| Bellacosa Mainframe apresenta o SAF Parte I |
☕💥 A Jornada do Sysprog Padawan – Parte 1
SAF – O Porteiro Invisível do Reino IBM Z
O componente que todos utilizam, poucos enxergam e quase ninguém explica corretamente
"No Mainframe existem tecnologias famosas, como RACF, CICS e DB2. E existem tecnologias tão importantes que trabalham em silêncio há décadas. O SAF é uma delas."
Bellacosa Mainframe
Introdução
Se você perguntar para um desenvolvedor COBOL:
Como o CICS verifica segurança?
Provavelmente ele responderá:
O CICS chama o RACF.
Se perguntar para um DBA DB2:
Como o DB2 sabe quem pode executar um SELECT?
Talvez ele diga:
O DB2 consulta o RACF.
Se perguntar para um administrador MQ:
Como o MQ autoriza um MQOPEN?
Ele pode responder:
O MQ conversa com RACF.
Tecnicamente?
Todos estão errados.
Porque existe um personagem invisível trabalhando nos bastidores.
Um intermediário.
Um tradutor.
Um despachante.
Um porteiro.
Este personagem é:
SAF
System Authorization Facility
O Reino IBM Z
Vamos novamente usar a analogia Bellacosa.
Imagine o IBM Z como um gigantesco castelo medieval.
Temos:
Cartório Real
RACF
Livro de Ocorrências
SMF
Biblioteca
DB2
Departamento Financeiro
IMS
Administração
CICS
Correios
MQ
Bairro Unix
USS
Rei
Sysprog
Mas toda pessoa que deseja entrar em algum lugar precisa passar por alguém.
Esse alguém é:
SAF
O que significa SAF?
System
Authorization
Facility
Podemos traduzir informalmente como:
Infraestrutura de Autorização do Sistema
ou
O Barramento Universal de Segurança do z/OS
A grande sacada da IBM
Hoje parece óbvio.
Mas nos anos 70 e início dos 80 era um problema sério.
Imagine.
CICS implementando sua própria segurança.
IMS implementando outra.
DB2 outra.
MQ outra.
USS outra.
JES outra.
Um caos.
Cada produto teria:
Banco próprio
API própria
Logs próprios
Senhas próprias
Administração própria
A IBM percebeu isso rapidamente.
Precisava existir uma camada comum.
Nascia o conceito do SAF.
Origem histórica
MVS
Segurança ainda era relativamente simples.
TSO crescia.
Mais usuários.
Mais aplicações.
Necessidade de padronização.
RACF aparece
1976
IBM.
Inicialmente.
RACF era praticamente sinônimo de segurança.
Mas logo surgiu outro problema.
Produtos terceiros.
ACF2.
Top Secret.
Clientes queriam liberdade.
IBM precisava resolver.
A solução genial
Criar uma interface.
Produtos chamam SAF.
SAF chama ESM.
ESM decide.
Todos felizes.
ESM
External Security Manager
Exemplos
RACF
IBM
ACF2
Broadcom
Top Secret
Broadcom
O que SAF NÃO é
Erro comum.
SAF não possui usuários.
SAF não possui senha.
SAF não possui grupos.
SAF não possui perfis.
SAF não possui certificados.
Quem possui?
RACF.
ACF2.
Top Secret.
O verdadeiro papel do SAF
Receber requisição.
Encaminhar.
Receber resposta.
Devolver.
Simples.
Mas genial.
Arquitetura
Application
↓
SAF
↓
ESM
↓
ALLOW
ou
DENY
Exemplo CICS
Usuário executa.
PAY1
Fluxo.
CICS
↓
SAF
↓
RACF
↓
ACEE
↓
ALLOW
CICS nunca precisou saber.
Como RACF funciona.
Exemplo DB2
SELECT *
FROM CLIENTES
DB2 pergunta.
SAF.
SAF pergunta.
RACF.
RACF responde.
DB2 executa.
Exemplo MQ
MQOPEN
MQPUT
MQGET
Fluxo.
MQ
↓
SAF
↓
RACF
↓
ALLOW
Exemplo USS
SSH
↓
SAF
↓
RACF
↓
OMVS
↓
ACEE
↓
Shell
Exemplo Batch
JOB
↓
JES2
↓
SAF
↓
RACF
↓
ACEE
↓
Execution
O que o SAF utiliza?
O melhor amigo dele.
ACEE
ACEE é o crachá.
SAF adora ACEEs.
Menos consultas.
Menos CPU.
Menos I/O.
Mais throughput.
A evolução do SAF
MVS
MVS/XA
MVS/ESA
OS390
zOS
zOS 3.1
Hoje suporta.
MFA
Passphrase
Certificates
Kerberos
OIDC
Passkeys
Zero Trust
O grande segredo
SAF é um desacoplador.
Aplicações.
Não dependem.
Do produto de segurança.
Trocar RACF.
Por ACF2.
Aplicação continua funcionando.
Trocar RACF.
Por Top Secret.
CICS não percebe.
DB2 não percebe.
MQ não percebe.
USS não percebe.
Por que isso é genial?
Imagine.
500 produtos.
Precisando conhecer.
Três produtos.
De segurança.
1.500 integrações.
Com SAF.
500 integrações.
Muito mais elegante.
Quem usa SAF?
Praticamente tudo.
TSO
ISPF
JES
SDSF
DB2
IMS
MQ
CICS
USS
FTP
NFS
LDAP
OpenSSH
z/OS Connect
Zowe
Ansible
Python
Java
Sysprog Easter Egg ☕
Muitos Sysprogs experientes dizem.
Se você acha que o problema é no RACF.
Provavelmente ainda não olhou para o SAF.
Curiosidade
Provavelmente.
O SAF.
Já processou.
Quadrilhões.
De verificações.
Nos últimos.
40 anos.
Sem aparecer.
Em nenhuma tela.
Sem marketing.
Sem glamour.
Apenas trabalhando.
Como um verdadeiro porteiro.
O mito do RACF
A maioria das pessoas acredita.
Segurança.
=
RACF
Mas a arquitetura correta é.
Application
↓
SAF
↓
ACEE
↓
RACF
↓
SMF
O papel do Sysprog
Conhecer.
Quem pergunta.
Quem responde.
Quem registra.
Quem lembra.
Quem protege.
Analogia Bellacosa ☕
Imagine o castelo.
CICS quer entrar.
DB2 quer entrar.
MQ quer entrar.
USS quer entrar.
Todos chegam.
No mesmo porteiro.
SAF pergunta.
Posso consultar?
RACF responde.
SAF libera.
Ou bloqueia.
SMF escreve.
No livro.
E o ACEE acompanha.
O visitante.
Frase Bellacosa Mainframe
"O RACF conhece o reino. O ACEE conhece o viajante. O SMF conhece a história. Mas é o SAF que atende todas as portas do IBM Z."
☕💥 Continua na Parte 2
SAF – Anatomia Interna
RACROUTE, VERIFY, FASTAUTH, REQUEST Types, Return Codes, Reason Codes, ACEE Interaction, Control Blocks, SAF Router e os mecanismos secretos que fazem bilhões de decisões de segurança por dia.
Sem comentários:
Enviar um comentário