IBM og Datatilsynet uenige om mainframe-sikkerhed

Illustration: leowolfert/Bigstock
Datatilsynet kritiserer brugen af logiske partitioner på CSC's mainframe i forbindelse med hackerangrebet i 2012. Systemerne burde have været fysisk adskilt. IBM er uenig.

Fysiske servere og logiske partitioner er ikke det samme, når det gælder om at holde it-systemer adskilt. Det er et af kritikpunkterne i Datatilsynets afgørelse i en undersøgelse af sikkerheden omkring Rigspolitiets it-systemer i forbindelse med hackerangrebet i 2012.

»Opdeling af én mainframe i fire LPAR'er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes,« lyder ét af de centrale kritikpunkter fra Datatilsynet i afgørelsen

Læs også: Hullet webserver hos CSC delte virtuel server med Schengen-register

Mainframes arbejder med logiske partitioner kaldet LPAR, som fungerer stort set som en hypervisor fra virtuelle maskiner på andre platforme. Det vil sige, at der på den samme hardware kan afvikles et antal virtuelle maskiner, som deler hardwareressourcer, men ikke kan se hinanden og holdes adskilt.

Et af IBM's argumenter for at vælge mainframen frem for virtualisering på eksempelvis x86-servere er imidlertid, at mainframe-arkitekturen sikrer en adskillelse mellem de enkelte LPAR, der svarer til, at det var fysisk adskilte maskiner.

»Z Systems LPAR-separation er certificeret til EAL5+-niveau, hvilket betyder, at systemet kan konfigureres og drives, så det er at sidestille med fysisk separate maskiner,« siger Christopher Fabritius fra IBM Danmarks Systems Group til Version2.

Certificeringen indebærer helt overordnet, at en applikation på én LPAR ikke kan tilgå data, der tilhører en anden LPAR.

»IBM er uenig med Datatilsynets formulering om, at LPAR sikkerhedsmæssigt ikke kan sidestilles med fysiske separate maskiner,« siger Christopher Fabritius.

Nøgleordene er imidlertid 'kan konfigureres', for det vil i praksis afhænge af, hvordan mainframen er sat op. Det gælder dog også for fysisk adskilte servere i samme datacenter.

Hos Datatilsynet holder man fast i formuleringen i forhold til sagen om Rigspolitiets systemer:

'Fysisk adskillelse og logisk adskillelse er jo ikke det samme - og om det kan sidestilles, må vurderes konkret. Den konkrete sag viser, hvor galt det kan gå,' skriver kontorchef Lena Andersen fra Datatilsynet i et e-mailsvar til Version2.

I sagen om hackingen af Rigspolitiets systemer var det et sikkerhedshul i en webserver, der tilhørte Moderniseringsstyrelsen, som kørte på den samme LPAR, der gav hackerne den første adgang til CSC's mainframe.

Da både webserveren og flere af Rigspolitiets systemer kørte på den samme LPAR og brugte den samme RACF-adgangskontrol til autentificering af brugere og styring af rettigheder, var det muligt at udvide angrebet fra Moderniseringsstyrelsen til Rigspolitiet.

Datatilsynets kritik går imidlertid ikke kun på, at Moderniseringsstyrelsen og Rigspolitiet delte en LPAR, men derimod på, at der på samme mainframes var forskellige LPAR med både systemer som Schengen-informationssystemet og kørekortregistret samt websteder, der var tilgængelige fra internettet.

Rigspolitiets systemer burde ifølge Datatilsynets kritik have kørt på fysisk adskilte maskiner og ikke blot forskellige logiske partitioner eller virtuelle maskiner.

Ifølge Datatilsynets svar vil det dog komme an på en konkret vurdering fra sag til sag, hvorvidt der er tilstrækkelig sikkerhed, hvis man afvikler sine systemer på samme fysiske server, men på forskellige virtuelle maskiner.

Tilsvarende vil det komme an på den konkrete konfiguration, hvorvidt sikkerheden mellem både fysisk og virtuelt adskilte servere er tiltrækkelig.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Der var vist nogen, som fik travlt med at beskytte deres forretning.

Inden vi fortaber os i diskussioner om angreb på (og indefra) virtualiseret hardware, og side-channel attacks, så lad os lige huske på, at dels var der ikke tale om gødningsregnskaber for landmænd eller indkøbsaftaler for kommunale fælleskøkkener, men derimod stærkt følsomme oplysninger kun til brug for ordensmagten hhv. staten. Det stiller altså andre krav, f.eks. i forhold til fremmede magter.

Og dels så er der mange andre og langt mere åbenlyse problemer, som f.eks. delt filsystem, fælles rettighedsdatabase (som var det eneste som stod imellem de enkelte LPARs?), samdrift af applikationer med vidt forskellig sikkerhedsprofil og firewall konfigureret til mindste fællesnævner.

For ikke at tale om, at man havde midlertidige og stærkt følsomme udtræk liggende mere eller mindre permanent på filsystemet (i flere kopier!). Clean desk policy, anyone? Og det er tilsyneladende også det første, man er løbet med. Hvorfor bruge tid på pengeskabe, når man kan samle det op fra gulvet, hvor det ligger og roder?

Så lad os bare her diskutere om virtualisering er tilstrækkeligt sikkert til Politiet, men lad det ikke i øvrigt tage opmærksomheden fra de øvrige problemer.

  • 19
  • 0
Poul-Henning Kamp Blogger

Det er balladen om VLANs igen:

VLANs adskiller administrativt, men ikke sikkerhedsmæssigt.

LPAR adskiller administrativt, men ikke sikkerhedsmæssigt.

Kun hvis man holder helt rene linier administrativt kan disse faciliteter bidrage til sikkerheden.

  • 9
  • 3
Maciej Szeliga

Kun hvis man holder helt rene linier administrativt kan disse faciliteter bidrage til sikkerheden.


Både store netværksfirmaerog sikkerhedsfirmaer fremhæver VLAN som sikkerhedsmæssigt god løsning, det er lidt op ad bakke for SysAdmins m.v. at overbevise direktionerne (primært pga. økonomien) om at det ikke er "sikkert nok"...
LPAR løsningen har i det mindste en fin guldrandet certificering for at det er "godt nok".

  • 0
  • 0
Poul-Henning Kamp Blogger

Både store netværksfirmaerog sikkerhedsfirmaer fremhæver VLAN som sikkerhedsmæssigt god løsning

Jamen både VLAN og LPAR's er gode ting for sikkerheden, det er der ingen tvivl om.

Men det er ikke magisk tryllestøv der betyder at hvis man bruger dem, er sikkerheden på plads.

Det er værktøjer, gode stærke værktøjer, men de skal bruges rigtigt hvis det skal forbedre sikkerheden.

  • 9
  • 0
Peter Makholm

Jeg kan ikke rigtigt se hvordan diskussionen vedrørende hvilket niveau af sikkerhed opdelignen i LPAR'er giver. Som jeg læser Datatilsynets rapport foregår alt det sjove i LPAR'en D11:

På forespørgsel har Rigspolitiet oplyst, at den implicerede webserver, som var installeret og aktiv i LPAR D11, havde til formål at give adgang fra internettet til portalen "www.tjenestemandspension.dk".

...

Af oplysningerne fra Rigspolitiet fremgår, at konsistenscheck af data i Schengen-informationssystemet er foregået i LPAR D11 ved anvendelse af et batch-job. I forbindelse med konsistenschecket er der blevet foretaget et dataudtræk af oplysningerne i Schengen-informationssystemets database til filen X.

...

Rigspolitiet har oplyst, at filen X er kopieret fra disksystemet tilknyttet mainframen ud på internettet via LPAR D11.

Det vil sige at skaden er sket uden at det har været nødvendigt at går på tværs af de forskellige LPAR.

  • 8
  • 0
Christopher Fabritius

Hej Poul
Det er ikke korrekt.

Common Criteria evalueringen foretages af uafhængige laboratorier efter en model, der er enighed om mellem medlemmerne af organisationen bl.a. det danske Center for Cybersikkerhed og National Security Agency.

Du kan finde hele medlemslisten her.

Den samme proces anvendes til at vurdere de enkelte komponenter, så både hardware, virtualisering og operativsystemer vurderes individuelt, og i nogle tilfælde samlet.

Du kan finde den seneste vurderingsrapport på hardware- og software virtualisering, cryptografi implementering og software produkter her: http://www-03.ibm.com/security/standards/security_evaluations.html, hvor der er direkte links til de relevante rapporter, som er offentligt tilgængelige og meget præcist beskriver både metodik for forudsætninger for opfyldelse af certificeringskravene.

  • 4
  • 0
Ivo Santos

Jeg fatter ikke at visse typer databaser så som pas, kørekort, cpr register, o.s.v. overhoved er tilgængeligt på internettet i det hele taget, for have de pågældende database kørt på et lukket netværk, så havde det været en del sværre at hacke de pågældende systemer.

Intet er naturligvis umuligt, dog kræves der at en evt. hackning skal udføres som et internt hack i stil med det Snowden fuldførte.

  • 3
  • 0
Peter Makholm

Jeg har lige et uddybende spørgsmål til Christopher Fabritius:

Baseret pa Datatilsynets oplysninger om sikkerheden, mener du at omtalte mainframe er sat op på en sikkerhedsmæssig forsvarlig måde?

Specifikt tænker jeg på følgende dele

  • Schengen-systemet delte LPAR med en ikke-sikret webserver
  • RCAF-systemet var delt mellem de 4 LPAR'er
  • Data blev lagret på et filsystem tilgængeligt fra alle fire LPAR'er

Det tre detaljer finder jeg langt mere interessant end en hypotetisk diskussion om hvorvidt adskillelsen i LPAR'er kan konfigureres til at give en sikkerhed på niveau med fysisk adskillelse. Alene sidste punkt antyder at dette ikke er sket i det aktuelle tilfælde.

  • 16
  • 0
Poul-Henning Kamp Blogger

Common Criteria evalueringen foretages af [...]

Pointen er ikke hvem der foretager vurderingen, men hvad de har at kigge på.

Vedr. f.eks PR/SM har de ikke haft adgang til andet end IBMs dokumentation, der er ingen der uafhængigt har checket om hardwaren faktisk gør det IBMs dokumentation påstår.

EAL-hejset er et fint dokument-check af om folk har tænkt sig om i designfasen, men det fejler totalt når det kommer til at checke om designet faktisk er blevet bygget.

  • 9
  • 1
Jarnis Bertelsen

IBMs politik er, at vi ikke udtaler os om konkrete kundesager.

Hvad så med et hypotetisk sprøgsmål:
Mener du at en mainframe kan være sat op på en sikkerhedsmæssig forsvarlig måde hvis:
a) Et system med strengt fortrolige personoplysninger deler LPAR med en ikke-sikret webserver
b) RCAF-systemet for den pågældende LPAR er delt med 3 andre LPAR'er benyttet uafhængige/urelaterede systemer
c) Data bliver lagret på et filsystem tilgængeligt fra alle fire LPAR

Bemærk, spørgsmålet er tænkt helt generelt og hypotetisk, og enhver sammenhæng med setup for konkrete kunder er tilfældigt.

  • 17
  • 0
René Nielsen

I min verden er det „helt sort“ at stærkt følsomme oplysninger overhoved kører på en delt maskine. Når vi snakker sikkerhed, så indbefatter det at alle systemer kan hackes - også IBM´s mainframe – derfor bør vi ikke løbe risikoen med at samle stærkt følsomme oplysninger på en kværn!

Det er fuldstændig irelevant om sikkerhedssystemet kan konfigureres eller ikke. Fordi vi ikke ønsker at løbe risikoen.

Personligt tror jeg ikke på at sikkerhedssystemet bliver stramt, fordi det er besværligt at håndter i dagligdagen. Stramt sikkerhed koster hver dag ekstra arbejdstid og jeg tror ikke på at det på et delt system er højste fællesnævner som vælges. Det er snare laveste fællesnævner

Dertil kommer at årsagen til at det det kører på en delt maskine utvivlsomt er økonomien i hardwaren. Men de penge en mainframe koster bliver til pebbernødder ved siden at det mertidsforbrug som er forbundet med en stram sikkerhed. Derfor tror jeg ikke på at sikkerheden på mainframe er høj nok, for det er et spørgsmål om hvad man gør og ikke hvad der (teoretisk) kan gøres.

  • 9
  • 3
Poul-Henning Kamp Blogger

I min verden er det „helt sort“ at stærkt følsomme oplysninger overhoved kører på en delt maskine.

Her skal man ikke glemme at hverken Rigspolitiet ELLER SKAT, Moderniseringsstyrelsen, Indenrigsministeriet reagerede på sammenrodningen hos CSC.

Alle fire myndigheders persondataansvarlige har svigtet i forhold til deres lovfæstede ansvar.

  • 20
  • 0
Jesper Frimann

@René V. Nielsen

"I min verden er det „helt sort“ at stærkt følsomme oplysninger overhoved kører på en delt maskine"

Hvis du med delt maskine mener en fysisk maskine, så er jeg uenig.
Jeg mener, at det er seriøst ramt ved siden af målet, når man sådan går efter mainframe hypervisoren. Det her lugter jo af langt væk af et design der så at sige 'stinker' rent sikkerhedsmæssigt.
Og hvis man reducerer det her til et spg. om hvor sikker PRSM er ... så afspores hele debatten IMHO.

// Jesper

  • 4
  • 0
Povl H. Pedersen

Det grundlæggende problem her er, at der slet ikke var styr på sikkerheden. Man kan så diskutere nogle af de konkrete findings, og sikre sig at der tages hånd om dette. Men det grundlæggende problem er/var, at der ikke var nogen der følte at det var deres personlige ansvar at sørge for at sikkerheden var i orden. Så ville public webserver heller ikke ligge med fortrolige data.

Det er derfor man outsourcer, så er der ikke længere nogen der har et personligt ansvar for den tekniske implementering, for leverandøren skal jo være ressource uafhængig, og kunne skalere leverancerne.

CSC har ikke nødvendigvis vidst at der var hemmelige data på maskinen. De driver bare nogle services i en LPAR for en kunde. Og hvis der ikke i kontrakten er aftalt noget om patchfrekvenser, og pro-aktiv handling, så har man vel fået den ydelse man betaler for. Det er derfor outsourcing er billigt.

Outsourcing bærer nok en stor del af skylden.

  • 14
  • 0
Ulrik Suhr

I min verden er det „helt sort“ at stærkt følsomme oplysninger overhoved kører på en delt maskine. Når vi snakker sikkerhed, så indbefatter det at alle systemer kan hackes - også IBM´s mainframe – derfor bør vi ikke løbe risikoen med at samle stærkt følsomme oplysninger på en kværn!

Vi er enige, men tror ikke de ansvarlige forstår konceptet.
Hmmm tja tror man kan spørge NSA om de syntes adskillelse er en god ting?

Spøg til side.
Så viser historien at banale ting også kan ske så derfor adskiller man systemer som er kritiske.

Vand/Rotter/Strøm/Rengøringen/Intern & Extern Hacking/Fejl

Den ene ting udelukker ikke det andet.

  • 1
  • 0
René Nielsen

Hvis du med delt maskine mener en fysisk maskine, så er jeg uenig.
Jeg mener, at det er seriøst ramt ved siden af målet, når man sådan går efter mainframe hypervisoren. Det her lugter jo af langt væk af et design der så at sige 'stinker' rent sikkerhedsmæssigt.
Og hvis man reducerer det her til et spg. om hvor sikker PRSM er ... så afspores hele debatten IMHO.

Jeg har arbejdet indenfor IT i over 20 år og jeg har endnu tilgode at finde et fejlfrit system.

Det er helt fint med mainframe hypervisor til gødningsregnskaber for landmænd eller til indkøbsaftaler for kommunale fælleskøkkener, men det er ikke en risiko jeg ville løbe til systemer med stærkt følsomme oplysninger.

Der hvor jeg arbejder i dag, var der forlængst delt fyresedler ud, hvis landets datatilsyn havde skrevet noget sådan om gesjäften.

Som beslutningstager løber du mange flere risici ved at vælge en hypervisor - fordi du lægger alle dine æg i den samme kurv.

  • 7
  • 4
Mike Mikjær Blogger

"Tak for dit spørgsmål, men IBMs politik er, at vi ikke udtaler os om konkrete kundesager."

Oversættelse: Vi ved godt at vi har dummet os, og vi tror på at problemet går væk hvis vi tier det ihjel.

Det minder mig om min lillebror der med hele hovedet fuld at krummer hårdnakket påstod at det ikke var ham der havde tømt pakken med småkager!

  • 10
  • 3
Jesper Frimann

@René V. Nielsen

Der eksisterer vel ikke et system, der ikke har en eller anden form for fejl.

Men det er jo et spg. om 'godt nok'.

Hvis du f.eks. ser på f.eks. CPR systemet, så skal de jo kunne destrueres i tilfælde af krig (CPR loven paragraf 55). Ego skal hele befinde sig i et dedikeret fysisk environment, hvor teoretisk en eller anden formodentlig jægersoldat med fysiske midler ville kunne permanent slette systemet.
Og man kan jo så sige, at vi jo nok er lidt ude i samme situation med de systemer, man har med at gøre her.

Men at antyde at det er uansvarligt at køre med 'stærkt følsomme' oplysninger på virtualizerede maskiner på samme hardware er .. ja .. Det har man gjort i årtier, før både du og jeg startede i branchen.

Man skal selvfølgelig lave tingene ordentligt, der skal faglighed til. Men det skal der også, hvis du laver tingene med dedikerede fysiske maskiner.

Og som jeg læser Datatilsynets rapport, så havde det intet ændret, hvis man havde lagt D11 LPAR'en på en dedikeret maskine. Det er ikke det, (hypervisor /ikke hypervisor) der er humlen her.

Det er simpelt hen et crappy sikkerheds design, som jeg læser det.

Hvem der så har skylden for det (hvis nogen), skal jeg ikke gøre mig klog på.

// Jesper

  • 0
  • 0
Bjarne Nielsen

Og som jeg læser Datatilsynets rapport, så havde det intet ændret, hvis man havde lagt D11 LPAR'en på en dedikeret maskine. Det er ikke det, (hypervisor /ikke hypervisor) der er humlen her.

Nej, der er sandelig nok at tage fat på, inden vi kommer til diskussionen om virtualisering hhv. fysiske maskiner.

Men nu har Datatilsynet kun fokuseret på Rigspolitiet i denne omgang, og har her givet Schengen registeret særlig opmærksomhed. Der er også andre dataansvarlige, som er blevet berørt, så vi er nok kun lige begyndt. Så mon vi kan vel regne med flere udtalelser?

... og mon ikke diskussionen om virtualisering af hardware så kommer op igen? Det er mange gange nemmere at indse at to fysiske maskiner er tilstrækkeligt adskilt; om ikke andet, så kan det fikses med en bidetang.

  • 0
  • 0
Jesper Frimann

@Bjarne Nielsen
"Nej, der er sandelig nok at tage fat på, inden vi kommer til diskussionen om virtualisering hhv. fysiske maskiner."

Meget Enig.

"... og mon ikke diskussionen om virtualisering af hardware så kommer op igen? Det er mange gange nemmere at indse at to fysiske maskiner er tilstrækkeligt adskilt; om ikke andet, så kan det fikses med en bidetang."

Jeg forstår hvor du er på vej hen, meeeen. Problemet er jo, at hvis man er på et sådan fagligt niveau, at man behøver fysiske adskilte maskiner, for det er nemt nok til, at man kan designe en løsning, der bare er nogenlunde sikker. Så er der IMHO stor sandsynlighed for, at 'man' laver fundamentale design fejl andre steder i løsnings stakken, der er sikkerhedsmæssig uforsvarlig.

Dermed ikke sagt at man ikke tit kan være nødt til at vælge en dedikeret fysisk maskine enten af økonomiske, sikkerhedsmæssige eller praktiske grunde.

Men... jeg vil sige, hvad jeg gang på gang har sagt, når det kommer til sådan noget her. (Og sku blev fyret for at sige et sted) Det drejer sig om nok faglighed, og forståelse for, hvad det er, man har med at gøre.

Og det er jo ikke fordi, at der ikke er dygtige IT-folk i det offentlige.
Jeg kender faktisk en fantastisk dygtig IT-person hos Rigspolitiet, der så absolut har fagligheden i orden.

Men der er mange fortidens synder og igen så er IT jo en spare kniv der sidder i finansministeriets batmandsbælte, og ikke en del af 'core business', som det nok burde være.

// Jesper

  • 1
  • 0
Henrik Kramshøj Blogger

Hej Christopher

Da jeg søgte efter EAL5 og z system fandt jeg denne. Før jeg så dine links

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Repor...

In this ST, the TOE is seen as one instance of z/OS running on an abstract machine as the sole operating system and exercising full control over this abstract machine. This abstract machine can be provided by one of the following:
• a logical partition provided by PR/SM on an IBM System zTM processor (z890, z990, z9TM 109, z9TM BC, z9TM EC, IBM System z10TM Business Class, or IBM System z10TM Enterprise
Class ).
• a certified version of z/VM® executing in a logical partition provided by PR/SM on one of the above-listed System zTM processors.

ONE instance, dvs hver eneste installation af z System som bruger LPAR er helt udenfor den certificeringstarget. Target er det som certificeres, og reelt siger EAL5 således INTET om det resterende. Target of Evaluation.

Jeg fandt noget lignende i en af dine, du linkede til en side med MANGE rapporter med delkomponenter osv. Så det er uklart hvilken en du specifikt mener. Det er også interessant hvad version der blev brugt hos CSC, kan ikke mindes det har stået præcist nogen steder?

Nå men EAL5 er sjældent noget som har relevans i praksis, når vi taler IT-sikkerhed. Faktisk tværtimod. Det er en statisk target, som man selv definerer - der bestemmer hvad er skal certificeres. Typisk er det en udvalgt delmængde, som så ikke indeholder de mest komplekse dele. Tidligere har man set eksempelvis Windows 2000 som blev certificeret (den gamle C2 cert) uden TCP/IP stack :-D Det er altså primært en måde at hive EAL5 op ad hatten for at overbevise kunderne.

Når vi så ser systemer, som er baseret på operativsystemer som er certificeret, så er der naturligvis fejl i disse, og derfor er alle de andre omkringliggende sikkerhedstiltag MINDST lige så vigtige. Blandt andet kritiseres det delte disksystem, og det ER kritisabelt!

Jeg fandt forøvrigt en sjovt formulering i 0903b_pdf.pdf
IBM z/VM Version 6 Release 3 Security Target, 1.2 Released

Different instances of the TOE may also share the RACF database. The sharing is implemented similarly to the sharing of the RACF database within the SSI cluster. However depending on the use scenario, such sharing may not be advisable.

... når så use scenario er KRITISK PERSONFØLSOMME DATA? ...

Nå, hvis jeg skal læse flere EAL, TOE og certificeringsrapporter skal jeg have penge for det ;-(

  • 6
  • 0
Christopher Fabritius

Hej Henrik

Jeg med på at det er tung læsning at læse certificeringsrapporterne.
På den anden side synes jeg personlig, at det er opmuntrende at du har brugt tid på at diskutere på baggrund af den konkrete dokumentation.

Med hensyn til dine konklusioner er der desværre et par misforståelser:

ONE instance, dvs hver eneste installation af z System som bruger LPAR er helt udenfor den certificeringstarget. Target er det som certificeres, og reelt siger EAL5 således INTET om det resterende. Target of Evaluation.

Den del, du citerer refererer til en "abstract machine", leveret via en PR/SM LPAR.
Måden det skal forstås på er, er der i den enkelte LPAR (evt PR/SM LPAR med z/VM) kun kører en instans af z/OS med fuld kontrol over de tildelte ressourcer. Den virtualisering PR/SM LPAR leverer er således i form af en eller flere abstract machines, og det konkrete ST forudsætter én z/OS instans per LPAR.

Nå men EAL5 er sjældent noget som har relevans i praksis, når vi taler IT-sikkerhed. Faktisk tværtimod. Det er en statisk target, som man selv definerer - der bestemmer hvad er skal certificeres. Typisk er det en udvalgt delmængde, som så ikke indeholder de mest komplekse dele. Tidligere har man set eksempelvis Windows 2000 som blev certificeret (den gamle C2 cert) uden TCP/IP stack :-D Det er altså primært en måde at hive EAL5 op ad hatten for at overbevise kunderne.

Jeg forstår godt at du syntes der var meget information på det link, jeg har givet omkring sikkerhedscertificeringer. Det skyldes netop, at der typisk indgår flere komponenter og systemfunktioner i et produktionsssystem. Oversigten giver dig mulighed for at læse om hvilke kombinationer af software og funktionalitet der kan certificeres og hvad forudsætningerne er.

Jeg kan afsløre, at det f.eks. ikke er en forudsætning at der ikke er netværk på maskinen :o).

Hvis du vil have noget mindre tungt at læse i, der måske giver et bedre billede af, hvordan sikkerhed virker på mainframe, og hvordan mainframe systemer kan sikres, kan jeg anbefale at tage et kig i denne gratis RedBook Security on the IBM Mainframe: Volume 1 A Holistic Approach to Reduce Risk and Improve Security.

Afsnit 3.4 og kapitel 8+9 giver godt overblik over mulighederne for både at implementere sikkerhed via de rigtige konfigurationer, rolleseparation og processer, samt f.eks. hvordan hardwaren er designet til at være immun overfor buffer overflows.

  • 2
  • 0
Thomas Hedberg

Specifikt tænker jeg på følgende dele

Schengen-systemet delte LPAR med en ikke-sikret webserver
RCAF-systemet var delt mellem de 4 LPAR'er
Data blev lagret på et filsystem tilgængeligt fra alle fire LPAR'er

Jeg ved meget lidt om z/Enterprise, men jeg tror man skal passe på når man læser Datatilsynets rapport. Det er meget nemt at hive høtyven frem sammen med de værste gloser, men så vidt jeg kan læse mig til er en LPAR ikke helt så enkel som den fremstilles i rapporten.

Så vidt jeg kan læse mig til hos IBM, så kan man vælge at installere f.eks. zOS eller f.eks Linux direkte i LPAR'en, men man kan også installere komponenten z/VM som igen kan splittes op til isolerede virtuelle maskiner til Linux - Det omtaler Datatilsynet ikke i deres rapport, så vi ved reelt ikke hvor opdelt disse LPAR's har været og hvad der præcist har været adgang til.

Personligt hælder jeg til at der har været en yderligere opsplitning via z/VM fordi jeg ville finde det meget underligt at man kører flere kunders systemer direkte i den samme virtuelle maskine/LPAR og 4 LPAR's virker som et underligt lavt tal for mig - men jeg har som sagt ikke forstand på z/Enterprise. Det virker bare som om der mangler noget i rapporten.

Her er et billede af opbygningen hvor z/VM er nævnt: http://www.ibm.com/developerworks/library/l-systemz/

  • 0
  • 0
Eskild Nielsen

Personligt hælder jeg til at der har været en yderligere opsplitning via z/VM fordi jeg ville finde det meget underligt at man kører flere kunders systemer direkte i den samme virtuelle maskine/LPAR og 4 LPAR's virker som et underligt lavt tal for mig - men jeg har som sagt ikke forstand på z/Enterprise. Det virker bare som om der mangler noget i rapporten.

En mulig forklaring kunne være at CSC har betragtet 'Den Danske Stat' som én kunde.....

I øvrigt den kunde, som de i sin tid købte den danske virksom af. Det er selvfølgelig ren spekulation at antage, at denne kunde har en aftale, der i sine tekniske detaljer går til bage til tiden for længe side, og at de økonomiske vilkår i aftalen er af samme dato.

  • 1
  • 0
Michael Erichsen

Det hedder i rapporten: "Hackerangrebet er foregået mod én fysisk computer, en såkaldt mainframe af fabrikat IBM. Mainframen var konfigureret i fire partitioner, såkalte LPAR’s (Logical Partitions). De fire LPAR’s er benævnt D11, D12, D13 og D14." og at "Rigspolitiet har oplyst, at Rigspolitiets systemer blev driftet i LPAR D11 og D14." samt "Datatilsynet lægger i det følgende til grund, at LPAR D11 er blevet anvendt af både Moderniseringsstyrelsen og Rigspolitiet."

Ingen udenforstående kan selvfølgelig udtale sig om den konkrete opsætning, men den normale opsætning af et mainframesystem i dag er, at man har mindst to fysiske maskiner på adskilte lokationer.

Dernæst har man et eller flere SysPlex'er, som typisk er delt over de fysiske maskiner, så man kan afvikle hele sit load på den ene maskine, mens man vedligeholder den anden, eller hvis noget fysisk står af på en af dem.

Et SysPlex består igen af en eller flere LPAR's. Så når der tales om fire LPAR's, er det ikke sandsynligt, at de ligger på samme fysiske maskine, men at de er dele af samme SysPlex og afvikles på to eller flere fysiske maskiner i to eller flere adskilte lokationer. Ellers ville det ikke give meget mening at afvikle Politiets systemer på to LPAR's. Især ikke, når man ved, at det vil forøge softwarelicensomkostningerne.

I ikke-mainframe-systemer har man på samme måde systemer, der fremtræder som ét system, men består af clusters af virtuelle maskiner på tværs af fysiske maskiner, f.eks. VMWare-farme.

Så måske er det mere interessant at diskutere, hvad og hvordan data deles, end om maskinerne er fysisk adskilte eller ej? Det har også betydning, når vi diskuterer cloud sikkerhed, hvor vi måske ikke engang ved, hvor og hvordan data er lagret?

  • 0
  • 0
Log ind eller Opret konto for at kommentere