. Refer to individual ISV
documentation to confirm support of z/OS data set encryption.
Full Disk
Encryption
z/OS Data Set
Encryption
• Broadly encrypt data at rest
• Covers VSAM, DB2, IMS, Middleware,
Logs, Batch, & ISV Solutions1
• Transparent to applications
• Encryption …
- By policy
- Tied to access control
- Keys controlled by host
• Encrypt in bulk for low-overhead
• Prevents exposures on
- Mis-identification or mis-classification
of sensitive data
- Compliance findings related to
unencrypted data
z/OS Database
Encryption
• Data remains encrypted inside
the database
• Data in memory buffers is also
protected
• Very flexible key granularity
- Down to the row and column level for DB2
- Segment level for IMS
• Excellent separation of duties
• Transparent to applications
• Prevents exposures on
- Unauthorized viewing of encrypted
sensitive data
- Non-DBMS data access
- Unauthorized access to DBMS generated
datasets (i.e. logs)