 |
| Bellacosa Mainframe em um pequeno bate papo sobre segurança racf saf |
🔥 SEU MAINFRAME ESTÁ SEGURO… OU SÓ PARECE?
A Verdade Crua da Segurança no z/OS (Do RACF ao Crypto Express)
☕ Introdução — Um Café com a Realidade
Se você acha que segurança no mainframe é “coisa do passado”, deixa eu te dar um choque de realidade:
O z/OS é um dos ambientes mais seguros do planeta — mas só quando bem configurado.
Porque na prática?
👉 O problema nunca foi a tecnologia
👉 O problema sempre foi quem configura
E é exatamente aqui que começa nossa jornada.
🕰️ Um pouco de história (e por que isso importa)
Nos anos 70, quando surgiram os primeiros sistemas corporativos massivos, a IBM percebeu algo:
“Se todo mundo acessa tudo… uma hora dá ruim.”
Nasce então o conceito de controle centralizado de acesso, que evolui para:
- RACF
- SAF
- E todo o ecossistema de segurança do z/OS
Enquanto o mundo distribuído ainda estava descobrindo autenticação…
👉 O mainframe já tinha segurança granular por recurso
🧠 O Coração da Segurança: SAF + RACF
Pensa nisso como um fluxo batch:
Usuário → SAF → RACF → decisão (ALLOW / DENY)🧩 Quem faz o quê?
- SAF → interface (o “porteiro”)
- RACF → decisão (o “juiz”)
💡 Easter egg Bellacosa:
SAF nunca decide nada… ele só “encaminha o problema” 😄
🔐 O Mandamento Supremo: Least Privilege
Se você tiver que lembrar de UMA coisa:
“Dê o mínimo necessário — nunca o máximo possível.”
Exemplo clássico:
- Admin RACF → gerencia segurança
- Storage admin → só mexe em dataset
👉 Separação + privilégio mínimo = sistema saudável
💣 O ERRO QUE MAIS DERRUBA AMBIENTE
❌ PROTECTALL desligado
Sem isso:
Dataset sem perfil → acesso liberado 😱👉 Simples assim.
👉 Sem perfil = sem segurança
💡 Curiosidade:
Muitos incidentes em mainframe não são ataques…
São configuração mal feita.
🔥 Criptografia no z/OS: Outro nível
Enquanto muita gente ainda “liga TLS”, o z/OS já faz:
🔐 Pervasive Encryption
- Dados em disco
- Dados em trânsito
- Dados protegidos sem mudar aplicação
🧬 A Hierarquia das Chaves (isso cai MUITO!)
Master Key → protege → Operational Key → protege → DataTipos importantes:
- Master Keys → topo da cadeia
- Symmetric → performance
- Asymmetric → troca segura
- Operational → uso diário
💡 Easter egg:
Se perder a master key… acabou o jogo.
⚙️ ICSF — O Tradutor da Criptografia
Aplicação nunca fala direto com hardware.
Ela fala com:
👉 ICSF
Que fala com:
👉 CPACF / Crypto Express
🛡️ Níveis de proteção (isso é ouro de prova)
| Nível | Segurança |
|---|---|
| Clear Key | 😬 |
| Protected Key | 👍 |
| Secure Key | 🔥🔥🔥 |
👉 Secure Key = dentro do hardware (Crypto Express)
💻 APF — Quem pode ser “superpoderoso”
Nem todo programa pode rodar com privilégio.
👉 Só quem está no APF
Programa fora do APF → sem privilégio
Programa no APF → modo supervisor💡 Isso evita:
- código malicioso
- erro catastrófico
🌐 Rede no z/OS — Não é só TCP/IP
z/OS Communications Server
- TCP/IP (moderno)
- SNA (legado que ainda vive 😄)
Segurança:
- TLS → camada transporte
- IPSec → VPN (nível rede)
📊 SMF — O “log que conta tudo”
Se algo aconteceu:
👉 O SMF sabe
Mas atenção:
Nada é logado automaticamente se você não configurar
🧪 Caso real (estilo Bellacosa)
Empresa com:
- RACF instalado
- Criptografia ativa
- Auditoria configurada
Mas…
❌ PROTECTALL desligado
❌ UACC READ em datasets críticos
Resultado?
👉 Vazamento interno
👉 Sem ataque externo
💡 Moral:
Segurança não é tecnologia — é configuração.
🧠 Mentalidade Mainframe
Enquanto no mundo distribuído se fala:
“vamos adicionar segurança”
No mainframe é:
“vamos NÃO remover a segurança”
🔥 Frases pra tatuar no cérebro
- “SAF conecta, RACF decide”
- “Sem PROTECTALL, está exposto”
- “Sem chave, não há segurança”
- “ALL = mostra tudo”
- “SPECIAL = poder total (cuidado!)”
🏁 Conclusão — A Verdade Final
O z/OS não é seguro por acaso.
Ele é seguro porque:
- Foi projetado assim
- Evoluiu assim
- Exige disciplina
Mas…
Um mainframe mal configurado é tão vulnerável quanto qualquer outro sistema.
☕ Fechamento estilo Bellacosa
Segurança no mainframe não é só técnica.
É filosofia.
É controle.
É respeito ao sistema.
E principalmente:
É saber que o perigo não está fora… está dentro da configuração.
