z/OS V2R5、3.1では、「IBM z16」向けのセキュリティー強化として「Validated Boot」新機能をサポートし、IPLされたオペレーティング・システムに含まれる中核ソフトウェアの整合性を検証することが可能です。
①「IPLテキスト」および「NUCLEUS」、「LPA」(PLPA/FLPA/MLPA)にロードされる実行可能モジュール(PDS)に対してお客様環境におけるデジタル署名をサポート
②新しいz/OS IPL方式(LD-IPL: List-Directed IPL)を用いてデジタル署名を検証(不正改ざん有無の検査)
※z/OS IPL処理の前に「zBootLoader」が起動 ➡ 「LD-IPLテキスト」のデジタル署名を検証
■「Validated Boot」(LD-IPL)では、「Enforce」モード、「Audit」モードの2種類が使用可能で、いずれも強制的に「CLPA」が行われます。
※「Enforce」モード ➡ 妥当性検査が失敗、あるいは構成上の前提を満たさない時、システム初期設定処理は中止(WAIT EC9)
※「Audit」モード ➡ 検出された妥当性検査の問題を記述するために監査レコードを生成し、システム初期設定処理は続行
■関連情報
#103【z/OS V2R5変更点】 「Validated Boot」新機能に伴うIEE254Iメッセージ出力への影響(D IPLINFOコマンド)
https://community.ibm.com/community/user/ibmz-and-linuxone/blogs/shigeki-kimura1/2023/07/14/sharing-zos-upgrade-info-by-professor-kimura-103j
【IEE254Iメッセージ出力の変更点】
■D IPLINFOコマンド実行時に出力される IEE254Iメッセージに対して、「Validated Boot」の使用状況を示す行が挿入されました。
※同様な機能変更は、APAR OA63507でも発生(z/OS V2R5) ・・・ 「Validated Boot」 新機能対応PTF UJ92728
■HMC 「Load Task」による「Validated Boot」の選択有無とIEE254Iメッセージの出力内容(D IPLINFOコマンド実行結果)
【考慮事項】
■従来の「CCW-IPL」を実施する場合、サーバー種別によらず(z16のみならず)、また、z16のファームウェア・レベルによらず、 IEE254Iメッセージでは「VALIDATED BOOT: NO」を表示します。
■何らかの目的でIEE254Iメッセージ(D IPLINFOコマンド実行結果)を自動化対象にしている場合は、「VALIDATED BOOT: NO」の追加表示(情報の挿入)に伴う影響有無を事前に確認する必要があります。
※例えば、IEE254Iメッセージに含まれる「IPL装置アドレス」情報が、従来の「9行目」から「10行目」に変更されたことによる影響有無
以上