Las implicaciones del desarrollo tecnológico en la auditoría de sistemas: IBM zEnterprise System.

Hola,

El pasado 22 de Julio IBM presentó el nuevo miembro de su gama más alta de productos de computación. IBM zEnterprise System. En líneas muy generales, zEnterprise System está compuesto por tres componentes principales: núcleos zEnterprise 196 (z196), aceleración de aplicaciones en rack de hardware independiente zEnterprise BladeCenter Extension (zBX) y ejecución multiplataforma con un único punto de control centralizado mediante zEnterprise Unified Resource Manager.

Para los que estéis familiarizados con los mainframes de IBM, este nuevo engendro comparte la arquitectura z/Architecture 2 (ARCHLVL 3) con System Z10. Impulsado por procesadores z196 5.2 GHz, formados por cuatro núcleos y con funcionamiento en ejecución fuera de orden u OoOE (Out-of-Order Execution), estas nuevas máquinas soportan hasta 3 TB de memoria DDR3 en una configuración especial de alta disponilibilidad llamada RAIM (Redundant Array of Independent Memory) que proporciona mecanismos de comprobación de errores y corrección de los mismos, lo cual es verdaderamente interesante habida cuenta de lo problemáticos que suelen ser los fallos de cualquier componente hardware de un mainframe, especialmente de la memoria.

Este nuevo juguetito, siempre según el fabricante, incrementa el rendimiento de z10 en un 60% con una reducción del consumo energético del 80%. A mí me parecen números un tanto forzados, seguramente producto de pruebas en laboratorio y no procedentes de una explotación real, aunque seguramente el rendimiento y el consumo han mejorado bastante. Para los que deseéis ampliar conocimiento sobre esta nueva familia, el pasado 28 de Julio se publicó, bajo el formato de Redbooks, zEnterprise System Technical Introduction. Este libro gratuito contiene información sobre z196, zBX y la gestión centralizada, y está especialmente indicado para casi todo tipo de perfiles, ya que no requiere conocimiento previo de la tecnología y terminología IBM System z. A los que les sepa a poco la introducción pueden optar por la guía técnica completa IBM zEnterprise System Technical Guide.

He querido seleccionar este lanzamiento para ilustrar un inconveniente que sufrimos los que nos dedicamos a la seguridad y a la auditoría de sistemas. La imparable evolución tecnológica trae consigo imparables cambios en la manera en la que gestionamos la seguridad y auditamos los sistemas. Estos cambios los pueden producir cambios en los negocios o cambios en la tecnología que los sustenta. Aquellos que creen que las cosas nunca cambian y que pueden sortear la evolución tecnológica sin refrescar conocimiento están condenados al fracaso, siendo la misma idea es aplicable a los que creen que los negocios siempre se hacen igual y que son invariables en el tiempo. Es por esto que lo primero que debe hacer un auditor es comprender bien, aunque sea la decimonovena vez que audita lo mismo, cuál es la situación actual del negocio y de la tecnología sobre la que tiene que opinar.

Para el caso que nos ocupa, zEnterprise System, parte del cambio de nomenclatura es meramente mercadotécnico, aunque sería injusto asumir que tras el cambio de nomenclatura sólo hay cambios estéticos. Existe un cambio muy relevante en la tecnología subyacente, y esto nos obliga a comprender los cambios para ver hasta qué punto nuestros programas de auditoría y seguridad precisan ser actualizados.

Esta labor de actualización también es relevante para los que explotan estas máquinas y planifican los cambios. Por ejemplo, z196 será el último servidor que soporte ISC-3 para Parallel Sysplex, con lo que los clientes deben migrar al nuevo formato de conexión Parallel Sysplex InfiniBand (PSIFB). Es sólo un ejemplo de los muchos cambios que, como cualquier otro producto que debe ser soportado, se van introduciendo con los cambios de versión. Por citar un ejemplo, imaginaos las repercusiones en la auditoría, derivadas de la nueva apuesta centralizada, que puede tener un cambio de arquitectura completo, donde una transacción determinada que antes pasaba por cinco dominios tecnológicos ahora sólo pase por un par de ellos.

Todos los cambios tienen implicaciones en cómo se aborda el análisis de seguridad o la auditoría de un sistema determinado, con lo que es crucial conocer las modificaciones para realizar un trabajo de calidad. Esto nos recuerda nuevamente la imperiosa necesidad que tenemos los que nos dedicamos a la seguridad y auditoría de infraestructuras tecnológicas de estar, permanente e inexcusablemente, atentos a los cambios de aquello que es susceptible de ser revisado como parte de nuestro cometido profesional.

Un saludo,

Seguridad en mainframes IBM

Hola,

No es frecuente hallar consenso cuando se habla de seguridad en mainframes IBM. En la mayoría de las ocasiones se asocia a la seguridad z/OS y en concreto, al control de acceso a recursos (RACF). Otros auditores se centran en la configuración de seguridad del producto o productos que se tengan para gestionar la seguridad, como por ejemplo Top Secret. También es usual, especialmente en entornos financieros, que la seguridad del mainframe haga referencia al estado de las facilidades criptográficas, habida cuenta de sus importantes implicaciones.

Esta variabilidad quizás se deba a que los mainframes son sistemas complejos donde corren aplicaciones igualmente complejas, con lo que no son habituales auditorías integrales que cubran todos los posibles elementos que guardan relación con la seguridad. Dependiendo de lo que nos diga la evaluación de riesgos, se suelen atacar aspectos individuales como los citados anteriormente con la finalidad de opinar sobre el estado de seguridad en relación a un alcance específico. Este planteamiento es perfectamente válido, si bien a la larga puede provocar que se desvirtúe el concepto de seguridad del mainframe, sobre todo si evaluamos únicamente determinados aspectos de forma repetitiva y no la totalidad de elementos que son susceptibles de análisis y que tienen implicación directa en la seguridad de estas máquinas transaccionales. Un ejemplo lo tenemos en el caso típico en el que de una manera recurrente se centra la evaluación de seguridad única y exclusivamente en RACF, pero en el que no se evalúan otros componentes críticos como CICS, IMS o DB2, por poner alguos ejemplos, o aquellas auditorías donde no se tienen en cuenta las particularidades del sistema operativo que corra en la máquina (normalmente z/OS, pero donde pueden existir z/VM, z/VSE, z/OS UNIX o Linux para zSeries) ni la seguridad inherente a las aplicaciones instaladas en la máquina.

Para todos aquellos interesados en tener una visión global de la seguridad de los mainframes, IBM ha publicado un texto llamado Security on the IBM Mainframe, en el que podemos encontrar una descripción amplia y muy completa de los distintos componentes que guardan relación con la seguridad en una máquina de este tipo. Además de una introducción y un repaso histórico, en el texto hay referencias técnicas a la arquitectura Z, al impacto de la virtualización en la seguridad (z/VM), nociones sobre seguridad en otros sistemas como z/VSE y z/TPF y cómo no, la seguridad clásica del z/OS (criptografía, red, almacenamiento, aplicaciones, servicios, SAF y RACF) así como las implicaciones en la seguridad de los componentes usuales en un despliegue z/OS (parallel sysplex, JES, SMF, GRS … etc.)

En el libro también hay referencias a otros elementos menos comunes pero igualmente relevantes, como z/OS Healthchecker, complementos a RACF, la seguridad de componentes Java y la familia Tivoli (TIM/TAM), así como referencias a lo que el texto llama security exploiters (bases de datos DB2, transaccionalidad CICS, base de datos IMS e integradores MQ)

Un texto muy completo y donde se ofrece una visión general de la seguridad en mainframes IBM más que aceptable, que además cuenta con la ventaja de que prácticamente cada concepto tratado suele estar desarrollado con mayor profundidad en algún otro paper, redbook o recurso de IBM, con lo que aquellos que deseen profundizar en algún apartado lo tendrán más fácil empleando los recursos en línea gratuitos que ofrece el fabricante.

Una lectura muy recomendable para administradores de seguridad de esta plataforma, para auditores de sistemas y en general para todo aquel que tenga curiosidad en la materia.

Un saludo,