マルチレベル・セキュア・ネットワーク環境の変更

マルチレベル・セキュア構成の特定の部分に変更を加えるときは、十分に計画を立てる必要があります。 PROFILE.TCPIP 内の NETACCESS ステートメント、TCPIP 開始タスクへ関連付けられているセキュリティー・ラベル、SERVAUTH クラス内の EZB.STACKACCESS または EZB.NETACCESS プロファイルへ関連付けられているセキュリティー・ラベル、または SECLABEL クラス内のプロファイルの定義などを変更すると、IP アドレスが別のセキュリティー・ラベルへ関連付けられる結果になる場合があります。 それらの変更は、対応する変更が実装され、影響を受けるシステムのセキュリティー管理に影響を及ぼすことを暗黙に意味します。 強制アクセス制御ポリシーの適用をサポートするシステムの場合、 それらのポリシーも同時に更新する必要があります。 強制アクセス制御ポリシーの適用をサポートしないシステムの場合、 物理的なユーザー・アクセス手順、システム・データの内容、 ファイアウォール構成、およびルーター構成も同時に更新する必要があります。

強制アクセス制御ポリシーの変更を制御する 最も安全な方法は、RACF® オプションの MLSTABLE と MLQUIET を使用することです。 RACF オプションが MLACTIVE、MLSTABLE、 および NOMLQUIET に設定されている場合、TCP/IP では、 既存の NETACCESS 構成を VARY TCPIP,,OBEYFILE コマンドで変更することはできません。 RACF オプション MLQUIET が設定されている場合、RACF では、VARY TCPIP,,OBEYFILE コマンドによって参照されるデータ・セットを開くには、TCP/IP ジョブ・ユーザー ID が RACF SPECIAL でなければなりません。これらのオプションの設定と使用方法についての詳細は「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。

MLSTABLE 環境では、MLQUIET 環境に入る前に、データへのユーザーおよびアプリケーション・アクセスをすべて停止してください。 すべてのネットワーク・アクセスを停止するには、すべての TCP/IP スタックを停止します。 セキュリティー管理者が TN3270E Telnet サーバー (Telnet) を通じてシステムにアクセスする必要がある場合は、セキュリティー管理者用の Telnet だけを持つ制限付きスタックを実行することを検討してください。 Telnet NACUSERID またはプロシージャーのユーザー ID に、このスタック用の EZB.STACKACCESS プロファイルに対する許可を与えます。 それ以外のすべての TCP/IP スタックを停止してください。 ローカル・ポリシーの変更と、それに整合する他のシステムへの変更がすべて済んだ後、NOMLQUIET を設定し、実動の TCP/IP スタックとネットワーク・サーバーを再始動します。

RACF オプション MLACTIVE を指定したシステムで実行する スタックはいずれも、いくつかの PROFILE.TCPIP ステートメントと その関連 SERVAUTH プロファイルについて、内部整合性検査を行います。 この整合性検査は、初期プロファイル処理の終了時、VARY TCPIP,,OBEYFILE コマンドが プロファイルを変更した後、および SERVAUTH または SECLABEL クラスに RACLIST が 発行されたときは必ず、実行されます。 OMPROUTE などのアプリケーションによっては、 内部で VARY TCPIP,,OBEYFILE コマンドと同等のコマンドを出すので、 整合性検査を引き起こすものもあります。 TCP/IP は、 スタックを経由して流れる情報のセキュリティーを侵害する可能性がある不整合を検出するつど、 メッセージをジョブ・ログに書き込みます。 不整合が検出されると、 検出された問題の数を要約した最終メッセージ (EZD1217I) が システム・コンソールに書き込まれます。

デフォルトでは、スタックは不整合が検出されるまで実行を継続します。 実動ワークロードの開始前に、PROFILE.TCPIP、 あるいは VARY TCPIP,,OBEYFILE コマンドが参照するデータ・セット に、GLOBALCONFIG MLSCHKTERMINATE を指定して、 このデフォルトをオーバーライドすることをお勧めします。 セキュリティー関連の構成変更を行う前に、 まずすべての実動ワークロードを停止することをお勧めします。 これで、PROFILE.TCPIP または、VARY TCPIP,,OBEYFILE コマンドが参照するデータ・セットに、GLOBALCONFIG NOMLSCHKTERMINATE を指定できます。 このパラメーターは、RACF オプションの NOMLSTABLE が設定されているとき、または MLSTABLE と MLQUIET の両方が設定されているときに、MLSCHKTERMINATE から NOMLSCHKTERMINATE のみに変更できます。

スタックは、次の整合性検査を実行します。

• スタックには、現在 NETACCESS ステートメントが構成されていない。
• 現在このシステム上では TCP/IP ジョブ・セキュリティー・ラベルがアクティブでなければならない。
• このスタックには STACKACCESS プロファイルが存在していなければならない。
• STACKACCESS プロファイルは、TCP/IP ジョブと同じ セキュリティー・ラベルでなければならない。
• NETACCESS ステートメントは INBOUND と OUTBOUND の両方を オンにしていなければならない。
• 定義済みの NETACCESS セキュリティー・ゾーンごとに、NETACCESS プロファイルが 存在していなければならない。
• NETACCESS DEFAULTHOME が構成されている場合は、TCP/IP ジョブと同じセキュリティー・ラベルのゾーンがなければならない。
• NETACCESS TcpStackSourceVIPA が構成されている場合は、TCP/IP ジョブと同じセキュリティー・ラベルのゾーン内になければならない。
• 特殊なアドレス INADDR_ANY (0.0.0.0) が NETACCESS セキュリティー・ゾーン内に なければならない。
• 特殊なアドレス INADDR_ANY (0.0.0.0) が、TCP/IP ジョブと 同じセキュリティー・ラベルのゾーンになければならない。
• IPv6 対応スタックには、NETACCESS セキュリティー・ゾーン内に、 特殊な IPv6 無指定アドレス [in6addr_any (::)] がなければならない。
• IPv6 対応スタックには、TCP/IP ジョブと同じセキュリティー・ラベルのゾーン内に、特殊な IPv6 無指定アドレス [in6addr_any (::)] がなければならない。
• IPv6 対応スタックには、あらゆる INTERFACE ステートメントに 手動で構成された INTFID がなければならない。 (OSA-Express for Unified Resource Manager (OSM) インターフェースはこの検査から除外されます。)
• IPv6 対応スタックには、自動構成をサポートするあらゆる INTERFACE に 少なくとも 1 つの手動で構成された IPADDR がなければならない。 (OSM インターフェースはこの検査から除外されます。)
• 動的 XCF の IPv6 対応スタックには、IPCONFIG6 ステートメント に DYNAMICXCF INTFID が構成されていなければならない。
• スタック上のあらゆるホーム・アドレスは、NETACCESS セキュリティー・ゾーン 内になければならない。 (OSM インターフェースはこの検査から除外されます。)
• VIPA ではないあらゆるホーム・アドレスは、TCP/IP ジョブと同じセキュリティー・ラベルのゾーン内になければならない。 (OSM インターフェースはこの検査から除外されます。)
• VIPA であるあらゆるホーム・アドレスは、TCP/IP ジョブと 同等のセキュリティー・ラベルのゾーン内になければならない。
• 制限付きスタックでは、VIPA は、SYSMULTI セキュリティー・ラベルのセキュリティー・ゾーン内にあってはならない。

スタックが行わない整合性検査がいくつかあります。 これらは、依然としてシステム・セキュリティー管理者の責任です。

• NetAccess ゾーン定義はスタック全体で一致する必要がある。 共用データ・セットの共通定義を、 すべてのスタック・プロファイルに組み込むことをお勧めします。
• サブネットワークまたはネットワークは、すべて 単一の NetAccess セキュリティー・ゾーンに含まれる。 NetAccess は、特定の宛先アドレスに対する許可を検査しますが、 ブロードキャスト・パケットはサブネットワークまたはネットワーク内の すべてのアドレスに配信されます。 マルチレベル・セキュア・スタックが所有するアドレスは、 そのサブネットワークまたはネットワークとは異なる ネットワーク・セキュリティー・ゾーン内に安全に構成できる唯一のアドレスです。
• RACF 定義は、RACF データ・セット全体で一貫性を持つ必要がある。 インストール・システムでは、この整合性の管理に RACF 機能を使用することをお勧めします。 SECDATA および SECLABEL クラス・プロファイルの整合性は、SECLABEL プロファイル名 の意味を保存するのに重要です。 インストール・システムでは、すべてのシステムおよびスタックにわたって 共通なすべてのゾーン (ただし、ループバック・アドレスと無指定アドレス (IPv4 INADDR_ANY および IPv6 in6addr_any) を含むものを除く) に、SERVAUTH プロファイルを定義することをお勧めします。

整合性エラーが報告されなくなるまで、PROFILE.TCPIP ステートメントまたは RACF プロファイルのいずれかに対する変更を続けてください。 その後、PROFILE.TCPIP、または VARY TCPIP,,OBEYFILE コマンドによって 参照されるデータ・セットに、GLOBALCONFIG MLSCHKTERMINATE を指定します。 この時点では、NOMLQUIET の設定および実動ワークロードの再始動は安全に行われます。