将 IBM InfoSphere Guardium Data Encryption 安装在 IBM PureApplication System 上

本文将重点介绍如何部署 IBM® InfoSphere® Guardium® 数据加密软件,为 Red Hat Linux® V6.2 主机上的 IBM DB2® 提供数据加密。该软件为常规文件和 DB2 文件都提供了加密功能。InfoSphere Guardium 还提供了一个 DB2 代理来执行 DB2 加密备份和还原操作。

Alex Irazabal, 高级管理顾问, IBM

/developerworks/i/p-airazaba.jpgAlex Irazabal 是 IBM 的 Software Services for WebSphere (ISSW) 部门的一名员工。他与 IBM 客户广泛合作实现 SOA 架构和集成 IBM Enterprise Service Bus 产品。此工作通过概念证明、试点、咨询项目和架构设计研讨会来完成。目前他的工作重点在云上,专攻平台即服务 (PaaS)。他帮助客户在 IBM PureApplication Systems 和 IBM SmartCloud 上部署模式。



2013 年 5 月 13 日

IBM InfoSphere Guardium 是一个软件数据保护和加密系统。它为文件、文件系统和 IBM DB2 文件提供了使用策略指定的有限访问和加密功能。图 1 显示了 InfoSphere Guardium 的架构。

图 1. InfoSphere Guardium 架构
该图显示了 InfoSphere Guardium 架构

InfoSphere Guardium 安全服务器 Data Security Manager (DSM) 封装为一个设备或称为独立软件产品 (ISO) 的软件产品。无论采用哪种封装方式,目前支持的 DSB 软件基础操作系统的版本都不兼容 IBM PureApplication™ System 的基础操作系统 (Red Hat Linux 6.2)。

因为这个限制,用户的最佳选择是将 DSM 服务器安装在 PureApplication System 外部。文件系统 (FS) 代理兼容 Red Hat Linux 6.2(目前为 beta 版),可作为一个虚拟应用程序模式的一部分安装在 PureApplication System 内。图 2 总结了推荐部署配置。

图 2.
该图显示了 PureApplication System 上的 InfoSphere Guardium 代理部署

DSM 服务器存储代理的密钥和策略。代理向 DSM 注册并从 DSM 获取它的配置。警戒点 (guard point, GP) 是应用一个策略的起点。代理拦截 GP 中的任何访问尝试。代理位于文件系统与数据库管理系统 (DBMS) 之间,如图 3 所示。

图 3. 系统架构中的加密代理
该图显示了系统架构中的加密代理

创建一个虚拟系统模式来部署文件系统代理

为了演示代理的自动化安装,让我们使用一个简单的模式,它包含两个虚拟机 (VM):一个拥有一个独立的 Web 应用服务器实例,另一个拥有 DB2。测试数据库需要 Web 应用服务器 VM。我们使用 DayTrader 来练习使用 DBMS。FS 代理位于 DB2 VM 上,如图 4 所示。

图 4. FS 代理的虚拟系统模式
该图显示了用于 FS 代理的虚拟系统模式

Install Vormetric VMSSC 脚本安装了 Vormetric Representational State Transfer (REST) 应用编程接口,即 Vormetric Security Server 命令行接口 (VMSSC)。该接口支持在安装代理之前远程配置 DSM。

要安装代理,必须满足表 1 中列出的要求。

表 1. 服务器/代理安装步骤
服务器代理
安装安全服务器软件 (DSM)-
配置 DSM 网络-
使用 Web 界面登录到 DSM 控制台-
更改管理员密码-
创建管理员帐户-
创建安全密钥-
创建加密密钥组(如果需要多个密钥)-
创建策略-
安装 VMSSC
使用 VMSSC 添加一个 GP
安装代理并在 DSM 中注册它

为了保持 DSM FS 代理的安装和配置尽可能简单,假设服务器 (DSM) 已安装,并且已经设置了密钥和策略。如果需要,可使用 VMSSC 命令创建密钥和策略。


创建 VMSSC 安装脚本

此脚本执行代理的静默安装。此脚本必须在添加模式之前创建,因为模式会使用它。

此脚本遵循将脚本添加到 PureApplication System 中的指南:

  1. 在文件 cbscript.json 中公开此脚本需要的变量。
  2. 拥有实际的 shell 脚本和任何依赖关系,比如 .zip 文件。
  3. 将 .json 文件和其他 shell 脚本及 .zip 文件封装到一个文件中。将该 .zip 文件命名为 vormetric-install.zip。图 5 显示了这个 .zip 文件的内容。
    图 5. vormetric-install.zip 文件的内容
    该图显示了 vormetric-install.zip 文件的内容

请注意,.zip 文件中包含两个额外的文件:

  • vee-fs-5.1.0-20-rh6-x86_64.bin(FS 代理安装文件)
  • vmssc_rh6_64_5.1.0-24.gz(VMSSC 命令行接口安装文件)

将 vormetric-install.zip 上传到 PureApplication System 目录:

  1. 单击 Catalog > Script Packages
  2. 单击加号 (+) 添加一段新脚本。
  3. 输入一个名称,然后单击 OK
  4. 在 Script Package File 下,单击 Browse
  5. 选择包含安装脚本的 .zip 文件(在本例中为 vormetric-install.zip),然后单击 Upload

系统会解析 cbscript.json 文件并显示您定义的变量。图 6 显示了输出。

图 6. 来自 cbscript.json 的环境变量
该图显示了来自 cbscript.json 的环境变量

如果需要的话,可以添加更多的变量。请注意,/tmp/VMSSC 是工作目录,installAgent.sh 是可执行文件。此信息来自 cbscript.json 文件,如清单 1 所示。

清单 1. cbscript.json 头文件
"version": "1.0.0",
"description": "This script package installs and Configures a 
     Vormetric File Agent in RH6.2",
"command": "/tmp/VMSSC/installAgent.sh",
"log": "${WAS_PROFILE_ROOT}/logs/",
"location": "/tmp/VMSSC",

创建名为 Install Vormetric VMSSC 的脚本。该脚本已在 附录 A 中列出,供您参考。


创建模式

创建虚拟模式时,要做的第一件事是通过添加部件来将初始拓扑结构添加到模式中。

  1. 单击虚拟模式页面顶部的加号,然后输入一个名称和描述。
  2. 单击面板窗口右上角的 Edit
  3. 在 Pattern Editor 窗口中,从部件列表中选择一个基础服务器,如图 7 所示。
    图 7. 独立服务器部件
    该图显示了独立服务器部件
  4. 将基础服务器拖到画布上的右侧,然后选择一个 DB2 服务器(参见图 8)。
    图 8. 选择了 Web 应用服务器和 DB2
    该图显示了已选择的 Web 应用服务器和 DB2
  5. 添加脚本:
    1. 要将 DB2 驱动程序添加到 Web 应用服务器端,请单击左侧列表中的 Select Scripts。搜索 Install DB2,选择 Install DB2 Drivers,将它们放在 Web 应用服务器上(参见图 9)。
      图 9. 具有 DB2 驱动程序的 Web 应用服务器
      该图显示了具有 DB2 驱动程序的 Web 应用服务器
    2. 要将 Vormetric 安装脚本添加到 DB2 VM 中,可搜索 Vormetric 或 VMSSC 来缩小可用脚本列表。找到它后,将它拖到 DB2 服务器上(参见图 10)。
      图 10. 已完成的模式
      该图显示了已完成的模式
  6. 当模式完成时,从顶部窗口中选择 Deploy 来测试它。等待部署完成,然后在 Instances > Virtual Systems 下检查部署历史记录(参见表 2)。
表 2. DB2 实例部署的历史记录
虚拟系统已经部署2012 年 11 月 20 日 10:30:11 PM
在虚拟机 pure-231-Standalone-DSM_DEPLOY11-2953 上执行脚本包 Must Gather Logs 2012 年 11 月 20 日 10:29:53 PM
在虚拟机 pure-198-DB2_ESE-DSM_DEPLOY11-2952 上执行脚本包 Must Gather Logs 2012 年 11 月 20 日 10:29:40 PM
在虚拟机 pure-231-Standalone-DSM_DEPLOY11-2953 上执行脚本包 maestro 2012 年 11 月 20 日 10:29:14 PM
在虚拟机 pure-198-DB2_ESE-DSM_DEPLOY11-2952 上执行脚本包 maestro 2012 年 11 月 20 日 10:28:48 PM
在虚拟机 pure-231-Standalone-DSM_DEPLOY11-2953 上执行脚本包 Install DB2 Drivers 2012 年 11 月 20 日 10:28:14 PM
在虚拟机 pure-198-DB2_ESE-DSM_DEPLOY11-2952 上执行脚本包 Install Vormetric VMSSC 2012 年 11 月 20 日 10:27:11 PM
执行脚本包2012 年 11 月 20 日 10:26:43 PM
启动虚拟机 pure-231-Standalone-DSM_DEPLOY11-2953 2012 年 11 月 20 日 10:21:12 PM
启动虚拟机 pure-198-DB2_ESE-DSM_DEPLOY11-2952 2012 年 11 月 20 日 10:16:13 PM
在虚拟系统 DSM_DEPLOY11 中启动虚拟机2012 年 11 月 20 日 10:16:13 PM
注册虚拟系统 DSM_DEPLOY112012 年 11 月 20 日 10:10:22 PM
将虚拟映像传输给虚拟机管理程序2012 年 11 月 20 日 10:10:17 PM
生成适用于拓扑和网络的模型2012 年 11 月 20 日 10:09:25 PM
保留云资源2012 年 11 月 20 日 10:09:20 PM
部署已经排队
  1. 如果注意到任何错误且需要排除故障,那么可以检查 DB2 VM 下的日志文件(参见图 11)。
    图 11. DB2 实例的远程日志
    该图显示了 DB2 实例的远程日志
  2. 登录到 DSM,确保所有内容都可正常工作(参见图 12)。
    图 12. DSM 控制台显示已启用 GP
    DSM 控制台的图像显示已启用 GP

在设置警戒点 (GP) 后,写入 GP 的所有数据都是加密的。从 GP 读取的所有数据都会经过解密,以原始的未加密数据的形式传回。


附录 A:Install Vormetric VMSSC 脚本内容

清单 2 中的脚本显示了 Vormetric VMSSC 脚本的内容。

清单 2. InstallAgent.sh
#!/bin/sh
export AGENT_HOST=`ifconfig eth1 | grep "inet addr" | awk '{ print $2 }' | awk 'BEGIN 
{ FS=":" } { print $2 }'`

echo AGENT_HOST=
echo DSM_HOST=$DSM_HOST

#unzip agent CLI
mkdir vmssc
cd vmssc
tar -xzf ../vmssc_rh6_64_5.1.0-24.gz
chmod +x vmssc
#login to the DSM
./vmssc -s $DSM_HOST_IP -u $DSM_LOGIN_NAME -p $DSM_LOGIN_PASSWD -d $DSM_DOMAIN server 
login

./vmssc server show -h vormetric.dsm > vormetric.log
#Add Agent to the list of Hosts on the DSM
./vmssc host add -G $AGENT_HOST
./vmssc server show -h vormetric.dsm >> vormetric.log
#add policy and keys
#./vmssc key add -a -h 239-key
./vmssc key show AgentKey-256 >>vormetric.log
#./vmssc policy add 
./vmssc policy show -f policy.xml default_wide_open_policy >>vormetric.log
#set gp
mkdir ../encrypt
#Add Guard Point
./vmssc host addgp -p default_wide_open_policy -d /tmp/VMSSC/encrypt $AGENT_HOST
#Install the agent and register
cd ..
#create the silentinstall.txt file
export SERVER_HOSTNAME=$DSM_HOST_NAME
echo SERVER_HOSTNAME=$SERVER_HOSTNAME > agentSilentInstall.txt
export AGENT_HOST_NAME=$AGENT_HOST
echo AGENT_HOST_NAME=$AGENT_HOST >> agentSilentInstall.txt
#make sure we are in the hosts file
echo $DSM_HOST_IP $DSM_HOST_NAME >> /etc/hosts
#finally install and register the agent
chmod +x vee-fs-5.1.0-20-rh6-x86_64.bin
./vee-fs-5.1.0-20-rh6-x86_64.bin -s agentSilentInstall.txt

参考资料

学习

获得产品和技术

  • 以最适合您的方式 评估 IBM 产品:下载产品试用版,在线试用产品,在云环境中使用产品,或者在 SOA 沙盒 中花几小时学习如何高效地实现面向服务的架构。

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Cloud computing, Information Management
ArticleID=929643
ArticleTitle=将 IBM InfoSphere Guardium Data Encryption 安装在 IBM PureApplication System 上
publish-date=05132013