SlideShare a Scribd company logo

z/OS Pervasive Encryption

Luigi Perrone, profile picture
Luigi Perrone

Il documento discute l'importanza della protezione dei dati nei sistemi IT, enfatizzando l'adozione della crittografia come strumento di sicurezza. Il nuovo mainframe IBM z14 introduce il concetto di 'pervasive encryption', migliorando notevolmente la protezione dei dati 'at rest' e 'in flight' senza impatti sulle applicazioni. Viene presentata una panoramica delle diverse soluzioni di crittografia offerte, così come delle strategie di gestione delle chiavi essenziali per garantire una protezione efficace.

Software
1 of 22
Downloaded 19 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
IBM Z Security Luigi Perrone IBM SWG – Security Systems Security & Audit for zSystem & enterprise Security Intelligence solution luigi_perrone@it.ibm.com Settembre, 2017 Proteggere i dati con la Pervasive Encryption
2 IBM Security Il punto di partenza: qual è il vero patrimonio dei sistemi IT ? Innovation Data Sommersi da molteplici tecnologie che moltiplicano la diffusione di….
3 IBM Security Proteggere il dato: un «must» per la sicurezza • Da sempre, uno dei principali obiettivi della sicurezza risulta essere la protezione dei dati • Da sempre, la protezione dei dati è stata regolamentata mediante policy di sicurezza • Da sempre, il controllo degli accessi e della modalità di utilizzo dei dati avviene tramite tracciatura e reporting degli eventi Eppure…. Le probabilità nell’arco di 1 anno di avere una violazione dei dati Nel 2016 è stato calcolato il costo medio di un “data breach” Grazie anche alle normative internazionali, i controlli sulla sicurezza dei dati hanno assunto una giusta rilevanza Ora la preoccupazione è passata dal «se succede?» al «quando succede?»
4 IBM Security Diverse sono le tecniche e le soluzioni messe in campo… Tutto quello che è stato messo in atto può essere considerato sufficiente ai fini di una possibile violazione dei dati ? Un’infrastruttura di sicurezza ben organizzata prevede l’impiego di diverse soluzioni che consentono di coprire tutte le aree tematiche di sicurezza
5 IBM Security La crittografia come strumento di difesa del dato • Un efficace approccio per il rafforzamento nella protezione dei dati è rappresentato dalle soluzioni di crittografia • Il mercato offre diverse soluzioni di crittografia dei dati fornendo pro e contro Ma quali sono le reali problematiche legate all’adozione della crittografia ? Molto spesso occorre stabilire: • Quali sono i dati da criptare • Dove eseguire il processo di encryption. A carico di quale componente ? • Il costo della crittografia in termini di risorse • Quanti e quali «change» applicativi sono necessari • Chi è il responsabile del processo di encryption “Encrypting only the data required to achieve compliance should be viewed as a minimum threshold, not a best practice …”
6 IBM Security Coverage Complexity&SecurityControl App Encryption hyper-sensitive data Database Encryption Provide protection for very sensitive in-use (DB level), in-flight & at-rest data File or Dataset Level Encryption Provide broad coverage for sensitive data using encryption tied to access control for in-flight & at-rest data protection Full Disk and Tape Encryption Provide 100% coverage for in-flight & at-rest data with zero host CPU cost Protezione contro la manomissione e la perdita di dati o rimozione dei devices fisici Broad protection & privacy gestita a livello di Sistema z/OS Granular protection & privacy gestita direttamente a livello DB sia per il controllo dei dati che per la gestione delle chiavi Data protection & privacy fornita e gestita direttamente dale applicazioni. Generalmente utilizzata quando l’encryption non è disponibile o comunque non adatta agli scopi L’encryption su vasta scala è garantita dalle prestazioni fornite da Z14 CPACF Encryption si, ma a quale livello ?
7 IBM Security Il nuovo mainframe «rivoluziona» l’approccio all’encryption • Il nuovo mainframe Z14 consente di cambiare totalmente l’approccio all’encryption mediante il concetto di «Pervasive Encryption» per una completa soluzione di protezione del dato «at Rest» e «in Flight» senza alcuna incidenza sulle applicazioni • Con la Pervasive Encryption si raggiunge il massimo della flessibilità in termini di protezione dei dati, grazie alla possibilità di scelta di come deve essere applicata l’encryption L’applicazione estesa della Pervasive Encryption consente di: • Disaccoppiare l’encryption del dato dalla sua classificazione • Ridurre al minimo il rischio di avere dati sensibili scoperti in quanto non tempestivamente rilevati e non opportunamente classificati • Rendere più difficile agli hackers di identificare la tipologia del dato • Rafforzare la protezione del dato in ogni suo stadio • Soddisfare i requisiti di compliance riducendone i costi in termini di risorse
8 IBM Security Z14 Quanto è pervasiva l’encryption sullo Z14 ? Grazie alle funzionalità hardware e software offerta dallo Z14 e z/OS 2.3, è possibile declinare la soluzione di pervasive encryption su diverse specifiche aree: Integrated Crypto Hardware - CPACF & Crypto Express6S - Data at Rest – Dataset Encryption - File system & Database - Clustering - Coupling Facility - Network – zERT - Network approved encryption criteria - Secure Service Container - Secure deployment of software appliances - Key Management - Real-time, centralized management of keys & certificates -
9 IBM Security Z14 – Integrated Cryptographic Hardware • L’hardware messo in campo dal nuovo sistema Z14 è incomparabile con qualsiasi altra soluzione di mercato • La potenza, l’affidabilità, la velocità e la sicurezza delle operazioni di encryption/decryption consentono una totale trasparenza alle applicazioni ed alla continuità dei servizi. CP Assist for Cryptographic Functions (CPACF) • Hardware accelerated encryption per ogni core • Performance improvements: fino a 7x rispetto alla versione precedente • Migliori Prestazioni derivanti da una più bassa latenza nelle operazioni di encryption • Migliori prestazioni derivanti da una netta diminuzione di CPU overhead • Piattaforma con il più alto livello di protezione per le chiavi di encryption Hardware Crypto Express6S • Next generation PCI Hardware Security Module (HSM) • Performance improvements up to 2x • Industry leading FIPS 140-2 Level 4 Certification Design
10 IBM Security Z14 – z/OS Secure Service Container Una nuova LPAR che impone policy e standard di sicurezza per il deploy di software e firmware su virtual appliance in ambienti zLinux CF z/OS z/OS z/OS z/OS SANNetwork Storage System LinuxONE/ z Systems Secure Service Container Extending the value of z hardware crypto Protected-key CPACF – key value not visible to OS or application LinuxONE / z Systems • Simplified, fast deployment and management of packaged solutions • Tamper protection during Appliance installation and runtime • Confidentiality of data and code running within the Appliance both at flight and at rest • Restricts administrator access to workload and data • Secure Service Container architecture builds on the value z systems hardware crypto using a runtime environment designed to help clients reduce risk.
11 IBM Security Z14 – Coupling Facility Encryption • Uno stadio in cui il dato può essere vulnerabile è quello relativo alla Coupling Facility (CF) e alla CF Link infrastructure. • Analogo discorso per i dati allocati nelle CF structures che, non essendo criptati, potrebbero essere soggetti a possibili attacchi. Storage System CPACF CPACF CPACF CPACF z/OS CF CF z/OS z/OS SANNetwork abc *** *** XES z/OS Parallel Sysplex Cluster z/OS 2.3 Protection of data in-flight and in-use (CF) CPACF CPACFCPACF CPACF • L’encryption nelle strutture di CF può essere abilitata mediante CFRM policy senza effettuare alcuna modifica applicativa. • CPACF è un prerequisito alla realizzazione dell’encryption in Coupling Facility
12 IBM Security Z14 – z/OS Network Security • Con zERT è ora possibile monitorare gli stack IP in termini di encryption (se viene adottata oppure no, per quale tipo di traffico ed in che modo viene utilizzata) • Vengono supportate le connessioni TCP (TLS, SSL, SSH, Ipsec) + EE (IPsec) COMM SERVER COMM SERVER CF z/OS z/OS SANNetwork Storage System *** App A *** App Babc LinuxONE/Linux on z abc Protection of data in-flight z/OS 2.3 Discovery Reporting
13 IBM Security Data «at rest»: fino ad ora, con disk & tape encryption Un efficace metodo di encryption dei dati è sempre stato offerto dai dispositivi hardware di storage capaci di incaricarsi della elaborazione dell’encryption, senza andare ad intaccare la CPU del sistema DS8000 Disk Encryption L’encryption a livello di disk-drive assicura la protezione dei dati anche quando il disco viene sostituito, spostato o comunque rimosso Tape Encryption L’encryption a livello di tape-drive assicura la protezione dei dati quando devono essere archiviati o trasportati tra differenti data-center SAN Network Storage System abc abcz/OS CF z/OS z/OS LinuxONE/Linux on z xyzxyz *** *** abc abc
14 IBM Security Data «at rest» con Dataset Encryption • La novità della Dataset Encryption permette la granularità nella protezione del file-system senza alcuna necessità di modifiche applicative • Con semplici policy-routines è possibile realizzare la «Dataset Encryption» su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM Storage System In-memory system or application data buffers will not be encrypted CPACF z/OS CF z/OS z/OS SAN Network *** DB2,IMS, zFS, etc... LinuxONE/Linux on z abc *** z/OS 2.2 & 2.3 CPACF • Encryption effettuata in fase di allocazione dei dataset attraverso RACF, e/o routine SMS • Non è richiesto alcun «change» applicativo • Realizza una totale granularità nella protezione dei dataset (extended) • E’ perfettamente conforme alla SoD, distinguendo la gestione del controllo degli accessi ai dataset da quella delle key-label di encryption • Ogni operazione può essere tracciata per tutti gli scopi di audit LinuxONE/Linux on z DB server block device encryption CPACF ***
15 IBM Security Dataset encryption per rafforzare la SoD Data Owner (Gestione del contenuto-dati) Storage Admin (Gestione dell’organizzazione-dati) • Con la Dataset Encryption viene rafforzata la Separation-of-Duty tra chi deve operare sui dati e chi invece deve gestirne la loro organizzazione in termini di allocazione e memorizzazione. • Per poter accedere ai dati il data-owner deve avere sia l’autorizzazione di accesso al dataset che quella sulla key-label • Per poter gestire i dataset lo storage-admin deve avere accesso solo ai dataset • E’ possibile creare «griglie» di accesso ai dati differenti utilizzando differenti encryption- key ed encryption-label (COPY-DUMP-RESTORE-MIGRATE)
16 IBM Security RACF • CSFSERV • CSFKEYS • FACILITY (for SMS mode) ICSF+TKE Clear Key Protect Key Secure Key CKDS DFSMS DATASET PROFILE DFP Segment  DATAKEY(key label) PKDS • DATACLASS • ACS ROUTINES Gli step da eseguire per la Dataset Encryption 1 - ICSF SETUP 2 - RACF SETUP 3 - DFSMS SETUP CPACF CryptoExpress DATASET ALLOCATION/MIGRATION ( 1 RACF DATAKEY – 2 JCL DSKLBL – 3 SMS DATACLASS ) • Dataset/VSAM (define/copy) • DB2 (Online Reorg) • IMS (Online Reorg) ENCRYPTION VERIFY (SMF – LISTCAT – IEHLIST – DCOLLECT – CSI – ISITMGD)
17 IBM Security Dataset Encryption: come funziona ? TKE Symmetric Keys Asymmetric Keys Token AES DES RSA ECC Data Keys SecureorClearKeys Key Label + Data Key CKDS PKDS Key Label + Data Key TKDS Key Label + Data Key Digital Certificate RACF DFSMS JCL HSA wrapping key AES wrapping key DES Domain1 Lpar1 AES DES RSA ECC Master Keys CRYPTO EXPRESS CARD Domain2 Lpar2 DomainN LparN AES Key Label X ICSF IPL CONSOLE ICSF AddressSpace Richiesta allocazione Dataset recupero Key-label richiesta key encryption Data Encryption Dataset Encrypted wrapping 1 1 1 2 3 5 6 7 8 9 C D CPACF cpu HSA memory AES Key Label X decryption A Protected Key B 4
18 IBM Security App Encryption Database Encryption File or Dataset Level Encryption Full Disk and Tape Encryption Ma se facciamo Data Encryption, allora… KEY MANAGEMENT • Qualunque sia l’approccio alla data encryption è utile valutare se e quale soluzione di Key-Management adottare • La soluzione di Key Management deve avere capacità di integrazione nativa con soluzioni di encryption esistenti, capacità di essere conforme agli standard, capacità di fornire un preciso audit-trail, capacità di separazione dei ruoli tra (key & data mgmt) ICSF+TKE ( Master Keys + Operational Keys ) EKMF (Operational Keys ) SKLM (Operational Keys ) Self-Encryption Devices KMIP support
19 IBM Security Z14 – Encryption Key Management L’applicazione dell’encryption su vasta scala richiede un sistema di gestione delle chiavi semplice ed affidabile in termini gestionali e di sicurezza Le attuali soluzioni adottate in diversi ambiti IT sono caratterizzate da sistemi già in grado di operare in ambiente enterprise in quanto basati su specifici sw, oppure su soluzioni custom realizzate ad hoc per specifiche necessità. In molti casi, però, non esiste una gestione globale delle chiavi di encryption • Policy based key generation • Policy based key rotation • Key usage tracking • Key backup & recovery IBM Enterprise Key Management Foundation (EKMF) fornisce una gestione sicura e centralizzata per le chiavi crittografiche e per i certificati digitali, capace di supportare differenti piattaforme e key-stores . EKMF “key management for pervasive encryption must provide…”
20 IBM Security Z14 – zBatch Network Analyzer (zBNA) Come stimare l’eventuale carico di CPU determinato dall’utilizzo pervasivo dell’encryption ? zBNA Background: • A no charge, “as is” tool originally designed to analyze batch windows • PC based, and provides graphical and text reports • Available on techdocs for customers, business partners, and IBMers http://www- 03.ibm.com/support/techdocs/atsmastr.nsf/WebIndex/PRS5132 • Previously enhanced for zEDC to identify & evaluate compression candidates zBNA Encryption Enhancements: • zBNA will be further enhanced to help clients estimate encryption CPU overhead based on actual client workload SMF data • Ability to select z13 or z14 as target machine • Support will be provided for • z/OS data set encryption • Coupling Facility encryption zBNA 1.8.1
21 IBM Security Z14 – Gestire la pervasive encryption con semplicità ! Con semplici policy-routines è possibile realizzare la «Dataset Encryption» su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM zSecure Command Verifier: • Nuova policy di enforcement per l’utilizzo di DATAKEY zSecure Admin: • Nuove funzioni amministrative per il segmento DFP che contiene la DATAKEY zSecure Audit: • Nuovo reporting sull’utilizzo delle Key-Labels sia per VSAM che non-VSAM dataset - Extend existing report types DSN / SENSDSN • Nuovo reporting per la classe CSFKEYS - New report types ICSF_SYMKEY, ICSF_PUBKEY • Nuovo reporting sui sistemi con dischi shared e che possono/non-possono effettuare l’operazione di decryption (causa differenti livelli di sw) • Nuovo reporting derivante dai record SMF - Type 14/15 non-VSAM and Type 62 VSAM keylabel use - ICSF - zERT records to show encryption strengths IBM Security zSecure suite zSecure 2.3
THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.

More Related Content

PDF
Key management
Luigi Perrone
 
PDF
EKMF solution overview
Luigi Perrone
 
PDF
2017 racf 2.3 news
Luigi Perrone
 
PDF
Pervasive Encryption for DB2
Luigi Perrone
 
PPTX
Short Brocade Presentation
Leonardo Antichi
 
PDF
Fare sicurezza con zSecure
Luigi Perrone
 
PDF
Come integrare il mainframe con QRadar
Luigi Perrone
 
PDF
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
 
Key management
Luigi Perrone
 
EKMF solution overview
Luigi Perrone
 
2017 racf 2.3 news
Luigi Perrone
 
Pervasive Encryption for DB2
Luigi Perrone
 
Short Brocade Presentation
Leonardo Antichi
 
Fare sicurezza con zSecure
Luigi Perrone
 
Come integrare il mainframe con QRadar
Luigi Perrone
 
[Se T 05 0044] T I Prs Secure Log Appliance [2
Sandro Fontana
 

What's hot (6)

PDF
Company profile ingenium logic
Ingenium Logic srl
 
PDF
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
 
PDF
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
 
PPSX
Firewall, Antispam e ipmonitor
laisit
 
PDF
Proteggi il tuo cammino verso l’industria 4.
Jordi García
 
PDF
Sophos. Company Profile
TechnologyBIZ
 
Company profile ingenium logic
Ingenium Logic srl
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
 
L'impatto di ACME e Internal PKI nella sicurezza di medio-grandi infrastrutture
MarcoMarinello2
 
Firewall, Antispam e ipmonitor
laisit
 
Proteggi il tuo cammino verso l’industria 4.
Jordi García
 
Sophos. Company Profile
TechnologyBIZ
 
Ad

Similar to z/OS Pervasive Encryption (20)

PPTX
Forcepoint Overview
Leonardo Antichi
 
PPTX
11 arcadis
Andrea Colombetti
 
PPTX
Consolidamento e virtualizzazione
S.info Srl
 
PPTX
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
 
PDF
Come creare infrastrutture Cloud Sicure
Stefano Dindo
 
PPS
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
 
PDF
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
ciii_inginf
 
PDF
Open Security
Francesco Taurino
 
PPT
BYTE Engineering Services presentation
Dino Fornaciari
 
PDF
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
Ist. Superiore Marini-Gioia - Enzo Exposyto
 
PPTX
Cloudup, cloud server al minuto
ENTER S.r.l.
 
PPS
Sophos - Sicurezza dei Dati
M.Ela International Srl
 
PDF
Brochure-Piql-Preservation-Services-Italian
Toni Mancuso
 
PPTX
Presentazione meraki mdm
Lan & Wan Solutions
 
PDF
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy ❖✔
 
PDF
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Agenda digitale Umbria
 
PDF
Smau Milano 2014 - Stefano Fratepietro
SMAU
 
PDF
Cips webinar jetico - perché encryption e altre misure sono un must
Giovanni Zanasca
 
PPT
Spectrum protect family.laura
Laura Narducci
 
PDF
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
CONFINDUSTRIA TOSCANA NORD
 
Forcepoint Overview
Leonardo Antichi
 
11 arcadis
Andrea Colombetti
 
Consolidamento e virtualizzazione
S.info Srl
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
 
Come creare infrastrutture Cloud Sicure
Stefano Dindo
 
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
 
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto n...
ciii_inginf
 
Open Security
Francesco Taurino
 
BYTE Engineering Services presentation
Dino Fornaciari
 
ICDL/ECDL FULL STANDARD - IT SECURITY - CONCETTI di SICUREZZA - MINACCE ai DA...
Ist. Superiore Marini-Gioia - Enzo Exposyto
 
Cloudup, cloud server al minuto
ENTER S.r.l.
 
Sophos - Sicurezza dei Dati
M.Ela International Srl
 
Brochure-Piql-Preservation-Services-Italian
Toni Mancuso
 
Presentazione meraki mdm
Lan & Wan Solutions
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
at MicroFocus Italy ❖✔
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Agenda digitale Umbria
 
Smau Milano 2014 - Stefano Fratepietro
SMAU
 
Cips webinar jetico - perché encryption e altre misure sono un must
Giovanni Zanasca
 
Spectrum protect family.laura
Laura Narducci
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
CONFINDUSTRIA TOSCANA NORD
 
Ad

More from Luigi Perrone (6)

PDF
z/OS Authorized Code Scanner
Luigi Perrone
 
PDF
Sklm webinar
Luigi Perrone
 
PDF
Mfa.intro
Luigi Perrone
 
PDF
Come gestire l'encryption dei dati con SKLM
Luigi Perrone
 
PDF
IBM Qradar-Advisor
Luigi Perrone
 
PDF
Racf psw enhancement
Luigi Perrone
 
z/OS Authorized Code Scanner
Luigi Perrone
 
Sklm webinar
Luigi Perrone
 
Mfa.intro
Luigi Perrone
 
Come gestire l'encryption dei dati con SKLM
Luigi Perrone
 
IBM Qradar-Advisor
Luigi Perrone
 
Racf psw enhancement
Luigi Perrone
 

z/OS Pervasive Encryption

  • 1. IBM Z Security Luigi Perrone IBM SWG – Security Systems Security & Audit for zSystem & enterprise Security Intelligence solution luigi_perrone@it.ibm.com Settembre, 2017 Proteggere i dati con la Pervasive Encryption
  • 2. 2 IBM Security Il punto di partenza: qual è il vero patrimonio dei sistemi IT ? Innovation Data Sommersi da molteplici tecnologie che moltiplicano la diffusione di….
  • 3. 3 IBM Security Proteggere il dato: un «must» per la sicurezza • Da sempre, uno dei principali obiettivi della sicurezza risulta essere la protezione dei dati • Da sempre, la protezione dei dati è stata regolamentata mediante policy di sicurezza • Da sempre, il controllo degli accessi e della modalità di utilizzo dei dati avviene tramite tracciatura e reporting degli eventi Eppure…. Le probabilità nell’arco di 1 anno di avere una violazione dei dati Nel 2016 è stato calcolato il costo medio di un “data breach” Grazie anche alle normative internazionali, i controlli sulla sicurezza dei dati hanno assunto una giusta rilevanza Ora la preoccupazione è passata dal «se succede?» al «quando succede?»
  • 4. 4 IBM Security Diverse sono le tecniche e le soluzioni messe in campo… Tutto quello che è stato messo in atto può essere considerato sufficiente ai fini di una possibile violazione dei dati ? Un’infrastruttura di sicurezza ben organizzata prevede l’impiego di diverse soluzioni che consentono di coprire tutte le aree tematiche di sicurezza
  • 5. 5 IBM Security La crittografia come strumento di difesa del dato • Un efficace approccio per il rafforzamento nella protezione dei dati è rappresentato dalle soluzioni di crittografia • Il mercato offre diverse soluzioni di crittografia dei dati fornendo pro e contro Ma quali sono le reali problematiche legate all’adozione della crittografia ? Molto spesso occorre stabilire: • Quali sono i dati da criptare • Dove eseguire il processo di encryption. A carico di quale componente ? • Il costo della crittografia in termini di risorse • Quanti e quali «change» applicativi sono necessari • Chi è il responsabile del processo di encryption “Encrypting only the data required to achieve compliance should be viewed as a minimum threshold, not a best practice …”
  • 6. 6 IBM Security Coverage Complexity&SecurityControl App Encryption hyper-sensitive data Database Encryption Provide protection for very sensitive in-use (DB level), in-flight & at-rest data File or Dataset Level Encryption Provide broad coverage for sensitive data using encryption tied to access control for in-flight & at-rest data protection Full Disk and Tape Encryption Provide 100% coverage for in-flight & at-rest data with zero host CPU cost Protezione contro la manomissione e la perdita di dati o rimozione dei devices fisici Broad protection & privacy gestita a livello di Sistema z/OS Granular protection & privacy gestita direttamente a livello DB sia per il controllo dei dati che per la gestione delle chiavi Data protection & privacy fornita e gestita direttamente dale applicazioni. Generalmente utilizzata quando l’encryption non è disponibile o comunque non adatta agli scopi L’encryption su vasta scala è garantita dalle prestazioni fornite da Z14 CPACF Encryption si, ma a quale livello ?
  • 7. 7 IBM Security Il nuovo mainframe «rivoluziona» l’approccio all’encryption • Il nuovo mainframe Z14 consente di cambiare totalmente l’approccio all’encryption mediante il concetto di «Pervasive Encryption» per una completa soluzione di protezione del dato «at Rest» e «in Flight» senza alcuna incidenza sulle applicazioni • Con la Pervasive Encryption si raggiunge il massimo della flessibilità in termini di protezione dei dati, grazie alla possibilità di scelta di come deve essere applicata l’encryption L’applicazione estesa della Pervasive Encryption consente di: • Disaccoppiare l’encryption del dato dalla sua classificazione • Ridurre al minimo il rischio di avere dati sensibili scoperti in quanto non tempestivamente rilevati e non opportunamente classificati • Rendere più difficile agli hackers di identificare la tipologia del dato • Rafforzare la protezione del dato in ogni suo stadio • Soddisfare i requisiti di compliance riducendone i costi in termini di risorse
  • 8. 8 IBM Security Z14 Quanto è pervasiva l’encryption sullo Z14 ? Grazie alle funzionalità hardware e software offerta dallo Z14 e z/OS 2.3, è possibile declinare la soluzione di pervasive encryption su diverse specifiche aree: Integrated Crypto Hardware - CPACF & Crypto Express6S - Data at Rest – Dataset Encryption - File system & Database - Clustering - Coupling Facility - Network – zERT - Network approved encryption criteria - Secure Service Container - Secure deployment of software appliances - Key Management - Real-time, centralized management of keys & certificates -
  • 9. 9 IBM Security Z14 – Integrated Cryptographic Hardware • L’hardware messo in campo dal nuovo sistema Z14 è incomparabile con qualsiasi altra soluzione di mercato • La potenza, l’affidabilità, la velocità e la sicurezza delle operazioni di encryption/decryption consentono una totale trasparenza alle applicazioni ed alla continuità dei servizi. CP Assist for Cryptographic Functions (CPACF) • Hardware accelerated encryption per ogni core • Performance improvements: fino a 7x rispetto alla versione precedente • Migliori Prestazioni derivanti da una più bassa latenza nelle operazioni di encryption • Migliori prestazioni derivanti da una netta diminuzione di CPU overhead • Piattaforma con il più alto livello di protezione per le chiavi di encryption Hardware Crypto Express6S • Next generation PCI Hardware Security Module (HSM) • Performance improvements up to 2x • Industry leading FIPS 140-2 Level 4 Certification Design
  • 10. 10 IBM Security Z14 – z/OS Secure Service Container Una nuova LPAR che impone policy e standard di sicurezza per il deploy di software e firmware su virtual appliance in ambienti zLinux CF z/OS z/OS z/OS z/OS SANNetwork Storage System LinuxONE/ z Systems Secure Service Container Extending the value of z hardware crypto Protected-key CPACF – key value not visible to OS or application LinuxONE / z Systems • Simplified, fast deployment and management of packaged solutions • Tamper protection during Appliance installation and runtime • Confidentiality of data and code running within the Appliance both at flight and at rest • Restricts administrator access to workload and data • Secure Service Container architecture builds on the value z systems hardware crypto using a runtime environment designed to help clients reduce risk.
  • 11. 11 IBM Security Z14 – Coupling Facility Encryption • Uno stadio in cui il dato può essere vulnerabile è quello relativo alla Coupling Facility (CF) e alla CF Link infrastructure. • Analogo discorso per i dati allocati nelle CF structures che, non essendo criptati, potrebbero essere soggetti a possibili attacchi. Storage System CPACF CPACF CPACF CPACF z/OS CF CF z/OS z/OS SANNetwork abc *** *** XES z/OS Parallel Sysplex Cluster z/OS 2.3 Protection of data in-flight and in-use (CF) CPACF CPACFCPACF CPACF • L’encryption nelle strutture di CF può essere abilitata mediante CFRM policy senza effettuare alcuna modifica applicativa. • CPACF è un prerequisito alla realizzazione dell’encryption in Coupling Facility
  • 12. 12 IBM Security Z14 – z/OS Network Security • Con zERT è ora possibile monitorare gli stack IP in termini di encryption (se viene adottata oppure no, per quale tipo di traffico ed in che modo viene utilizzata) • Vengono supportate le connessioni TCP (TLS, SSL, SSH, Ipsec) + EE (IPsec) COMM SERVER COMM SERVER CF z/OS z/OS SANNetwork Storage System *** App A *** App Babc LinuxONE/Linux on z abc Protection of data in-flight z/OS 2.3 Discovery Reporting
  • 13. 13 IBM Security Data «at rest»: fino ad ora, con disk & tape encryption Un efficace metodo di encryption dei dati è sempre stato offerto dai dispositivi hardware di storage capaci di incaricarsi della elaborazione dell’encryption, senza andare ad intaccare la CPU del sistema DS8000 Disk Encryption L’encryption a livello di disk-drive assicura la protezione dei dati anche quando il disco viene sostituito, spostato o comunque rimosso Tape Encryption L’encryption a livello di tape-drive assicura la protezione dei dati quando devono essere archiviati o trasportati tra differenti data-center SAN Network Storage System abc abcz/OS CF z/OS z/OS LinuxONE/Linux on z xyzxyz *** *** abc abc
  • 14. 14 IBM Security Data «at rest» con Dataset Encryption • La novità della Dataset Encryption permette la granularità nella protezione del file-system senza alcuna necessità di modifiche applicative • Con semplici policy-routines è possibile realizzare la «Dataset Encryption» su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM Storage System In-memory system or application data buffers will not be encrypted CPACF z/OS CF z/OS z/OS SAN Network *** DB2,IMS, zFS, etc... LinuxONE/Linux on z abc *** z/OS 2.2 & 2.3 CPACF • Encryption effettuata in fase di allocazione dei dataset attraverso RACF, e/o routine SMS • Non è richiesto alcun «change» applicativo • Realizza una totale granularità nella protezione dei dataset (extended) • E’ perfettamente conforme alla SoD, distinguendo la gestione del controllo degli accessi ai dataset da quella delle key-label di encryption • Ogni operazione può essere tracciata per tutti gli scopi di audit LinuxONE/Linux on z DB server block device encryption CPACF ***
  • 15. 15 IBM Security Dataset encryption per rafforzare la SoD Data Owner (Gestione del contenuto-dati) Storage Admin (Gestione dell’organizzazione-dati) • Con la Dataset Encryption viene rafforzata la Separation-of-Duty tra chi deve operare sui dati e chi invece deve gestirne la loro organizzazione in termini di allocazione e memorizzazione. • Per poter accedere ai dati il data-owner deve avere sia l’autorizzazione di accesso al dataset che quella sulla key-label • Per poter gestire i dataset lo storage-admin deve avere accesso solo ai dataset • E’ possibile creare «griglie» di accesso ai dati differenti utilizzando differenti encryption- key ed encryption-label (COPY-DUMP-RESTORE-MIGRATE)
  • 16. 16 IBM Security RACF • CSFSERV • CSFKEYS • FACILITY (for SMS mode) ICSF+TKE Clear Key Protect Key Secure Key CKDS DFSMS DATASET PROFILE DFP Segment  DATAKEY(key label) PKDS • DATACLASS • ACS ROUTINES Gli step da eseguire per la Dataset Encryption 1 - ICSF SETUP 2 - RACF SETUP 3 - DFSMS SETUP CPACF CryptoExpress DATASET ALLOCATION/MIGRATION ( 1 RACF DATAKEY – 2 JCL DSKLBL – 3 SMS DATACLASS ) • Dataset/VSAM (define/copy) • DB2 (Online Reorg) • IMS (Online Reorg) ENCRYPTION VERIFY (SMF – LISTCAT – IEHLIST – DCOLLECT – CSI – ISITMGD)
  • 17. 17 IBM Security Dataset Encryption: come funziona ? TKE Symmetric Keys Asymmetric Keys Token AES DES RSA ECC Data Keys SecureorClearKeys Key Label + Data Key CKDS PKDS Key Label + Data Key TKDS Key Label + Data Key Digital Certificate RACF DFSMS JCL HSA wrapping key AES wrapping key DES Domain1 Lpar1 AES DES RSA ECC Master Keys CRYPTO EXPRESS CARD Domain2 Lpar2 DomainN LparN AES Key Label X ICSF IPL CONSOLE ICSF AddressSpace Richiesta allocazione Dataset recupero Key-label richiesta key encryption Data Encryption Dataset Encrypted wrapping 1 1 1 2 3 5 6 7 8 9 C D CPACF cpu HSA memory AES Key Label X decryption A Protected Key B 4
  • 18. 18 IBM Security App Encryption Database Encryption File or Dataset Level Encryption Full Disk and Tape Encryption Ma se facciamo Data Encryption, allora… KEY MANAGEMENT • Qualunque sia l’approccio alla data encryption è utile valutare se e quale soluzione di Key-Management adottare • La soluzione di Key Management deve avere capacità di integrazione nativa con soluzioni di encryption esistenti, capacità di essere conforme agli standard, capacità di fornire un preciso audit-trail, capacità di separazione dei ruoli tra (key & data mgmt) ICSF+TKE ( Master Keys + Operational Keys ) EKMF (Operational Keys ) SKLM (Operational Keys ) Self-Encryption Devices KMIP support
  • 19. 19 IBM Security Z14 – Encryption Key Management L’applicazione dell’encryption su vasta scala richiede un sistema di gestione delle chiavi semplice ed affidabile in termini gestionali e di sicurezza Le attuali soluzioni adottate in diversi ambiti IT sono caratterizzate da sistemi già in grado di operare in ambiente enterprise in quanto basati su specifici sw, oppure su soluzioni custom realizzate ad hoc per specifiche necessità. In molti casi, però, non esiste una gestione globale delle chiavi di encryption • Policy based key generation • Policy based key rotation • Key usage tracking • Key backup & recovery IBM Enterprise Key Management Foundation (EKMF) fornisce una gestione sicura e centralizzata per le chiavi crittografiche e per i certificati digitali, capace di supportare differenti piattaforme e key-stores . EKMF “key management for pervasive encryption must provide…”
  • 20. 20 IBM Security Z14 – zBatch Network Analyzer (zBNA) Come stimare l’eventuale carico di CPU determinato dall’utilizzo pervasivo dell’encryption ? zBNA Background: • A no charge, “as is” tool originally designed to analyze batch windows • PC based, and provides graphical and text reports • Available on techdocs for customers, business partners, and IBMers http://www- 03.ibm.com/support/techdocs/atsmastr.nsf/WebIndex/PRS5132 • Previously enhanced for zEDC to identify & evaluate compression candidates zBNA Encryption Enhancements: • zBNA will be further enhanced to help clients estimate encryption CPU overhead based on actual client workload SMF data • Ability to select z13 or z14 as target machine • Support will be provided for • z/OS data set encryption • Coupling Facility encryption zBNA 1.8.1
  • 21. 21 IBM Security Z14 – Gestire la pervasive encryption con semplicità ! Con semplici policy-routines è possibile realizzare la «Dataset Encryption» su tutti i dati presenti su file-system compreso i database di tipo DB2, IMS e VSAM zSecure Command Verifier: • Nuova policy di enforcement per l’utilizzo di DATAKEY zSecure Admin: • Nuove funzioni amministrative per il segmento DFP che contiene la DATAKEY zSecure Audit: • Nuovo reporting sull’utilizzo delle Key-Labels sia per VSAM che non-VSAM dataset - Extend existing report types DSN / SENSDSN • Nuovo reporting per la classe CSFKEYS - New report types ICSF_SYMKEY, ICSF_PUBKEY • Nuovo reporting sui sistemi con dischi shared e che possono/non-possono effettuare l’operazione di decryption (causa differenti livelli di sw) • Nuovo reporting derivante dai record SMF - Type 14/15 non-VSAM and Type 62 VSAM keylabel use - ICSF - zERT records to show encryption strengths IBM Security zSecure suite zSecure 2.3
  • 22. THANK YOU ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.