מאת: אריה שמר, טכנולוג ו-presale למערכות Z, מלם תים
משפחת מערכות IBM z System , התשתית המסורתית למחשוב הארגונים הגדולים בעולם, הובילה את התעשייה במערכות האבטחה החזקות ביותר והמתקדמות ביותר ללא תחרות.
מערכות המחשבים האלו כללו אמצעי חומרה (מעבדים מצפינים) ואמצעי תוכנה (RACF), פרוטוקולים לאכיפת נוהלי והאבטחה וניטור פעולות המשתמשים בארגונים.
לנוכח איומי הסייבר המודרניים, נוספו אמצעי אבטחה וחוזקו יכולות ההצפנה וההגנה, כך שיתאימו לסיכונים החדשים המאיימים גם על הפלטפורמה המוגנת מכולם.
אמצעים אלו כוללים:
-
- מעבדי הצפנה חזקים יותר המאפשרים שימוש מורחב בהצפנת נתונים ללא תקורה (או בתקורה נמוכה מאד) של מערכת ההפעלה z/OS בצריכת משאבי ה-CPU.
- הצפנת כל הנתונים מקצה-אל-קצה מהפכנית (Pervasive Encryption), זמינה למחשבים החדשים במערכות אלה
- פותחו כלי תוכנה המאפשרים הצפנת כל הנתונים במחשב, ניהול מפתחות ההצפנה והגנה על הנתונים המאוחסנים על מערכי האחסון (DS8880).להלן 4 הדגשים על המרכיבים העיקריים של התשתית והכלים המאפשרים מימוש הטכנולוגיה והתפיסה של הצפנת כל הנתונים (Pervasive Encryption).
- מעבדי הצפנה- Crypto Express 6s
מעבדי הצפנה המותקנים במערכות Z ומאפשרים הצפנת כל הנתונים במערכת ה-z/OS.
מעבדי ה-Crypto Express 6s תומכים בכל סוגי שיטות ההצפנה המשמשות במגזרים העסקיים, הפיננסים (בנקים וחברות אשראי), ממשלה וכמובן מערכות הביטחון בעולם.
התוכנה ICSF אשר הינה חלק ממערכת ההפעלה z/OS, מאפשרת ניהול מעבדי ההצפנה ומפתחות ההצפנה על ידי מנהלן אבטחת המידע במערכת System Z.
מפתחות ההצפנה מאוחסנים בצורה מאובטחת (מוצפנים) בקבצי ניהול המפתחות השונים.
מפתחות ההצפנה לעולם לא יהיו גלויים, החל מרגע יצירתם, בזמן השימוש בהם ועד להפסקת השימוש והתפוגגות התוקף שלהם ומחיקתם.
המעבדים המצפינים מוגנים (Tamper-resistant) וכל ניסיון לחדור אליהם יגרום לאיפוס המידע שבתוכם.
2. ניהול מערכת ההצפנה – TKE (Trusted Key Entry)
TKE הינה תחנת עבודה מאובטחת, המאפשרת ניהול מערכת ההצפנה במחשבי ה-z System על ידי מנהלן אבטחת מידע אשר אינו צריך להכיר את ממשקי z/OS הרגילים כגון TSO/ISPF.
תחנת העבודה מכילה קורא כרטיסים חכם (או שני קוראי כרטיסים) לעמידה בדרישות אבטחת גישה ואימות.
בתחנת העבודה מותקן מעבד מצפין המיועד לאחסון המפתחות ושאר המידע הרגיש.
המעבד המצפין הייעודי, מוגן מפני חדירה (Tamper-resistant) ויגרום לאיפוס המידע והמפתחות במקרה של ניסיון חדירה.
הקשר בין תחנת העבודה לבין המחשב המרכזי, הינו קשר מאובטח ומוגן (SSL) ואינו מאפשר חדירה או חשיפת המידע המועבר בתווך התקשורת.
3. ניהול מפתחות הצפנה (לא רק ל-z)- EKMF
EKMF היא תוכנה המנהלת מספר רב של מפתחות הצפנה ותעודות בצורה מאובטחת ונוחה במיוחד (גם עבור הסביבה הפתוחה).
התוכנה מופעלת על ידי מנהלן אבטחת מידע בממשק גרפי נוח המאפשר איחוד ניהול כל סביבות ניהול המפתחות והתעודות בכלי אחד.
4. הגנת נתונים באחסון – IBM DS8880 SafeGuarded Copy
הנתונים במערכות האחסון הן ה”בטן הרכה” של איומי הסיבר המודרניים. למערכי האחסון ממשפחת DS8880 נוספה יכולת ייחודית בשם SafeGuarded Copy להגנה מאיומי סייבר הנוצרים ומתחדשים מידי יום ביומו.
תכונה זו מאפשרת יצירת העתקים רבים לנקודות זמן שונות על מנת להבטיח אפשרות התאוששות במקרה של התקפת סייבר או תקלה לוגית כלשהי.
ההעתקים שנוצרו אינם נגישים למשתמשי המערכת הרגילים, ואינם ניתנים למחיקה או לדריסה בשוגג או בזדון.
על מנת להשתמש בהעתק, על מנהלן המערכת לייצר מהעתק השמור, העתק המיועד להתאוששות או חקירת הסיבה לתקלה (או לשימוש בסביבת הטסט, הפיתוח או כל סביבה אחרת).
ההעתקים הנוצרים על ידי המנגנון הזה ניתנים לרפליקציה אל מערכת אחסון מרוחקת ועל ידי כך אף להגביר את ההגנה על ההעתקים הללו למקרה של תקלת חומרה במערך האחסון הראשי.