Sécurité mainframe : optimisations grâce à Virtel

Virtel aborde la sécurité mainframe à travers une variété d’interfaces de services fournies par z/OS. Cet article résume ces intermédiaires et examine quelques-unes des caractéristiques proposées par Virtel en matière de sécurité sur le mainframe.

Virtel et sécurité mainframe / Virtel and mainframe security features

Au sein de Virtel, un service ou applicatif métier est défini en tant que transaction Virtel, comme par exemple :

  • une application 3270, comme CICS OU TSO ;
  • un service web accédé via Virtel ;
  • des scénarios et modèles de modernisation ou d’intégration spécifiques ;
  • une fonctionnalité d’administration via les répertoires Virtel :
  • des macros Virtel.

L’ensemble de ces composants, essentiels à la logique métier, doit être sécurisé pour se prémunir de tout accès malveillant ou accidentel. En tant que serveur centralisé qui s’exécute directement sur le mainframe, Virtel tire parti de son environnement en se connectant aux différents sous-systèmes de sécurité mainframe, qu’ils soient internes comme RACF ou externes tels les serveurs LDAP. Ceci a pour avantage de rendre accessibles à Virtel tous les identifiants sécurisés enregistrés dans les bases de données du système. Pour toute transaction Virtel sécurisée et en fonction du niveau de sécurité choisi, Virtel validera les identifiants utilisateur grâce aux API du sous-système de sécurité standard, avant d’autoriser l’accès aux applicatifs ou services ciblés. Le processus d’identification dépend du niveau de sécurisation défini pour chaque élément. Cette échelle s’étend du statut public (la transaction est alors totalement dépourvue de sécurité) à l’authentification complète via certificat.

Sécurité mainframe : interface RACROUTE

Pour autoriser l’accès utilisateur, Virtel se connecte au sous-système de sécurité mainframe via l’API SAF RACROUTE générique, compatible avec les protocoles z/OS RACF, ACF2 et TOPS (en environnement VSE, Virtel s’appuiera sur le « VSE Security Manager »). Le premier niveau de sécurité transactionnel exige que l’utilisateur s’identifie ; le sous-système de sécurité prend ensuite le relais : le certificat peut alors être transmis à l’application cible, évitant ainsi toute double saisie.
Virtel utilise également cette interface pour protéger ses propres ressources internes et transactions, permettant à un administrateur de contrôler quelles transactions seront accessibles à un utilisateur donné. Cette sécurisation peut se faire grâce à un profil défini dans le sous-système de sécurité. De la même façon, les macros Virtel peuvent bénéficier de cette protection : l’administrateur pourra en autoriser l’accès de manière globale, à un groupe d’utilisateurs spécifique, ou encore individuellement.

Sécurité mainframe : authentification unique et support des Passticket

Les serveurs proxy supportant les Passticket tels que CA-SiteMinder© et IBM Tivoli WebSeal© offrent aux entreprises un système centralisé et sécurisé d’authentification unique (SSO). En général, ces produits fonctionnent sur un (ou plusieurs) serveur(s) externe(s) et fournissent un accès web aux applicatifs métier de l’entreprise.

Le processus de base consiste à piéger la demande d’appel entrant HTTP et d’en extraire un identifiant utilisateur (déterminé grâce à la demande de l’appelant ou son adresse IP par exemple), avant d’autoriser l’accès à un applicatif. Ces éléments d’identification seront validés par comparaison avec des données LDAP ou de tout autre serveur annuaire actif similaire, permettant ainsi d’autoriser ou de refuser l’accès de l’appelant à l’applicatif sollicité.

La sécurité et le contrôle d’applicatifs est géré par le serveur SSO central : il autorise l’accès à tous les applicatifs de l’entreprise, qu’ils se trouvent sur le système mainframe ou sur toute autre plateforme. Les fonctions du logiciel SSO utilisé assurent quant à elles la gestion des identifiants/mots de passe utilisateurs pour tous les applicatifs.
Virtel intègre parfaitement ce processus d’authentification SSO, et traitera la demande d’accès préalablement validée. De plus, grâce à ses propres règles internes, Virtel est capable à son tour de certifier que la demande transite bien par le serveur SSO légitime.

Sécurité mainframe : connexion expresse avec données sécurisées

Virtel est capable de participer à une connexion de données sécurisées en utilisant soit le serveur soit l’authentification serveur/client. En plus de sécuriser le trafic de données via HTTPS, cette fonctionnalité peut également être exploitée dans le cadre de sessions sécurisées, sans aucune identification utilisateur nécessaire : son login est alors extrait du certificat client, et un Passticket est généré pour assurer la gestion du mot de passe associé.

Paramétrer Virtel de façon à ce qu’il supporte les certificats clients et utilisateurs supprime efficacement pour ces derniers l’étape d’authentification. Cette fonctionnalité est équivalente à l’Express Logon Feature (ELF) du service Host on Demand d’IBM.

Sécurité mainframe : contrôle de l’allocation des ressources

Virtel possède des commandes permettant de déterminer quels applicatifs ou ressources mainframe associer à un utilisateur particulier, comme par exemple l’appellation d’une unité logique en fonction de l’adresse IP de l’appelant. Ces commandes sont mises en œuvre via des règles internes à Virtel et constituent une interface de sécurité supplémentaire. Sur la base d’une large variété de données d’identification (ID utilisateur, adresse IP appelante, nom de domaine…) les administrateurs Virtel peuvent également déterminer quelles transactions, ressources, noms, etc. seront accessibles sur le mainframe.

Virtel accède simultanément à la source appelante et aux métadonnées des applicatifs cibles. La solution est donc capable de contrôler les accès aussi bien via son langage interne (scénarios) qu’en s’associant aux sous-systèmes de sécurité externes, pour une sécurité mainframe accrue.

En savoir plus sur Virtel