「IBM z16 + z/OS V2R5」の稼働環境では、セキュリティー強化を目指した「Validated Boot for z/OS」新機能が提供され、IPLされたオペレーティング・システムに含まれる中核ソフトウェアの整合性を検証することが可能です。
■「Validated Boot」新機能は、①「IPLテキスト」、および、②「NUCLEUS」、「LPA」(PLPA/FLPA/MLPA)にロードされる実行可能モジュール(PDS)に対してお客様環境におけるデジタル署名をサポートし、かつ、新しいz/OS IPL方式(LD-IPL: List-Directed IPL)を用いてデジタル署名の検証(不正改ざん有無の検査)を行うことが可能です。
※IBMからデジタル署名済みのロード・モジュール等を提供するわけではありません
※お客様環境でデジタル署名を実施することは任意
■①、②の資源に対してデジタル署名が行われた場合でも、従来のz/OS IPL方式(CCW-IPL)、新しいz/OS IPL方式(LD-IPL: List-Directed IPL)が共に使用可能です。
■「Validated Boot for z/OS」は、米国の国家安全保証連合(NIAP: National Information Assurance Partnership)によるOS保護プロファイル 4.2.1認定(OS Protection Profile 4.2.1 Certification)取得に向けた要件を満たすように設計されています。
【機能概要①】 ※デジタル署名の実施 ・・・ RACF設定などの詳細は、本文書の最後にあります【技術情報】を参照ください
■「Validated Boot」新機能は、①「IPLテキスト」、および、②「NUCLEUS」、「LPA」(PLPA/FLPA/MLPA)にロードされる実行可能モジュール(PDS)へのデジタル署名をサポートします。
※その他、GENPARMS DDステートメントにて「AMDSADMP LDIPL=YES」パラメータ指定することで、デジタル署名済のStand Alone Dumpプログラムを作成可能
①署名済の「LD-IPLテキスト」作成
SYSRESボリューム上に「IPLテキスト」を作成するジョブ(ICKDSF REFORMATコマンド)に対して、「LDIPL(STANDARD)」新オプションを指定
・従来、SYSRESボリューム(シリンダー0、トラック0)には、「レコード4」として「IPLテキスト」(IEAIPL00)を含みますが、「LD-IPLテキスト」が存在する場合は、「レコード5」以降として、「LDI1」、「LDI2」などが続きます。
※DFSMSdss PRINTコマンドにて確認可能
②「NUCLEUS」、「LPA」実行可能ロード・モジュールへの署名
署名を実施
|
PGM=IEWSIGN,PARM=’ACTION=SIGN’
|
署名を除去
|
PGM=IEWSIGN,PARM=’ACTION=UNSIGN’
|
署名の状況をレポート
|
PGM=IEWSIGN,PARM=’ACTION=REPORT,REPORTLEVEL=1|2|3’
|
■z/OSMF V2R5 PSI(Portable Software Instance)ServerPacで提供される「PostDeploy」ワークフローの中に、デジタル署名を実施するステップが提供されます。
■PTF適用に伴いロード・モジュールが更新された場合、署名を再度実施する必要があります。
※PGM=IEWSIGN,PARM=’ACTION=SIGN,STATE=UNSIGNED’ ・・・ 既に署名済のロード・モジュールは除き、署名を再度実施
【機能概要②】 ※新しいz/OS IPL方式
■「Validated Boot」新機能をサポートする、IBM z16の「GA 1.5」相当ファームウェア・レベルからは、HMCの「Load Task」パネルが大きく変更され、「IPL type」として下記どちらかを選択する必要があります。
・従来のz/OS IPL方式(CCW-IPL)➡ デジタル署名を検証しない
・新しいz/OS IPL方式(LD-IPL: List-Directed IPL)➡ デジタル署名を検証する(Validated Boot)
■「Validated Boot」(LD-IPL)では、「Enforce」モード、「Audit」モードの2種類が使用可能です。
①「Enforce」モード ・・・ 妥当性検査が失敗した場合、あるいは、構成上の前提を満たさない場合、システム初期設定処理は中止
・妥当性検査が失敗した場合は、CSV050Iメッセージ出力を伴い、「WAIT EC9」が発生
CSV050I Signature verification failed for module mmmmmmmm in dataset d. {Not signed | Reason: r}
・VFM(Virtual Flash Memory)を導入の上、ページング用にSCM(Storage Class Memory)構成が必要 ・・・ PARMLIB(IEASYSxx) PAGESCM=パラメータ(省略時値: ALL)
※さもないと、IAR079Wメッセージ出力を伴い、「WAIT A2D」が発生
IAR079W VALIDATED BOOT - STORAGE CLASS MEMORY IS REQUIRED
・SCM構成が使用可能にもかかわらず、PARMLIB(IEASYSxx)メンバーの「PAGE」パラメータにて「PLPA」データセット指定がある場合は、ILR041Iメッセージ出力を伴い、「PLPA」データセット使用不可として処理(*NONE*指定扱い)
ILR041I VALIDATED BOOT - PLPA PAGE DATA SET SPECIFICATION IGNORED DUE TO ENFORCE MODE
②「Audit」モード ・・・ 検出された妥当性検査の問題を記述するために監査レコードを生成し、システム初期設定処理は続行
・検査に失敗したロード・モジュール、それを含むライブラリー名など、監査レコードを印刷可能(PGM=IEAVBPRT,PARM=’SUMMARY | DETAIL’)
・「Enforce」モードではSCMが必要となるため、IAR078Iメッセージにて通知
IAR078I VALIDATED BOOT - STORAGE CLASS MEMORY IS NOT AVAILABLE. WOULD WAIT STATE IF ENFORCE MODE.
・「Enforce」モードではSCMの容量不足が発生した場合に「WAIT 03C」が発生するため、ILR043Iメッセージにて通知
ILR043I VALIDATED BOOT - STORAGE CLASS MEMORY IS FULL. WOULD WAIT STATE IF ENFORCE MODE.
■「Validated Boot」では、「LD-IPLテキスト」のデジタル署名を検証する目的で、z/OS IPL処理の前に「zBootLoader」がまず起動します。
■「Validated Boot」では、「Enforce」、「Audit」モードによらず、「CLPA」が強制されます。
※IPL時に何らメッセージ出力なし
【「Validated Boot」の前提】
■「Validated Boot for z/OS」に必要な機能変更は、ICKDSF、Supervisor、SADUMP、SAF、RACF、Binder、RSM、IPCSなど多岐のコンポーネントに渡り、z/OS V2R5に対して一連のAPAR/PTFが提供されます。
|
ドライバー・システムの前提
|
ターゲット・システムの前提
|
システムの位置付け
|
「デジタル署名」を実施するシステム
|
「Validated Boot」を実施するシステム
|
IBM z16「GA1.5」レベルのファームウェア
|
不要
|
必要
|
z/OS V2R5
|
必要
|
必要
|
SMP/E FIXCATにて必要な保守のセットアップ
|
IBM.DrivingSystem-RequiredService
|
IBM.Device.Server.z16-3931.Exploitation
IBM.Function.ValidatedBoot
|
■デジタル署名を実施するドライバー・システムは、IBM z16の「GA 1.5」相当ファームウェア・レベルを必要としませんが、z/OS V2R5以降で稼働する必要があります。
※z/OS V2R5のドライバーを使用してz/OS 3.1を導入する場合、その過程でデジタル署名は実施可能
※z/OS V2R4のドライバーを使用してz/OS 3.1を導入する場合、その過程でデジタル署名は実施不可
【「Validated Boot」関連PTFの考慮事項】 ※①APAR OA63507(PTF UJ92728)
■D IPLINFOコマンド実行時に出力されるIEE254Iメッセージが変更され、「Validated Boot」の使用状況を示す行が挿入されました。(3種類のメッセージ・テキスト)
※従来の「CCW IPL」を実施する場合、PTF適用後は、稼働サーバー種別によらず(z16のみならず)、また、z16のファームウェア・レベルによらず、「VALIDATED BOOT: NO」を表示
■IEE254メッセージに含まれる「Validated Boot」の使用状況(D IPLINFOコマンド)
※IEE254Iメッセージを自動化対象にしている場合は、「VALIDATED BOOT」行の挿入に伴う影響有無を要確認
HMC 「Load Task」
|
「Validated Boot」
使用状況
|
IEE254Iメッセージ
(D IPLINFOコマンド実行結果)
|
IPL Type
|
Validation
|
Channel Command Word(CCW)
|
N/A
|
未使用
|
VALIDATED BOOT: NO
|
List-directed
|
Enable Secure Boot
|
選択時
|
「Enforce」モード
|
VALIDATED BOOT: ENFORCE,INACTIVE
|
Enable Secure Boot
|
非選択時
|
「Audit」モード
|
VALIDATED BOOT: AUDIT,INACTIVE
|
■「Validated Boot」使用時の事例(z/OS V2R5)
「Validated Boot」の「Audit」モード使用時(z/OS V2R5)
|
D IPLINFO
IEE254I 14.28.16 IPLINFO DISPLAY 043
SYSTEM IPLED AT 10.54.42 ON 04/17/2023
RELEASE z/OS 02.05.00 LICENSE = z/OS
USED LOAD57 IN SYS0.IPLPARM ON 0A5C0
ARCHLVL = 2 MTLSHARE = N
VALIDATED BOOT: AUDIT,INACTIVE
IEASYM LIST = (X7,R5,U7,L)
IEASYS LIST = (VB,X7) (OP)
IODF DEVICE: ORIGINAL(0A5C0) CURRENT(0A5C0)
IPL DEVICE: ORIGINAL(09826) CURRENT(09826) VOLUME(VLB7L5)
|
【「Validated Boot」関連PTFの考慮事項】 ※②APAR OA62783(PTF UJ92591)
■SYS1.SAMPLIBデータセット提供のメンバー、IPLRECS、IEAIPL00が更新され、ICKDSF REFORMATコマンドによる「IPLテキスト」の再作成が必要になります。
※再作成を行わない場合、IPL時にWAIT075 RSN006発生
■PTF UJ92591の「HOLD(ACTION)」には、SYS1.SAMPLIBデータセット提供のIPLRECSメンバーが更新された旨の記載はありません。(IEAIPL00のみ記載あり)
【その他の考慮事項】
■「Validated Boot」をサポートするIBM z16の「GA 1.5」相当ファームウェア・レベルでは、HMC 「Load Type」パネルにて、「z/OS」、「SADUMP」どちらかをIPL対象として選択する必要があります。
Load type:
○Load an OS ➡ z/OSをIPLする場合
○Load a dump program ➡ SADUMPをIPLする場合
|
【発表関連情報】
■2022/06/21発表レター
Statement of direction
Validated Boot for z/OS
https://www.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/5/760/ENUSJP22-0255/index.html#sodx
https://www.ibm.com/common/ssi/ShowDoc.wss?docURL=/common/ssi/rep_ca/5/760/JAJPJP22-0255/index.html#sodx
■2023/06/20発表レター
IBM z/OS V2.5 2Q 2023 enhancements
Published: 20 June 2023(AD23-0438)
https://www.ibm.com/docs/en/announcements/zos-v25-2q23-update
https://www.ibm.com/docs/ja/announcements/zos-v25-2q23-update
【技術情報】
■参照: PTF UJ92728(APAR OA63507)の「HOLD(DOC)」情報
https://ibm.biz/zosValidatedBoot
Validated Boot White Paper
https://ibm.biz/zosValidatedBootC3_PDF
Validated Boot PDF
https://ibm.biz/zosValidatedBootC3_doc
Validated Boot webpage
【追加情報: 2023/11/10】
#108【z/OS V2R5/3.1変更点】 「D IPLINFO」コマンド実行結果(IEE254Iメッセージ出力)
https://community.ibm.com/community/user/ibmz-and-linuxone/blogs/shigeki-kimura1/2023/11/10/sharing-zos-upgrade-info-by-professor-kimura-108j
以上