Übersicht

Funktionsweise der Sicherheit

WebSphere-Administratoren registrieren ihre WebSphere Application Server- oder WebSphere Application Server Liberty-Server in WebSphere Automation. Der Schwachstellenmanager von WebSphere Automation erstellt eine Bewertung des Sicherheitskonformitätsstatus für jeden Server. Bekannte Schwachstellen oder Anfälligkeiten (Common Vulnerabilities or Exposures, CVEs) für jeden Server werden in der WebSphere Automation-Benutzerschnittstelle in einer interaktiven Liste angezeigt und für jeden Server wird eine Risikostufe festgelegt. Administratoren können über die WebSphere Automation -Benutzerschnittstelle mehr über die relevanten CVEs erfahren, ihre Reaktion planen und die Anwendung der erforderlichen Sicherheitsfixes auf ihre verwalteten Server abschließen.

Wenn das IBM Product Security Incident Response Team (PSIRT) neue oder aktualisierte Sicherheitsbulletins veröffentlicht, erkennt die CVE/PSIRT-Überwachung von WebSphere Automation sie und erfasst die Daten zu den CVEs aus den Bulletins. Der Schwachstellenmanager von WebSphere Automation überprüft die Anwendbarkeit der neuen CVEs für die registrierten Server. Wenn Sicherheitsrisiken gefunden werden, werden von der Benachrichtigungsfunktion für WebSphere Automation-Schwachstellen E-Mail-Benachrichtigungen über neue Schwachstellen an eine anpassbare Liste mit Adressen gesendet.

Nach der Definition eines Risikominderungsplans verwenden Administratoren die WebSphere Automation -Benutzerschnittstelle, um veröffentlichte Fixpacks oder vorläufige Fixes zur Behebung von Schwachstellen auszuwählen. Während der Fixinstallation fordert WebSphere Automation den ausgewählten Fix von IBM Fix Centralan, speichert ihn im Kafka -Datenspeicher und installiert ihn dann auf dem angegebenen Server.

Informationen zum Allgemeinzustand

WebSphere-Administratoren registrieren ihre WebSphere Application Server- oder WebSphere Application Server Liberty-Server in WebSphere Automation. Sie richten auch die SSH- oder WinRM-Konnektivität zwischen ihrem WebSphere Automation-System und den Servern von WebSphere Application Server und WebSphere Application Server Liberty ein, um die automatisierte Erfassung von Diagnoseprogrammen zu ermöglichen.

Ein Instana-Überwachungssystem ist für die Überwachung von WebSphere Application Server-oder WebSphere Application Server Liberty-Servern eingerichtet. Der Instana-Administrator konfiguriert Instana so, dass Alerts an die Webhook-API von WebSphere Automation gesendet werden, wenn ein Speicherleck erkannt wird. Darüber hinaus kann ein WebSphere -Administrator jederzeit über die WebSphere Automation -Benutzerschnittstelle eine Speicheranalyse eines Servers einleiten.

Wenn die Webhook-API WebSphere Automation aufgerufen wird, um ein Speicherleck zu melden, öffnet der WebSphere Automation -Untersuchungsmanager eine neue Untersuchung und es werden Benachrichtigungen gesendet. Der Untersuchungsmanager verwendet den Runbook-Manager, um einen Heapspeicherauszug aus dem Server mit dem Speicherleck zu erfassen. Der Untersuchungsmanager verwendet dann den Analysemanager, um die erfassten Dateien zu analysieren. Nach Abschluss der Analyse können Administratoren Informationen zu mutmaßlichen Verlustkandidaten in der WebSphere Automation -Benutzerschnittstelle anzeigen. Über die Benutzerschnittstelle können Administratoren einige oder alle Dateien aus der Untersuchung herunterladen, um sie mit Anwendungseignern gemeinsam zu nutzen. Anwendungseigner können diese Informationen verwenden, um Speicherlecks in ihren Anwendungen zu beheben.

Komponentenübersicht (Sicherheit)

IBM Unterstützung, PSIRT und Sicherheitsbulletins

Das IBM Product Security Incident Response Team (PSIRT) veröffentlicht Sicherheitsbulletins, um die Einzelheiten zur Risikominderung aus offengelegten bekannten Sicherheitslücken und Anfälligkeiten (Common Vulnerabilities and Exposures, CVEs) an ihre Produktangebote zu übermitteln. Der CVE/PSIRT-Monitor in WebSphere Automation sucht regelmäßig nach neuen oder aktualisierten Sicherheitsbulletins für WebSphere Application Server und WebSphere Application Server Liberty unter ibm.com. Wenn neue oder geänderte Bulletins gefunden werden, ruft WebSphere Automation eine lokale Datenbank ab und füllt sie mit den zugehörigen Details zu allen neuen CVEs in diesen Bulletins.

Ein Sicherheitsbulletin ist ein strukturiertes Dokument, in dem die Art der Schwachstelle und deren mögliche Auswirkungen detailliert beschrieben werden. Weitere Informationen zu IBM Sicherheitsbulletins finden Sie unter IBM Security Bulletins. Eine Liste der Sicherheitsbulletins für WebSphere Application Server und IBM HTTP Server finden Sie in der Liste der Sicherheitsbulletins für WebSphere Application Server und IBM HTTP Server.

Jeder CVE wird nach dem Industriestandard Common Vulnerability Scoring System (CVSS) bewertet, einer numerischen Darstellung des Risikoniveaus der Schwachstelle auf einer Skala von 0 bis 10. Der CVSS-Standard wird von der CVSS-SIG (Special Interest Group) des Forum of Incident Response and Security Teams (FIRST) gepflegt. Für weitere Informationen siehe https://www.first.org/cvss/.

CVE/PSIRT-Überwachung

Standardmäßig greift die Überwachung auf stündlicher Basis auf die Liste der Sicherheitsbulletins für WebSphere Application Server und IBM HTTP Server zu, um nach neuen oder aktualisierten Sicherheitsbulletins zu suchen. Wenn eines erkannt wird, werden die Details aus den veröffentlichten Informationen abgerufen und in einer lokalen Datenbank gespeichert.

Hinweis: In einer Air Gap-Umgebung ist der CVE/PSIRT-Monitor nicht in der Lage, mit der WebSphere Application Server und IBM HTTP Server Security Bulletin List zu kommunizieren. In diesem Fall wertet WebSphere Automation Ihre Server mithilfe der installierten CVE-Daten aus.

Schwachstellenmanager

Der WebSphere Automation -Schwachstellenmanager vergleicht Informationen zu den registrierten Servern mit den Anwendbarkeitsdaten für die Common Vulnerabilities and Exposures (CVEs) in seiner Datenbank. WebSphere Automation tabuliert und zeigt den Sicherheitsstatus der Server an, um Administratoren zu helfen, die Schwachstellen oder Sicherheitslücken zu verstehen, die sich auf ihre Server auswirken.

Wenn neue Serverdaten oder neue CVE-Daten verfügbar werden, vergleicht der Schwachstellenmanager die Informationen, die er für jeden Server hat, mit den Informationen, die er über die CVE kennt. Wenn festgestellt wird, dass eine CVE einen registrierten Server betrifft, wird der Server als Sicherheitsrisiko erklärt. Für solche Ereignisse können Benachrichtigungen konfiguriert werden und diese Schwachstelle wird in der Benutzerschnittstelle von WebSphere Automation angezeigt.

Da WebSphere Automation die Funktion zur Nutzungsüberwachung verwendet, um Daten zu Servern zu erfassen, erfolgen keine Tests auf Scans oder unbefugten Zugriff. Daher wirkt sich die Registrierung eines Servers für die Ergebnisse der Schwachstellenüberwachung nicht auf die Leistung dieses Servers aus.

Fix Manager

Der WebSphere Automation -Fix-Manager verwendet Berechtigungsnachweise, die Sie für den Zugriff auf IBM Fix Central bereitstellen, um Fixes anzufordern. Fixes werden abgerufen und im Dateispeicher gespeichert, der für die angepasste Ressource websphereSecure definiert ist. Der Fix-Manager verwaltet den Speicherplatz entsprechend der Häufigkeit der Verwendung und löscht ältere Fixes, um Platz für kürzlich angeforderte Fixes zu schaffen.

Installation Manager

WebSphere Automation Installation Manager kommuniziert mit dem registrierten Server über die von Ihnen bereitgestellten Administratorberechtigungen. Wenn Sie die Installation eines Fix einleiten, stellt Installation Manager sicher, dass der Zielserver über ausreichend Speicherplatz für den Fix verfügt, überträgt den Fix auf den Zielserver, installiert den Fix und erstellt eine Protokolldatei der ausgeführten Schritte. Wenn Sie eine Sicherung der Serverumgebung als Teil der Fixinstallation anfordern, prüft Installation Manager, ob ausreichend Plattenspeicherplatz auf dem Server vorhanden ist, und erstellt ein Archiv der Installation Manager-, Installation Manager -Daten-und WebSphere Application Server -oder WebSphere Application Server Liberty -Serverinstallationsverzeichnisse.

Komponentenübersicht (Allgemeinzustand)

Webhook-API

Die Webhook-API empfängt Benachrichtigungen zu Speicherlecks von einem Instana-Überwachungssystem und löst den Untersuchungsmanager aus, der eine Untersuchung des Speicherverlusts startet.

Untersuchungsmanager

Nach dem Auslösen durch die Webhook-API leitet der Untersuchungsmanager eine Untersuchung ein. Der Untersuchungsmanager weist den Runbook-Manager an, ein Runbook auszuführen, um Identitätsinformationen zum Server mit dem möglichen Speicherleck zu erfassen. Wenn der Serverregistrierungsprozessor den Server erkennt, weist der Untersuchungsmanager den Runbook-Manager an, einen Heapspeicherauszug aus diesem Server zu erfassen. Der Untersuchungsmanager weist anschließend den Analysemanager an, ein Diagnosetool auszuführen, mit dem der Heapspeicherauszug verarbeitet wird, um Details zum Speicherleck abzurufen. Der Fortschritt und die Ergebnisse der Untersuchungen werden in der Benutzerschnittstelle von WebSphere Automation angezeigt. Benachrichtigungen werden gesendet, um anzugeben, wann eine Untersuchung gestartet oder abgeschlossen wird.

Runbook-Manager

Der Runbook-Manager ist für die Ausführung von Runbooks auf WebSphere Application Server- oder WebSphere Application Server Liberty-Systemen verantwortlich, um Informationen und Diagnosen zu erfassen, die für die Untersuchung von Problemen erforderlich sind. Der Runbook-Manager startet Runbook-Jobs, die mithilfe von Ansible -Playbooks die ferne Datenerfassung automatisieren. Ansible kommuniziert sicher mit Ihren Servern über SSH oder WinRM.

Analysemanager

Der Analysemanager ist für die Analyse der erfassten Diagnosedateien verantwortlich. Bei Speicherlecks startet der Analysemanager Analysejobs, die wiederum ein Speicheranalysetool starten, um den Heapspeicherauszug zu analysieren und Details zu mutmaßlichen Speicherverlusten bereitzustellen.

Komponentenübersicht (allgemein)

WebSphere Application Server, WebSphere Application Server Libertyund den Serverregistrierungsprozessor

WebSphere Automation verwendet die Funktion zur Nutzungsüberwachung in WebSphere Application Server und WebSphere Application Server Liberty, um Daten zu den Servern zu erfassen, die überwacht werden sollen, damit deren Schwachstellenstatus oder Allgemeinzustand beurteilt werden kann. Die Funktion zur Nutzungsüberwachung muss manuell auf jedem Server so konfiguriert werden, dass er mit WebSphere Automation kommunizieren kann. Bei der Funktion zur Nutzungsüberwachung handelt es sich um eine unterstützte, stabilisierte Komponente von WebSphere Application Server und WebSphere Application Server Liberty für die Verwendung mit WebSphere Automation. Sie wurde zuvor zusammen mit dem jetzt entfernten Messservice in IBM Cloud Private verwendet. Die Stabilisierung der Funktion ersetzt jede Erwähnung der Nichtweiterverwendung in der Dokumentation für WebSphere Application Server oder WebSphere Application Server Liberty.

WebSphere Automation kann nicht mit Servern kommunizieren, auf denen diese Funktion nicht vorhanden ist. Aufgrund dieser Einschränkung und des Datums, an dem die Funktion zur Verwendung von Nutzungsdaten freigegeben wurde, wertet WebSphere Automation keine Sicherheitsbulletins aus, die vor 2018 erstellt wurden. Die folgenden Anwendungsserver können verwaltet werden:

• WebSphere Application Server (alle Editionen) 8.5.5.15 und höher
• WebSphere Application Server (alle Editionen) 9.0.0.9 und höher
• WebSphere Application Server Deployment Manager 8.5.5.23 und später
• WebSphere Application Server Deployment Manager 9.0.5.14 und später
• WebSphere Application Server Liberty (alle Editionen) 18.0.0.3 und höher

Wenn Serviceaktualisierungen oder neue Versionen von WebSphere-Software installiert sind, wird der Sicherheitsstatus des Serverbestands aktualisiert.

Benachrichtigung

Der Benachrichtiger kann E-Mails an eine Liste von E-Mail-Adressen senden, wenn Sicherheitslücken oder Speicherlecks erkannt werden, wenn Sicherheitskorrekturen angewendet werden oder wenn die Untersuchung eines Speicherverlusts abgeschlossen ist. Für die Standard-E-Mail-Benachrichtigungen verwenden Administratoren die WebSphere Automation -Benutzerschnittstelle, um einen SMTP-Server zu konfigurieren und eine Liste mit E-Mail-Adressen für den Empfang dieser Benachrichtigungen zu definieren. Die E-Mail enthält relevante Informationen, z. B. das CVSS des CVE für eine Schwachstellenbenachrichtigung, enthält jedoch keine sensiblen Informationen. Die E-Mail enthält auch einen Link zur entsprechenden Seite in der Benutzerschnittstelle. Benutzer mit entsprechenden Berechtigungen können sich dann an der WebSphere Automation-Benutzerschnittstelle anmelden, um weitere Informationen über die Schwachstelle oder das Speicherleck zu erhalten.

Beginnend mit WebSphere Automation 1.6.2 kann ein Administrator Benachrichtigungen für bestimmte Ereignisse anpassen, die in WebSphere Automation. Ereignisse, die zum Auslösen von Benachrichtigungen eingerichtet werden können, umfassen das Erstellen, Aktualisieren oder Löschen einer Aktion, eines Assets, eines Bulletins, eines Fixes, einer Installation, einer Untersuchung oder einer Sicherheitslücke. Der Notifier kann nun zusätzlich zum Senden von E-Mails Webhooks aufrufen. Für E-Mail-Benachrichtigungen gibt es derzeit eingeschränkte Anpassungsoptionen.

WebSphere Automation-Benutzerschnittstelle und -API

WebSphere Automation basiert auf IBM Cloud Pak foundational services. Daher ist die WebSphere Automation -Benutzerschnittstelle in die IBM Cloud Pak foundational services -Benutzerschnittstelle integriert und über einen Browser zugänglich. In der WebSphere Automation-Benutzerschnittstelle werden interaktive Listen mit registrierten Servern mit Sicherheitslücken und den spezifischen CVE-Daten angezeigt. Daten können auch im CSV-Format ausgegeben werden. In der WebSphere Automation-Benutzerschnittstelle werden auch Listen mit Untersuchungen zu Speicherverlusten angezeigt. Die Benutzerschnittstelle verwendet API zum Abrufen von Daten.

IBM Cloud Pak foundational services

WebSphere Automation basiert auf IBM Cloud Pak foundational services. WebSphere Automation verwendet Apache Kafka für das Datenstreaming und die Ereignisverarbeitung sowie das Feature IBM Cloud Pak foundational services Identity Access Management (IAM) für die Verbindung zu einer Benutzerregistry (LDAP). Weitere Informationen finden Sie in der Dokumentation zu IBM Cloud Pak foundational services.