IBM InfoSphere Guardium是一个软件数据保护和加密系统。 它为文件和文件系统以及IBM DB2文件提供了策略指定的受限访问和加密。 图1显示了InfoSphere Guardium架构。
图1. InfoSphere Guardium架构
在PureApplication系统上为InfoSphere Guardium代理推荐的部署配置
InfoSphere Guardium安全服务器Data Security Manager(DSM)被打包为设备或软件产品,独立软件产品(ISO)。 在任何一种情况下,当前支持的DSM软件基本操作系统版本均与IBM PureApplication™系统基本操作系统(Red Hat Linux 6.2)不兼容。
由于此限制,最好的选择是将DSM服务器安装在PureApplication系统之外。 文件系统(FS)代理与Red Hat Linux 6.2(当前为Beta)兼容,并且可以作为PureApplication系统内虚拟应用程序模式的一部分进行安装。 图2总结了建议。
图2. InfoSphere Guardium代理在PureApplication系统上的部署
DSM服务器同时存储代理的密钥和策略。 代理向DSM注册并从DSM获得其配置。 保护点(GP)是应用策略的起点。 代理会拦截GP中的任何访问尝试。 该代理位于文件系统和数据库管理系统(DBMS)之间,如图3所示。
图3.系统架构内的加密代理
创建虚拟系统模式以部署文件系统代理
为了演示安装代理程序的自动化,让我们对两个虚拟机(VM)使用一个简单的模式:一个虚拟机具有独立的Web应用程序服务器实例,另一个虚拟机具有DB2。 需要Web应用程序服务器VM来测试数据库。 让我们使用DayTrader练习DBMS。 FS代理位于DB2 VM上,如图4所示。
图4. FS代理的虚拟系统模式
安装Vormetric VMSSC脚本将安装Vormetric代表性状态传输(REST)应用程序编程界面,Vormetric Security Server命令行界面(VMSSC)。 此接口允许在安装代理之前远程配置DSM。
要安装代理,必须满足表1中的要求。
表1.服务器/代理安装步骤
服务器 | 代理商 |
---|---|
安装安全服务器软件(DSM) | -- |
配置DSM网络 | -- |
使用Web界面登录DSM控制台 | -- |
修改管理员密码 | -- |
创建管理员帐户 | -- |
创建安全密钥 | -- |
创建加密密钥组(如果需要多个密钥) | -- |
建立政策 | -- |
安装VMSSC | |
使用VMSSC添加GP | |
安装代理并在DSM中注册 |
为了使DSM FS代理的安装和配置保持简单,请假定已经安装了服务器(DSM),并且已安装了密钥和策略。 如果需要,请使用VMSSC命令创建密钥和策略。
创建VMSSC安装脚本
该脚本执行代理的静默安装。 必须在添加模式之前创建此脚本,因为该模式使用脚本。
该脚本遵循将脚本添加到PureApplication系统的准则:
- 在文件cbscript.json中公开脚本需要的变量。
- 具有实际的shell脚本和任何相关性,例如.zip文件。
- 将.json文件和其他Shell脚本以及.zip文件打包到一个文件中。 将.zip文件命名为vormetric-install.zip。 图5显示了该.zip文件的内容。
图5. vormetric-install.zip文件的内容
请注意,.zip文件中包含两个附加文件:
- vee-fs-5.1.0-20-rh6-x86_64.bin(FS代理安装文件)
- vmssc_rh6_64_5.1.0-24.gz(VMSSC命令行界面安装文件)
要将vormetric-install.zip上载到PureApplication系统目录:
- 单击目录>脚本包 。
- 单击加号( + )添加新脚本。
- 输入名称,然后单击确定 。
- 在脚本包文件下,点击浏览 。
- 选择包含安装脚本的.zip文件(在本例中为vormetric-install.zip),然后单击“上载” 。
系统将解析cbscript.json文件,并在定义变量时显示它们。 图6显示了输出。
图6. cbscript.json中的环境变量
如果需要,可以添加更多变量。 请注意,/ tmp / VMSSC是工作目录,而installAgent.sh是可执行文件。 此信息来自cbscript.json文件,如清单1所示。
清单1. cbscript.json标头
"version": "1.0.0",
"description": "This script package installs and Configures a
Vormetric File Agent in RH6.2",
"command": "/tmp/VMSSC/installAgent.sh",
"log": "${WAS_PROFILE_ROOT}/logs/",
"location": "/tmp/VMSSC",
创建名为Install Vormetric VMSSC的脚本。 该脚本也列在附录A中供您参考。
创建模式
创建虚拟模式时,要做的第一件事是通过添加零件将初始拓扑添加到模式。
- 单击虚拟模式页面顶部的加号,然后输入名称和描述。
- 从窗口右上方的面板中单击“ 编辑” 。
- 在Pattern Editor窗口中,从部件列表中选择一个基础服务器,如图7所示。
图7.独立服务器部分
- 将基本服务器拖到右侧的画布上,然后选择一个DB2服务器(图8)。
图8. Web应用程序服务器和选择的DB2
- 添加脚本:
- 要在Web应用程序服务器端添加DB2驱动程序,请从左侧列表中单击“ 选择脚本 ”。 搜索Install DB2 ,选择Install DB2 Drivers ,然后将它们放在Web应用程序服务器上(图9)。
图9.带有DB2驱动程序的Web应用程序服务器
- 要将Vormetric安装脚本添加到DB2 VM,请搜索Vormetric或VMSSC以缩小可用脚本的列表。 找到它后,将其拖到DB2服务器上(图10)。
图10.完成的模式
- 要在Web应用程序服务器端添加DB2驱动程序,请从左侧列表中单击“ 选择脚本 ”。 搜索Install DB2 ,选择Install DB2 Drivers ,然后将它们放在Web应用程序服务器上(图9)。
- 模式完成后,通过从顶部的窗口中选择Deploy进行测试。 等待部署完成,然后在“ 实例”>“虚拟系统”下查看部署历史记录(请参见表2)。
表2. DB2实例部署的历史记录
信息 | 日期 |
---|---|
虚拟系统已部署 | 2012年11月20日10:30:11 PM |
执行脚本包Must Gather必须在虚拟机pure-231-Standalone-DSM_DEPLOY11-2953上登录 | 2012年11月20日10:29:53 PM |
执行脚本包Must Gather登录虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952 | 2012年11月20日10:29:40 PM |
在虚拟机pure-231-Standalone-DSM_DEPLOY11-2953上执行脚本包maestro | 2012年11月20日10:29:14 PM |
在虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952上执行脚本包maestro | 2012年11月20日10:28:48 PM |
执行脚本包在虚拟机pure-231-Standalone-DSM_DEPLOY11-2953上安装DB2驱动程序 | 2012年11月20日10:28:14 PM |
执行脚本包在虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952上安装Vormetric VMSSC | 2012年11月20日10:27:11 PM |
执行脚本包 | 2012年11月20日10:26:43 PM |
启动虚拟机pure-231-Standalone-DSM_DEPLOY11-2953 | 2012年11月20日10:21:12 PM |
启动虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952 | 2012年11月20日10:16:13 PM |
在虚拟系统DSM_DEPLOY11中启动虚拟机 | 2012年11月20日10:16:13 PM |
注册虚拟系统DSM_DEPLOY11 | 2012年11月20日10:10:22 PM |
将虚拟映像传输到管理程序 | 2012年11月20日10:10:17 PM |
拓扑和网络的生成模型 | 2012年11月20日10:09:25 PM |
预留云资源 | 2012年11月20日10:09:20 PM |
部署已排队 |
- 如果您发现任何错误并且需要进行故障排除,请查看DB2 VM下的日志文件(图11)。
图11. DB2实例的远程日志
- 登录到DSM,并确保一切正常(图12)。
图12. DSM控制台显示已启用GP
当保护点(GP)到位时,所有写入GP的数据都会被加密。 从GP读取的所有数据均被解密,并作为原始未加密的数据传回。
附录A:安装Vormetric VMSSC脚本内容
清单2中的脚本显示了Vormetric VMSSC脚本的内容。
清单2. InstallAgent.sh
#!/bin/sh
export AGENT_HOST=`ifconfig eth1 | grep "inet addr" | awk '{ print $2 }' | awk 'BEGIN
{ FS=":" } { print $2 }'`
echo AGENT_HOST=
echo DSM_HOST=$DSM_HOST
#unzip agent CLI
mkdir vmssc
cd vmssc
tar -xzf ../vmssc_rh6_64_5.1.0-24.gz
chmod +x vmssc
#login to the DSM
./vmssc -s $DSM_HOST_IP -u $DSM_LOGIN_NAME -p $DSM_LOGIN_PASSWD -d $DSM_DOMAIN server
login
./vmssc server show -h vormetric.dsm > vormetric.log
#Add Agent to the list of Hosts on the DSM
./vmssc host add -G $AGENT_HOST
./vmssc server show -h vormetric.dsm >> vormetric.log
#add policy and keys
#./vmssc key add -a -h 239-key
./vmssc key show AgentKey-256 >>vormetric.log
#./vmssc policy add
./vmssc policy show -f policy.xml default_wide_open_policy >>vormetric.log
#set gp
mkdir ../encrypt
#Add Guard Point
./vmssc host addgp -p default_wide_open_policy -d /tmp/VMSSC/encrypt $AGENT_HOST
#Install the agent and register
cd ..
#create the silentinstall.txt file
export SERVER_HOSTNAME=$DSM_HOST_NAME
echo SERVER_HOSTNAME=$SERVER_HOSTNAME > agentSilentInstall.txt
export AGENT_HOST_NAME=$AGENT_HOST
echo AGENT_HOST_NAME=$AGENT_HOST >> agentSilentInstall.txt
#make sure we are in the hosts file
echo $DSM_HOST_IP $DSM_HOST_NAME >> /etc/hosts
#finally install and register the agent
chmod +x vee-fs-5.1.0-20-rh6-x86_64.bin
./vee-fs-5.1.0-20-rh6-x86_64.bin -s agentSilentInstall.txt
翻译自: https://www.ibm.com/developerworks/cloud/library/cl-installguardium/index.html