Innovatie & Strategie

Infrastructuur
IBM z14 mainframe

Mainframe IBM balanceert tussen beveiliging en prestaties

Heel veel beveiligingstechnologie in combinatie met zwaardere processors

IBM z14 mainframe © IBM
26 juli 2017

Heel veel beveiligingstechnologie in combinatie met zwaardere processors

IBM introduceerde vorige week een nieuw model mainframe, de Z14-serie, die de mogelijkheid biedt om alle data die het systeem gebruikt en verwerkt te versleutelen. Specifieke technologieën in combinatie met meer en krachtigere processors moeten die klus klaren.

De sterkere focus op beveiliging van het Z14-mainframe is volgens IBM de wens van zijn klanten. Erno Doorenspleet, Executive security Advisor Benelux bij IBM:  “Klanten wilden een oplossing voor beveiliging; ze wilden niet meer hoeven nadenken over wat er nou precies versleuteld moet worden, wie daarvoor verantwoordelijk is en waar de data neergezet moeten worden. Daar worstelt elke grote organisatie mee. Daarnaast stelden ze als eis dat de performance er absoluut niet onder mocht lijden. Maar als je alles wilt versleutelen vereist dat een enorme rekenkracht.” Die rekenkracht wordt verzorgd door 10-core processors met een kloksnelheid van 5,2 GHz. Elke core heeft volgens IBM 10 procent meer performance dan voorganger Z13.

pci-Express-kaarten

Volgens Frank van der Wal, Digital Transformation Architect/ Technical Leader z Systems BeNeLux bij IBM, maken twee technologieën dat mogelijk. “De mainframes zijn voorzien van CryptoExpress-kaarten. Deze pci-Express-kaarten zijn specifiek gericht op encyptietaken en kunnen zo geconfigureerd worden dat ze als co-processor functioneren. Fysiek zijn ze dicht bij de inout/output-kanalen geplaatst. Daardoor kun je veilige SSL-verbindingen bieden aan systemen die tienduizenden gebruikers hebben.” Hij wijst er op dat dankzij zulke kaarten en assist-processors binnen mainframes de processor niet alle taken hoeft uit te voeren, zoals in traditionele servers. Daardoor kan het mainframe zwaar belast worden terwijl de performance daar niet onder lijdt. De kaarten zijn in de Z14 rond de 6 keer sneller volgens IBM, dan in voorganger Z13. Daarnaast zijn de processorcores van de Z14 voorzien van een (Central Processor Assist Crypto Function) CPACF-processor; een coprocessor die gebruikt wordt voor encryptietaken.

Sleutels goed opslaan

Belangrijk bij de versleuteling is dat de sleutels ook versleuteld zijn opgeslagen in het geheugen en wel een in een ‘tamper proof’ stuk hardware. En dat is weer voorzien van beschermingsmechanismen tegen digitale maar ook fysieke aanvallen. Komt een persoon bijvoorbeeld te dicht bij de kaarten in de buurt, dan wordt dat met sensoren gedetecteerd. Daarbij gaat het om beweging maar ook om lichaamswarmte. Het systeem sluit zichzelf dan af. Dat gebeurt ook als digitale aanvallen gedetecteerd worden.

Ook tegen aanvallen van binnenuit is meer bescherming aangebracht. Zo kunnen beheerders bijna niet meer bij onversleutelde data, al is het maar omdat het meeste versleuteld is. Van der Wal: “Je kunt met een enkele handeling bepalen dat alle data van een bepaalde applicatie versleuteld moeten worden. Gebruikers vinden het lastig om steeds te moeten bepalen wie verantwoordelijk is voor data. Dan krijg je vragen over of een storagemanager rechten moet krijgen om bij bepaalde data te komen. Dat speelt nu veel minder omdat hij niet meer in de data kan kijken; die zijn versleuteld.”

Oude applicaties

De versleuteling kan ook worden toegepast op de data uit de vaak zeer oude applicaties die nog op het mainframe draaien. “Het was een eis van onze gebruikers dat daarin niets gewijzigd hoefde te worden.” Van der Wal: “We werken al 3 jaar met een methode om transacties in oudere en bijvoorbeeld Linux-applicaties via REST-API’s aan te bieden. Een moderne ontwikkelaar ziet ook het verschil niet tussen een Google-API en een API met roots in het mainframe.“

Veel technologieën uit mainframes zijn in de loop van de jaren doorgesijpeld naar servers en zelfs pc’s. Van der Wal: “Maar de CryptoExpress-kaarten heb ik nog niet teruggezien in andere systemen. En al in 1967 konden we met mainframes virtualiseren vanuit de processorlaag. Je zou dan 6000 virtuele Linux-servers kunnen virtualiseren. Zulke partities zijn gegarandeerd onderling separaat. Dat lukt je niet met reguliere virtualisatiesystemen.”

Lees meer over
Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen