Identity Management

Mainframe & RACF: Sicherheit in der Zeit der Dinosaurier

In den 1950er Jahren hielt die Datenverarbeitung Einzug in die Unternehmen. Die Verarbeitungsmöglichkeiten von Großrechnern waren unübertroffen. Heute werden wir uns mit den Sicherheitssystemen dieser Computer befassen und uns dabei besonders auf RACF konzentrieren. Zum besseren Verständnis und als historischer Hintergrund: Resource Access Control Facility (RACF) entstand auf MVS, dem Betriebssystem, das die Firma IBM ab Mitte der 1970er Jahre mit seinen Großrechnern auslieferte. RACF ist für die Gewährleistung der Sicherheit und der Kontrolle über die im System durchgeführten Operationen zuständig. Es basiert auf drei Grundsätzen:

Benutzeridentifizierung und -überprüfung
Autorisierung für den Ressourcenzugriff
Protokollierung und Berichterstattung über Zugriffsaktivitäten Trotz seines Alters hat sich dieses System mit der Hardware und den Betriebssystemen von IBM weiterentwickelt. Auch heute noch, nach fast 50 Jahren, gewährleistet es die Sicherheit von z/OS-Systemen, den 64-Bit-Nachfolgern von MVS.

Wie funktioniert es?

Das RACF-System bietet die notwendigen Werkzeuge für die Verwaltung eines Benutzerzugangs zu wichtigen Ressourcen. RACF speichert Informationen über Benutzer, Ressourcen und Zugriffsberechtigungen in speziellen Strukturen, den so genannten „Profilen“, in seiner Datenbank. Es bezieht sich auf diese Profile, wenn es entscheidet, welchen Benutzern der Zugriff auf geschützte Systemressourcen gestattet werden soll und welchen nicht. RACF ermöglicht es, kritische Ressourcen zu schützen:

Identifizierung und Authentifizierung von Benutzern
Autorisierung von Benutzern für den Zugriff auf geschützte Ressourcen
Protokollierung und Berichterstattung über unberechtigte Zugriffsversuche auf geschützte Ressourcen
Kontrolle über die Mittel des Ressourcenzugriffs

Exportieren und Prüfen

Das Prinzip besteht darin, jede Dateneinheit als Datensatz zu behandeln, wobei sich die Attribute je nach Art des Datensatzes ändern. Es gibt drei Kategorien, die diese Datensatztypen gruppieren:

Gruppen
Benutzer
Ressourcen

Bekannte Datensatztypen sind z. B. „0100 – Gruppengrunddaten“ oder „0200 – Benutzergrunddaten“. In einer RACF-Extraktion finden Sie alle Datensätze in einer einzigen Datei, wobei die ersten vier Zeichen den Datensatztyp bezeichnen. Jeder Typ ist auch genau definiert. Jedes Attribut ist innerhalb eines Zeichenbereichs definiert. Zum Beispiel mit Typ 0200:

Zeichen 6 bis 13: Benutzeranmeldung
Zeichen 50 bis 53: Kontostatus (widerrufen)

Und was hat die Identitäts- und Zugangsverwaltung (IAG) mit all dem zu tun?

Trotz des Alters der IBM-Großrechner sind sie immer noch weit verbreitet, insbesondere in den IT-Systemen von Banken und Versicherungen. Die Überprüfung von RACF-Konten ist daher ein wichtiger Aspekt der Identitäts- und Zugriffsverwaltung dieser Unternehmen. Kleverware ist in der Lage, diese „Dinosaurier“ zu prüfen und zu analysieren, Anomalien zu identifizieren und eine Neuzertifizierung der Daten zu ermöglichen. Der erste Schritt in diesem Prozess besteht darin, RACF-Datensätze in einem besser lesbaren Format darzustellen, ohne dass die Prüfer 20 Seiten Dokumentation durchblättern müssen, um festzustellen, ob einem Konto das Attribut SPECIAL zugewiesen ist. Wie wir im vorherigen Abschnitt gesehen haben, werden RACF-Extraktionen auf der Grundlage des RECORD-Typs formatiert. Sobald der Typ identifiziert ist, können die Daten in eine besser lesbare Form umgewandelt werden, zum Beispiel in Excel oder CSV. Es werden nur Datensätze aufbewahrt, die für Kontoüberprüfungen relevant sind. Auf der Grundlage von Erfahrungswerten ist hier die Liste der Attribute, die Kleverware systematisch für seine Kunden prüft:

Datensatztyp 0100: „Gruppen-Basisdaten“ Dieser Typ definiert grundlegende Informationen, die mit einer Gruppe verbunden sind. Ein Datensatz entspricht einer Gruppe.
Datensatztyp 0101: „Gruppenuntergruppen“ Dieser Typ definiert die Beziehungen zwischen verschiedenen Gruppen. Ein Datensatz entspricht einer Beziehung zwischen zwei Gruppen.

Datensatztyp 0200: „Benutzer-Basisdaten“ Dieser Typ definiert grundlegende Informationen zu einem Benutzer. Ein Datensatz entspricht einem Benutzer.

Datensatztyp 0203: „Gruppenuntergruppen“ Dieser Typ definiert Beziehungen zwischen Benutzern und Gruppen. Ein Datensatz entspricht einer Beziehung zwischen einem Benutzer und einer Gruppe.

Zusätzlich zu diesen Informationen integriert Kleverware IAG die notwendigen Daten für die Überprüfung durch den Kunden. Zu diesem Zweck können auch andere Arten von Datensätzen extrahiert werden, wie zum Beispiel der Datensatz 0205 „User Connect“ für Informationen in Bezug auf TSO. Sobald die erforderlichen Informationen extrahiert und umgewandelt sind, können sie den Prüfern über die Anwendung präsentiert und in das übrige IT-System integriert werden, das modelliert wurde, um die Legitimität von Benutzern, Gruppen und Zugängen in Verbindung mit RACF festzustellen.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Mainframe & RACF: Sicherheit in der Zeit der Dinosaurier

Active Directory: Die WAHRE Datumsangabe der letzten Anmeldung ermitteln

Zugehörige Artikel

Ähnliche Resourcen

Produkte

Lösungen

Ressourcen

Unternehmen