Кто знает больше о защите Z, чем разработчики Z?

Кто знает больше о защите Z, чем разработчики Z? Вступайте в сообщество Z Security!

Сведения о продукте для IBM Z Multi-Factor Authentication - обновление для V2.0

Возможности IBM Z Multi-Factor Authentication

Расширенная поддержка операционных систем z/VM (добавлено в версии 2.1)

Для работы большинства компонентов, поддерживаемых в z/OS, в z/VM достаточно одной лицензии. Оформите заказ через ShopZ, получите обе ОС, выберите ОС для установки и сохраните существующую инфраструктуру MFA.

Защита за пределами границ сисплекса z/OS (добавлено в версии 2.1)

Поддерживает генерацию безопасных учетных данных, которые можно использовать как внутри сисплекса, так и за его пределами. Это упрощает настройку MFA в крупных средах.

Расширения для RACF с функциями аудита и предоставления ресурсов

Способы идентификации реализованы как расширения компонентов для команд IBM RACF®, связанных с работой пользователей. Программные интерфейсы Security Authorization Facility (SAF) расширяются посредством определения поддерживаемых ключей при запросах идентификации пользователей. При этом приложения, поддерживающие MFA, могут указывать соответствующие способы в дополнение к паролям или ключевым фразам RACF. Расширения контроля предоставляют ресурсы и определяют ключи MFA с помощью команд RACF, связанных с работой пользователей.

Поддержка RADIUS: RSA, Gemalto и базовый сервер

Можно использовать любой способ, основанный на стандартном протоколе RADIUS, через шлюз IBM Z MFA RADIUS. Поддерживаются маркеры RSA SecurID с алгоритмами учета времени, а также аппаратные или программные маркеры. Реализации RSA SecureID и Gemalto SafeNet предлагают более надежные и детализированные сообщения.

Интеграция с IBM CIV

Помимо поддержки существующих способов, IBM Z MFA обеспечивает интеграцию с IBM Cloud Identity Verify (CIV) с использованием шлюза CIV RADIUS и протокола базового сервера RADIUS IBM Z MFA. Интеграция с CIV поддерживает составную идентификацию по внутреннему каналу, при этом одноразовый пароль, сгенерированный CIV, можно сочетать с паролем или фразой-паролем RACF.

IBM TouchToken и базовая идентификация TOTP

С помощью IBM TouchToken идентификация пользователей выполняется в самой системе z/OS, и проверка двухфакторной идентификации возможна без обращения к дополнительным внешним инструментам. Базовая поддержка TOTP включает базовые приложения генерации маркеров TOTP, включая стандартизированные приложения TOTP сторонних разработчиков для устройств Android и Microsoft Windows.

Составная идентификация

Составная идентификация позволяет настроить обязательное применение нескольких механизмов идентификации. Для составной идентификации по внутреннему каналу пользователь должен передать учетные данные RACF (пароль или фразу-пароль) вместе с действительными учетными данными MFA.

Централизованная база данных RACF

Данные для идентификации сохраняются в базе данных RACF, в которой данные MFA изменяются командами RACF, а поля, не имеющие отношения к MFA, удаляются из базы данных RACF посредством команды DBUNLOAD. В z/OS® Security Server компоненты RACF включают пакеты обновлений для базы данных RACF, команды RACF, вызываемые службы, процедуры обработки сеансов и утилиты RACF.

Интеграция с IBM ISAM

Инициируйте идентификацию через IBM Security Access Manager (ISAM) с использованием процедуры генерации OTP. При входе в z/OS используйте одноразовый пароль вместо стандартного. Интеграция с ISAM поддерживает составную идентификацию по внутреннему каналу, при этом одноразовый пароль, сгенерированный ISAM, можно сочетать с паролем или фразой-паролем RACF.

Встроенная поддержка Yubico

Используйте различные устройства Yubikey, поддерживающие алгоритм Yubico OTP. Для IBM Z MFA не требуется внешний сервер идентификации, и все процедуры проверки OTP выполняются в системе z/OS с помощью задачи, запускаемой IBM Z MFA.

Идентификация на основе сертификатов, поддержка карт PIV, CAC

Заложите основу для поддержки любой системы идентификации на основе сертификатов. Возможна идентификация с применением смарт-карт Personal Identity Verification (PIV) и Common Access Card (CAC), часто используемых в федеральных агентствах.

Устойчивость к сбоям и исключения для приложений

Приложения со способами идентификации, которые могут нарушить работу MFA, можно исключить из обработки MFA. В профайлах SAF приложение можно пометить как исключенное из MFA и разрешить пользователю вход в приложение по паролю или PassTicket. Однако в профайлах SAF можно, напротив, указать, что функции MFA обязательны к применению для каких-либо пользователей и приложений.

Техническая информация

Технические спецификации

Предварительные требования для IBM Z MFA:

  • z/OS V2.2 Security Server RACF 2.2 или более новой версии, с поддержкой PTF для MFA

Требования к программному обеспечению

Требования IBM Z MFA:

  • RSA Authentication Manager 8.1 для RSA SecurID
  • Для поддержки SafeNet: доступ к внешнему серверу Gemalto SafeNet Authentication Service
  • Веб-браузер: поддержка сеансов TLS 1.2; возможность работы с локальными драйверами смарт-карт
  • Для поддержки базового сервера RADIUS: доступ к внешнему серверу, поддерживающему PAP-протокол RADIUS.
  • Локальный экземпляр ISAM V9.0.6 или доступ к экземпляру CIV
  • Маркеры, совместимые с поддерживаемыми способами идентификации IBM Z MFA или ISAM

Требования к аппаратному обеспечению

Для IBM Z MFA требуется один из следующих серверов семейства Z:

  • IBM z14
  • IBM z13
  • IBM z13s
  • IBM zEnterprise EC12 (zEC12)
  • IBM zEnterprise BC12 (zBC12)

Вам также может быть интересно

IBM Security Access Manager

IBM Security Access Manager позволяет упростить доступ пользователей и повысить безопасность новых веб-технологий, мобильных и облачных технологий, а также технологий IoT. Для развертывания решения можно выбрать локальную среду, виртуальное или аппаратное устройство или контейнерную среду Docker. ISAM позволяет найти золотую середину между безопасностью и удобством использования за счет применения управления доступом на основе оценки рисков, единого входа в систему, интегрированных средств управления доступом, федеративной идентификации и технологии многофакторной идентификации для мобильных устройств. Верните себе контроль над управлением доступом с помощью IBM Security Access Manager.

IBM Cloud Identity

IBM Cloud Identity помогает обеспечить высокую производительность пользователей за счет единого входа в систему (SSO) в облаке, многофакторной идентификации и управления жизненным циклом. В состав продукта входят тысячи готовых коннекторов, обеспечивающих быстрое предоставление доступа к популярным приложениям SaaS, а также встроенные шаблоны для интеграции собственных приложений.

IBM Security zSecure Admin

Автоматизируйте и упростите администрирование защиты и соблюдения нормативных требований RACF.