Effiziente Mainframe-Administration: Wie eine IAM-Lösung den Verwaltungsaufwand reduzieren kann

z/OS-Administratoren sind für eine Vielzahl von Aufgaben verantwortlich, um den reibungslosen Betrieb und die Wartung der z/OS-Umgebung zu sicherzustellen. Dazu gehören unter anderem die Benutzer- und Berechtigungsverwaltung, die Sicherheitsverwaltung, das Monitoring, die Softwareverwaltung und die Problemlösung. Während einige Aufgaben, wie zum Beispiel die Problemlösung, tiefgreifende Kenntnisse des Mainframe-Systems erfordern, können andere delegiert werden.

In diesem Artikel liegt der Schwerpunkt auf Identity Access Management (IAM), da es auch die Arbeitslast für z/OS-Administratoren in Bezug auf Compliance und Sicherheitsmanagement reduziert. Bei der Delegation von Mainframe-Administrationsaufgaben muss jedoch sichergestellt sein, dass der reduzierte Arbeitsaufwand nicht durch zusätzliche Wartungsaufgaben zunichtegemacht wird.

Der Markt bietet eine Vielzahl von IAM-Lösungen, wie zum Beispiel Beta Systems Garancy Suite. Doch solche mit spezieller Unterstützung für z/OS-Sicherheitssysteme wie ACF2, TopSecret und RACF sind selten. Einige Lösungen nutzen die LDAP-Schnittstelle von RACF, um ihre Aufgaben zu erfüllen. Für den Hersteller hat dieser Ansatz den Vorteil, dass für Implementierung und Wartung weniger Expertenwissen über z/OS erforderlich ist. Allerdings ist die administrative Tiefe durch die Möglichkeiten der LDAP-Schnittstelle begrenzt. Um ein zufriedenstellendes Niveau der Zugriffsverwaltung zu erreichen, müssen in der Regel zusätzliche Erweiterungen auf z/OS installiert werden.

Umfassendere Lösungen wie Garancy verfolgen einen anderen Ansatz: Sie setzen direkt auf ein Agentenprogramm, das auf z/OS ausgeführt wird, um administrative Aufgaben durchzuführen. Diese Methode ermöglicht eine größere administrative Tiefe, die nur durch die im Agenten implementierten Funktionen begrenzt ist.

Ein dritter Ansatz beinhaltet die Nutzung einer allumfassenden Schnittstelle zum z/OS-System, etwa über ein 3270-Terminal, um Befehle direkt zu senden. Diese Methode erfordert jedoch dieselben Fachkenntnisse wie die Implementierung eines Agenten auf z/OS und öffnet das System vollständig für die IAM-Lösung, ohne dass zusätzliche Sicherheitsmaßnahmen getroffen werden.

Die z/OS-Plattform unterstützt verschiedene IAM-Systeme, wobei RACF am weitesten verbreitet ist. Das Zugriffsmodell von RACF geht weit über das grundlegende Schema der Zuweisung von Benutzern zu Gruppen hinaus, um den Zugriff auf Ressourcen zu gewähren. Berechtigungen können über Benutzer- oder Verbindungsattribute wie AUDITOR oder SPECIAL erteilt werden, die in Zugriffslisten wie UACC definiert sind und über Sicherheitsklassifizierungen, Ressourcen oder Eigentumsrechte gewährt werden. Diese Liste ist nicht vollständig.

RACF bietet eine detailliertere Sicherheitskontrolle als jedes andere System außerhalb des Mainframes. Diese überlegene Cybersicherheit ist ein wichtiger Faktor für den Einsatz von Mainframes für geschäftskritische Anwendungen, wie zum Beispiel in Kernbankensystemen. Eine Reduzierung des Sicherheitsniveaus, um RACF in eine übergeordnete IAM-Lösung zu integrieren, ist in der Regel keine Option. Daher ist die administrative Tiefe der gewählten IAM-Lösung entscheidend, um administrative Aufgaben vom Mainframe weg zu verlagern.

Eine IAM-Lösung liefert leicht zugängliche Auswertungen über die Sicherheitsstruktur des z/OS-Systems, wobei die Detailtiefe von den administrativen Möglichkeiten der Software abhängt. Garancy zum Beispiel protokolliert alle am z/OS-Sicherheitssystem vorgenommenen Änderungen zentral, sodass sie leichter zugänglich sind als SMF-Aufzeichnungen auf z/OS. Außerdem bietet Garancy Helpdesk-Funktionalitäten, ohne dass Helpdesk-Administratoren RACF-Zugriff benötigen.

Der Kern jeder IAM-Lösung liegt in der Kontenverwaltung. Jedes IAM-System mit RACF-Unterstützung kann Benutzerkonten erstellen und löschen, doch bei RACF reicht dies bei Weitem nicht aus. Ein Mitarbeiter kann in den Time Sharing Options (TSO) nicht mit einem reinen RACF-Konto arbeiten, wenn ihm ein Alias im Master-Katalog fehlt. Daher ist die Verwaltung des Masterkatalogs für die RACF-Verwaltung selbst für die einfachsten Aufgaben unerlässlich. Zudem sollte das IAM-System berücksichtigen, dass der Masterkatalog möglicherweise von mehreren RACF-Systemen gemeinsam genutzt wird.

Genauso wie Alias-Definitionen für neue Benutzer erforderlich sind, um das Benutzerkonto nutzbar zu machen, werden Änderungen der Bedingungen für allgemeine Ressourcen erst wirksam, wenn sie neu geladen werden. Es ist wichtig, dass ein IAM-System solche Änderungen automatisch verarbeitet. Andernfalls stimmen die angezeigten Berechtigungen im IAM-System nicht mit den aktiven Berechtigungen in RACF überein. Genau hierfür hält Garancy die Live-Blancing-Funktion parat und bildet immer den aktuellen Stand der Berechtigungen ab.

Das Löschen von Benutzerkonten in RACF ist ebenfalls komplexer als auf anderen Plattformen. Benutzer haben Dataset-Profile, die zusammen mit dem Konto gelöscht werden müssen. Wird RACLINK genutzt, um Benutzer-IDs und Passwörter über mehrere Systeme hinweg zu teilen, muss diese Verbindung vor dem Löschen ebenfalls entfernt werden.

IAM-Systeme können die Verbindungen zwischen Benutzern und Gruppen verwalten. Gruppen spiegeln oft die Organisationsstruktur eines Unternehmens wider. Dies kann genutzt werden, um die Erstellung und Löschung von Gruppen und Ressourcen mit einer ausreichend leistungsfähigen IAM-Lösung zu automatisieren, um Änderungen in der Organisationsstruktur abzubilden.

Eine der häufigsten Aufgaben für Administratoren ohne ein IAM-System ist die Verwaltung von Ressourcendefinitionen. Klassen und Ressourcendefinitionen regeln die Benutzerberechtigungen innerhalb von RACF und sind ein zentraler Bestandteil der RACF-Sicherheitsverwaltung. Neue Versionen und Funktionen von Produkten, die auf dem Mainframe installiert werden, gehen in der Regel mit Änderungen an den Ressourcendefinitionen einher. Diese Änderungen werden normalerweise vom jeweiligen Softwarehersteller in einer Form bereitgestellt, die direkt auf dem Mainframe angewendet werden kann.
Es ist daher möglicherweise nicht praktikabel, diese Änderungen sofort über ein IAM-System umzusetzen. Dennoch ist es wünschenswert, sie im IAM-System zu sehen, Fehler zu korrigieren und anzupassen. Es sollte möglich sein, Berichte für einen Überblick zu erstellen und alle Berechtigungsänderungen zentral und unabhängig vom Mainframe zu protokollieren.

Neben dem anfänglichen Aufwand für die Einführung und Anpassung eines IAM-Systems fallen auch fortlaufende Wartungsarbeiten an. Diese lassen sich in drei Kategorien einteilen:

1. Wartung des IAM-Agenten und seiner erforderlichen Umgebung

2. Wartung individueller Erweiterungen auf z/OS

3. Aufwand für manuelle Aufgaben, die automatisiert werden könnten

Agenten für IAM-Systeme werden in der Regel nicht als unabhängige Softwareprodukte betrachtet. Hersteller von IAM-Lösungen verlangen meist, dass der Agent zusammen mit der Hauptinstallation innerhalb eines bestimmten Zeitraums aktualisiert wird. Dies zieht koordinierte Wartungsarbeiten durch das z/OS-Administrations-Team, zusätzlich zur allgemeinen Überwachung der laufenden Aufgaben, nach sich. Der Arbeitsaufwand hängt vom Software-Release-Zyklus und der Häufigkeit von Hotfixes ab.

Eine Ausnahme bildet die IAM-Lösung von Beta Systems: Garancy benötigt keine Updates des Agenten auf z/OS. Der Softwarestand des Agenten wird zentral vom IAM-System kontrolliert, wobei sichergestellt ist, dass Angreifer diesen Mechanismus nicht für unautorisierte Änderungen an der Software auf z/OS ausnutzen können.

Die Wartung der Umgebung des Agenten ist jedoch in jedem Fall notwendig. Dazu gehören das Betriebssystem und die Software, auf die der Agent angewiesen ist, wie etwa ein Java-Runtime-Environment oder die Verwaltung der LDAP-Schnittstelle.

Selbst wenn ein IAM-System vorgibt, RACF zu unterstützen, sollten die Details genauestens geprüft werden. Wenn die administrative Tiefe zu gering ist, können selbst grundlegende Aufgaben individuelle Anpassungen oder Erweiterungen des Produktes erfordern.

Die Minimierung individueller Anpassungen auf z/OS ist wichtig, um den Aufwand für die z/OS-Administration zu reduzieren. Der Hauptgrund dafür ist die Wartungsverantwortung, denn der gesamte Code muss gewartet werden. Der IAM-Systemhersteller ist für die Wartung des von ihm gelieferten Codes für den Agenten verantwortlich. Dadurch werden keine internen Ressourcen des Mainframe-Admin-Teams gebunden und die Wartungskosten werden auf alle Nutzer des Produkts verteilt.

Im Gegensatz dazu ist der Kunde für die Wartung seines eigenen Codes verantwortlich oder muss dessen Wartung extern durchführen und finanzieren. Kundenspezifischer Code erhöht dadurch den Mangel verfügbarer Arbeitszeit des Admin-Teams. Bereits jetzt gibt es nur wenige z/OS-Programmierer – und noch weniger werden mit dem individuellen Code vertraut sein, was die Kosten für die Wartung des benutzerdefinierten Codes auf z/OS noch einmal zusätzlich erhöht.

Angesichts des Mangels an z/OS-Experten sollte das zentrale Ziel eines IAM-Systems darin bestehen, Aufgaben so weit zu automatisieren, dass die ausführende Person die zugrunde liegenden Prozesse nicht verstehen muss. Ist eine vollständige Automatisierung nicht realisierbar, sollte zumindest angestrebt werden, die Arbeitslast von z/OS-Experten durch Teilautomatisierung weitestgehend zu reduzieren.

In der Regel wird die Entscheidung für eine Automatisierung auf der Grundlage eines Vergleichs der Kosten der Automatisierung mit den Kosten der wiederkehrenden, manuellen Ausführung getroffen oder wenn ein Experte sich in den Ruhestand verabschiedet. Angesichts der Knappheit an z/OS-Experten ist dieser Ansatz jedoch zu kurz gedacht. Einen externen Partner zur Implementierung von Automatisierungen zu gewinnen ist zwar nicht unmöglich, aber auf Grund der aktuellen Marktsituation eher unwahrscheinlich. Wenn die Automatisierung im z/OS-Umfeld mit einem IAM-System zusammenhängt, können nur wenige Beratungsfirmen, aber am ehesten vom Software-Herstellers selbst hilfreich sein. Die Aussicht auf Erfolg hängt hier stark von der Erfahrung des Anbieters mit Mainframes ab. Die langjährige Erfahrung von Beta Systems mit Mainframe- und zeitgleich mit IAM-Systemen und deren Implementierung macht Garancy zur idealen IAM-Lösung in Zusammenspiel mit dem Mainframe. Einerseits verfügt die IAM-Lösung selbst über eine große administrative Tiefe auf dem Mainframe, auf der anderen Seite verfügt Beta Systems über Experten für die selbst komplexe Implementierungsprojekte zum Alltag gehören.

Automatisierung ist daher eine Möglichkeit, Aufgaben von z/OS-Mitarbeitenden auszulagern, die nicht anderweitig delegiert werden können. Die von den z/OS-Administratoren des Unternehmens aufgewendete Zeit kann wertvoller sein als die finanziellen Kosten für Software oder externe Berater für die Automatisierung.

Obwohl der Mainframe nach wie vor eine zuverlässige Plattform für geschäftskritische Aufgaben ist, stellt der Mangel an erfahrenen z/OS-Administratoren ein erhebliches Risiko dar. Die Implementierung eines nicht z/OS-basierten IAM-Systems kann dieses Risiko mindern, indem sie die Arbeitsbelastung der z/OS-Administratoren reduziert.

Der Schlüssel zum Erfolg liegt darin, sicherzustellen, dass das IAM-System umfassende administrative Funktionen bietet, ohne dass individuelle Erweiterungen erforderlich sind. Solche Erweiterungen können zukünftige Kosten erheblich erhöhen und die Wartung erschweren. Dies gilt insbesondere für z/OS-Umgebungen, deren Wartung aufgrund des Mangels an z/OS-Programmierern ohnehin schwieriger als bei anderen Plattformen ist. Ein weiterer entscheidender Erfolgsfaktor ist die Qualität von Support und Beratung, die der Hersteller für Mainframe-Systeme bietet – ein Aspekt, der unmittelbar von seiner Fachkompetenz abhängt.

Die Garancy Suite von Beta Systems ist eine der umfassendsten IAM-Lösungen mit RACF-Management-Support unter den führenden IAM-Anbietern. Neben IBM ist Beta Systems einer der beiden einzigen Anbieter von IAM-Software, die auch Software für RACF-Management bereitstellen und somit über ein unvergleichliches Know-how im Bereich RACF auf dem IAM-Markt verfügt. Darüber hinaus führt der innovative Ansatz der Garancy Suite bei der Agentenwartung zu einem geringeren Wartungsaufwand im Vergleich zu Mitbewerbern.