Kaita - IBM i: exit pointit ja pääsynhallinta
|

IBM i: exit pointit ja pääsynhallinta

Asiantuntijakirjoitus
Göran Nordman, IBM i asiantuntija, Kaita Finland

Valtaosa IBM i -asiakkaista sanoi tärkeimmäksi kehityskohteeksi tietoturvan suunniteltaessa IT-infran tulevaisuutta.

Kyberturvallisuus on suuri huolenaihe useimmille organisaatioille. On nähty paljon esimerkkejä polvilleen joutuneista organisaatioista, joita on kohdannut joku tietoturvaloukkaus. Ymmärrämme hyvin vahingot liiketoiminnalle, joita kyberturvallisuuden priorisoimatta jättäminen voi aiheuttaa.

Uhkakuva muuttuu jatkuvasti ja se pitää organisaatiot varpaillaan. Lisäksi erilaiset velvoittavat säännökset lisääntyvät ja tuovat omat vaatimuksensa.

Miten IBM i:n tietoturvaa parannetaan exit pointien avulla?

IBM i:n exit pointien avulla voidaan määrittää ja rajoittaa pääsyä laitteeseen eri rajapintojen kautta.

Exit pointin tehtävä on käynnistää halutun ohjelman suorittaminen, joka tarjoaa mahdollisuuden hallita pääsyä IBM i:n toimintoihin hyvin yksityiskohtaisella tasolla.

Exit-pointiin liitetään aina ohjelma. Ohjelma määrittelee, sallitaanko toiminnot perustuen ohjelmaan ennalta määritettyihin sääntöihin, kuten käyttäjäprofiiliin, IP-osoitteisiin tai objektien käyttöoikeuksiin. Ohjelman avulla voidaan myös kirjata kaikki tapahtumat lokiin monitorointia varten.

Esimerkiksi verkkoprotokollalla, kuten FTP, on oma exit point. Tämä tarkoittaa sitä, että voidaan luoda ohjelma, joka joko sallii tai evää mahdollisuuden tietyltä käyttäjältä esimerkiksi siirtää tiedosto.

4 tapaa hallinnoida pääsyä IBM i:hin exit pointien avulla

1. Verkko. IBM i:n tietokantaan saa suoraan yhteyden verkkoprotokollilla kuten FTP, ODBC, JDBC, DDM, DRDA tai NetServer. Tämä hyödyllinen ominaisuus voi aiheuttaa myös isoja ongelmia, jos sitä ei valvota asianmukaisesti.

Hyödyntäen verkkoprotokollien exit pointeja, pystytään tietokantaan pääsyä hallitsemaan hyvin tehokkaasti.

2. Tietoliikenneportit. Kaikilla tietoliikenneprotokollilla ei ole omia exit pointeja, kuten SSH, SFTP ja   Myös muita tietoliikenneyhteyksiä voi olla tarpeen hallita tavoilla, joihin tietoliikenneprotokollien exit pointit eivät ole sopivia.

Tästä syystä on olemassa myös socketeihin perustuvia exit pointeja, jotka mahdollistavat IBM i:n yhteyksien suojaamisen porttien ja IP-osoitteiden perusteella.

3. Tietokannat. Open Database File -exit pointia voidaan käyttää suojaamaan sensitiivistä tietoa luvattomalta pääsyltä. Sen avulla voidaan kontrolloida protokollia, joilla ei ole omia exit pointeja, kuten esimerkiksi open source- protokollia (mm. JSON, Node.js, Python tai Ruby). Tämä exit point tuo mukanaan huomattavan parannuksen tietoturvan tasoon, koska sitä voidaan kutsua aina, kun tietty tiedosto avataan, riippumatta siitä, onko tiedosto fyysinen vai looginen (SQL table tai SQL view).

4. Komennot. Komentokohtaiset exit-pointit mahdollistavat vielä normaalia objektitason suojausta tehokkaamman suojauksen. Komentokohtaisesti voidaan luoda ohjelmia, jotka rajoittavat komentojen suoritusta erittäin yksityiskohtaisesti jopa käyttäjille, joilla on vahvat valtuudet kuten *ALLOBJ tai *SECADM.

Järjestelmän tietoturvan taso nousee sekä täyttää vaatimukset, kun suojaus on tehty asianmukaisesti ja osaavasti. Exit-pointien avulla voidaan suojata IBM i:tä tehokkaasti. Hallinta vaatii kuitenkin järjestelmätason osaamista ja on yleensä aikaa vievää. Väärin toteutetulla ohjelmalla saattaa olla myös hidastavia vaikutuksia järjestelmän suorituskykyyn.

Exit point-ohjelmien luontiin ja hallintaan on olemassa useita vaihtoehtoja. Tähän tarkoitukseen tehdyn ratkaisun käytöllä voidaan helpottaa prosessia merkittävästi ja varmistaa, että ohjelmat on luotu niin, että ne toimivat halutulla tavalla, niiden vaikutus järjestelmän suorituskykyyn on minimaalinen ja että ne pysyvät ajan tasalla järjestelmän päivitysten myötä.

System Access Manager (SAM) tarjoaa IBM i -järjestelmän kulunvalvontaa.

SAM suojaa IBM i -järjestelmän ja sen sisältämät tiedot tehokkailla, joustavilla ja helposti ylläpidettävillä säännöillä käyttäen exit point -teknologiaa.

Otahan yhteyttä meihin, mikäli voimme auttaa IBM i tietoturvaan liittyvissä asioissa: goran.nordman@kaita.fi.