Datum
14.10.2010
Dieser Beitrag wurde verfasst von:
Eine Applikationsübergreifende Absicherung kritischer Daten ist heute gerade beim Einsatz einer zentralen Middleware Lösung eine der signifikanten Fragen die es zu lösen gilt.
Als Antwort stellte IBM pünktlich eine Woche vor Start der WebSphere Technical Conference in Düsseldorf ihr neues Produkt der MQ Produktfamilie vor – WebSphere MQ AMS. Die „Advanced Message Security“ als Add On für bestehende MQ Infrastrukturen adressiert die erweiterten Anforderungen in den Bereichen der Nachrichtenverschlüsselung und -Signierung und positioniert sich somit als direkter Nachfolger der MQ „Extended Security Edition“
Betrachtet man jedoch beide Produkte im direkten Vergleich so ergeben sich bei genauerem Hinschauen eine Reihe von architektonischen Differenzen, die MQ AMS eher in das Licht eines neuen, eigenen Produktes rücken als es als Produktupdate zu klassifizieren.
Was können wir von WebSphere MQ AMS erwarten?
MQ Advanced Message Security bietet neben den SSL Verschlüsselungsmechanismen der Nachrichten auf dem Channel mittels MQ Bordmitteln die Möglichkeit, Nachrichten auf Queues verschlüsselt abzulegen und etabliert somit die Rahmenbedingungen für eine End-To-End Verschlüsselung von Daten über das gesamte MQ Netzwerk hinweg. Dabei werden digitale Zertifikate in Verbindung mit einer Public Key Infrastruktur (PKI) herangezogen, um zum einen die Nachrichten zu verschlüsseln und zu signieren und zum anderen den Zugriff auf diese Daten zu reglementieren.
MQ Advanced Message Security bietet neben den SSL
Verschlüsselungsmechanismen der Nachrichten auf dem Channel mittels MQ Bordmitteln die Möglichkeit, Nachrichten auf Queues verschlüsselt abzulegen und etabliert somit die Rahmenbedingungen für eine End-To-End Verschlüsselung von Daten über das gesamte MQ Netzwerk hinweg. Dabei werden digitale Zertifikate in Verbindung mit einer Public Key Infrastruktur (PKI) herangezogen, um zum einen die Nachrichten zu verschlüsseln und zu signieren und zum anderen den Zugriff auf diese Daten zu reglementieren.
Aufbau einer MQ AMS
Im Fokus der Entwicklung von AMS stand neben der einfachen Verwaltung der Zertifikate und Sicherheitsrichtlinien die Möglichkeit zur transparenten Integration der Lösung in bestehende MQ Infrastrukturen. Dies wurde durch den Einsatz eines Security Exits, sog. Interceptoren realisiert, deren Konfiguration unabhängig von denen der der Applikationen zu sehen ist.
Diese Interceptoren, welche als zentrales Gate zwischen die Applikationen und die MQ Server Instanz geschaltet werden, übernehmen das gesamte Zertifikatshandling und validieren die Userinformationen. Anhand der angewendeten Sicherheits-richtlinien entscheiden sie letztendlich, ob und in welcher Form eine Applikation mit einer geschützten Queue interagieren darf.
Übersicht MQ AMS
Die wichtigsten Produktkriterien:
- Zusatzprodukt für WebSphere MQ V6 / V7
- Unterstützt X509 Zertifikate und PKIs
- Verschlüsselt / schützt Nachrichten auf einer MQ Queue
- Full Java Support (Client / API)
- MQ AMS Plugin zur Verwaltung im MQ Explorer
- Command Line Tool zur Richtlinienverwaltung
Fazit
Zusammenfassend hat IBM mit der MQ Advanced Message Security Edition ein smartes Produkt vorgestellt, welches genau dort ansetzt, wo bestehende MQ Basisinstallationen im Bereich der Nachrichtenverschlüsselung noch Potential offen lassen. Es zeichnet sich gerade im Vergleich mit der vorangegangen ESE durch eine optimierte Handhabung und optimale Integrationsmöglichkeiten aus, ohne dabei mit massiven Infrastrukturänderungen einherzugehen.
Offen bleibt letztendlich die Frage wie der Einsatz einer AMS in einem Enterprise Environment aussehen könnte, da in dieser Hinsicht die notwendigen Komponenten für eine zentralisierte Verwaltung fehlen.
Partizipieren Sie von unseren Erfahrungen durch die Teilnahme am Early Design Programm für MQ AMS und lassen Sie sich diese neue Technologie an einem praktischen Anwendungsfall vorführen. Für Fragen stehen ich Ihnen jederzeit gerne zur Verfügung.
Autor
Wolfgang Schmidt