Translate

sábado, 2 de janeiro de 2021

☕💥 A Jornada do Sysprog Padawan – SAF : O Porteiro Invisível do Reino IBM Z - Parte I

 

Bellacosa Mainframe apresenta o SAF Parte I

☕💥 A Jornada do Sysprog Padawan – Parte 1

SAF – O Porteiro Invisível do Reino IBM Z

O componente que todos utilizam, poucos enxergam e quase ninguém explica corretamente

"No Mainframe existem tecnologias famosas, como RACF, CICS e DB2. E existem tecnologias tão importantes que trabalham em silêncio há décadas. O SAF é uma delas."

Bellacosa Mainframe


Introdução

Se você perguntar para um desenvolvedor COBOL:

Como o CICS verifica segurança?

Provavelmente ele responderá:

O CICS chama o RACF.

Se perguntar para um DBA DB2:

Como o DB2 sabe quem pode executar um SELECT?

Talvez ele diga:

O DB2 consulta o RACF.

Se perguntar para um administrador MQ:

Como o MQ autoriza um MQOPEN?

Ele pode responder:

O MQ conversa com RACF.


Tecnicamente?

Todos estão errados.

Porque existe um personagem invisível trabalhando nos bastidores.

Um intermediário.

Um tradutor.

Um despachante.

Um porteiro.

Este personagem é:

SAF

System Authorization Facility


O Reino IBM Z

Vamos novamente usar a analogia Bellacosa.

Imagine o IBM Z como um gigantesco castelo medieval.

Temos:

Cartório Real

RACF


Livro de Ocorrências

SMF


Biblioteca

DB2


Departamento Financeiro

IMS


Administração

CICS


Correios

MQ


Bairro Unix

USS


Rei

Sysprog


Mas toda pessoa que deseja entrar em algum lugar precisa passar por alguém.

Esse alguém é:

SAF


O que significa SAF?

System

Authorization

Facility


Podemos traduzir informalmente como:

Infraestrutura de Autorização do Sistema

ou

O Barramento Universal de Segurança do z/OS


A grande sacada da IBM

Hoje parece óbvio.

Mas nos anos 70 e início dos 80 era um problema sério.


Imagine.

CICS implementando sua própria segurança.

IMS implementando outra.

DB2 outra.

MQ outra.

USS outra.

JES outra.


Um caos.


Cada produto teria:

Banco próprio

API própria

Logs próprios

Senhas próprias

Administração própria


A IBM percebeu isso rapidamente.


Precisava existir uma camada comum.


Nascia o conceito do SAF.


Origem histórica

MVS

Segurança ainda era relativamente simples.


TSO crescia.


Mais usuários.


Mais aplicações.


Necessidade de padronização.


RACF aparece

1976

IBM.


Inicialmente.

RACF era praticamente sinônimo de segurança.


Mas logo surgiu outro problema.


Produtos terceiros.


ACF2.


Top Secret.


Clientes queriam liberdade.


IBM precisava resolver.


A solução genial

Criar uma interface.


Produtos chamam SAF.


SAF chama ESM.


ESM decide.


Todos felizes.


ESM

External Security Manager


Exemplos

RACF

IBM


ACF2

Broadcom


Top Secret

Broadcom


O que SAF NÃO é

Erro comum.


SAF não possui usuários.


SAF não possui senha.


SAF não possui grupos.


SAF não possui perfis.


SAF não possui certificados.


Quem possui?

RACF.


ACF2.


Top Secret.


O verdadeiro papel do SAF

Receber requisição.


Encaminhar.


Receber resposta.


Devolver.


Simples.

Mas genial.


Arquitetura

Application

↓

SAF

↓

ESM

↓

ALLOW

ou

DENY

Exemplo CICS

Usuário executa.

PAY1


Fluxo.

CICS

↓

SAF

↓

RACF

↓

ACEE

↓

ALLOW

CICS nunca precisou saber.

Como RACF funciona.


Exemplo DB2

SELECT *

FROM CLIENTES

DB2 pergunta.

SAF.


SAF pergunta.

RACF.


RACF responde.


DB2 executa.


Exemplo MQ

MQOPEN


MQPUT


MQGET


Fluxo.

MQ

SAF

RACF

ALLOW


Exemplo USS

SSH

SAF

RACF

OMVS

ACEE

Shell


Exemplo Batch

JOB

JES2

SAF

RACF

ACEE

Execution


O que o SAF utiliza?

O melhor amigo dele.


ACEE


ACEE é o crachá.


SAF adora ACEEs.


Menos consultas.


Menos CPU.


Menos I/O.


Mais throughput.


A evolução do SAF

MVS


MVS/XA


MVS/ESA


OS390


zOS


zOS 3.1


Hoje suporta.


MFA


Passphrase


Certificates


Kerberos


OIDC


Passkeys


Zero Trust


O grande segredo

SAF é um desacoplador.


Aplicações.

Não dependem.

Do produto de segurança.


Trocar RACF.

Por ACF2.


Aplicação continua funcionando.


Trocar RACF.

Por Top Secret.


CICS não percebe.


DB2 não percebe.


MQ não percebe.


USS não percebe.


Por que isso é genial?

Imagine.

500 produtos.


Precisando conhecer.

Três produtos.

De segurança.


1.500 integrações.


Com SAF.


500 integrações.


Muito mais elegante.


Quem usa SAF?

Praticamente tudo.


TSO


ISPF


JES


SDSF


DB2


IMS


MQ


CICS


USS


FTP


NFS


LDAP


OpenSSH


z/OS Connect


Zowe


Ansible


Python


Java


Sysprog Easter Egg ☕

Muitos Sysprogs experientes dizem.

Se você acha que o problema é no RACF.

Provavelmente ainda não olhou para o SAF.


Curiosidade

Provavelmente.

O SAF.

Já processou.

Quadrilhões.

De verificações.

Nos últimos.

40 anos.


Sem aparecer.

Em nenhuma tela.


Sem marketing.


Sem glamour.


Apenas trabalhando.


Como um verdadeiro porteiro.


O mito do RACF

A maioria das pessoas acredita.

Segurança.

=

RACF


Mas a arquitetura correta é.

Application

↓

SAF

↓

ACEE

↓

RACF

↓

SMF

O papel do Sysprog

Conhecer.

Quem pergunta.


Quem responde.


Quem registra.


Quem lembra.


Quem protege.


Analogia Bellacosa ☕

Imagine o castelo.


CICS quer entrar.


DB2 quer entrar.


MQ quer entrar.


USS quer entrar.


Todos chegam.

No mesmo porteiro.


SAF pergunta.

Posso consultar?


RACF responde.


SAF libera.

Ou bloqueia.


SMF escreve.

No livro.


E o ACEE acompanha.

O visitante.


Frase Bellacosa Mainframe

"O RACF conhece o reino. O ACEE conhece o viajante. O SMF conhece a história. Mas é o SAF que atende todas as portas do IBM Z."


☕💥 Continua na Parte 2

SAF – Anatomia Interna

RACROUTE, VERIFY, FASTAUTH, REQUEST Types, Return Codes, Reason Codes, ACEE Interaction, Control Blocks, SAF Router e os mecanismos secretos que fazem bilhões de decisões de segurança por dia.

Sem comentários:

Enviar um comentário