ISAM 8 Migratie

Door: Abdel, Security Engineer & Derk, Senior Security Consultant & Sales

Veel van onze klanten met een IBM Security Access Manager (ISAM) installatie staan aan de vooravond van een migratie naar de nieuwste versie, versie 8. De meeste klanten draaien momenteel versie 6.1.1 die april volgend jaar ‘end of support’ is. Hierdoor zijn we bij sommige klanten begonnen met migreren naar de nieuwste versie. Migreren? Van de ene versie naar een andere is toch updaten/upgraden? Zeker, maar vaak is dit ook een goed moment voor een klant om de onderliggende machines en infrastructuur te vernieuwen. Daarom bouwt SecurIT eigenlijk altijd een parallelle omgeving op naast de oude en verplaatst een voor een de services naar de nieuwe installatie.

In deze weblog willen we jullie een klein kijkje in de keuken geven om deze vernieuwing van Access Manager succesvol uit te voeren. We beginnen met een korte uitleg van het ISAM product, daarna onze ervaringen. We gaan in dit artikel niet volledig de technische diepte in. Mocht je interesse hebben in meer technisch details, neem dan contact met ons op, we delen graag onze kennis!

Wat is Access Manager
IBM Security Access Manager is een oplossing waarbij een website op een eenvoudige manier beveiligd kan worden. Een web applicatie server zorgt voor een mooie website, Access Manager zorgt ervoor dat de bezoekers geauthentiseerd en geautoriseerd worden. Dit maakt het voor veel organisaties veel eenvoudiger om snel een nieuwe website te bouwen omdat de zorgen van beveiliging naar een apart voorliggend onderdeel zijn verplaatst. Als je een metafoor zou willen gebruiken kunnen je denken aan de uitsmijter bij een nachtclub; niet iedereen komt zomaar binnen.

Dit plaatje geeft het basis concept van Access Manager. Wanneer een bezoeker een beveiligde website wil bezoeken komt dat verzoek aan bij ISAM. ISAM vraagt aan de bezoeker zich te identificeren, bijvoorbeeld met een gebruikersnaam en wachtwoord. ISAM controleert deze gegevens in een User Repository, vaak een LDAP. Als ISAM heeft vastgesteld met welke bezoeker het te maken heeft controleert het welke autorisaties deze bezoeker heeft. Is de bezoeker geautoriseerd om de website te bezoeken dan neemt ISAM contact op met de achterliggende Web Applicatie Server waarbij voor het personaliseren van de webpagina informatie over de bezoeker word meegestuurd. De Web Applicatie Server levert een pagina af aan ISAM, die controleert het op correcte beveiliging en stuurt het dan door naar de bezoeker. Dit is in een notendop hoe ISAM een website beveiligt.

IBM Security Access Manager 8
Met versie 7 van Access Manager is IBM een fundamenteel andere weg ingeslagen, was tot dan toe Access Manager enkel leverbaar als zelf te installeren software, met versie 7 werd ook een appliance uitvoering beschikbaar. Met versie 8 is er enkel nog de appliance en kan het product niet meer zelfstandig geïnstalleerd worden. Aan dit nieuwe concept  moesten onze klanten en wij wel even wennen aangezien er een nieuwe filosofie aan ten grondslag ligt. Voor de software oplossing kwamen er, uiteraard, fixpacks en andere updates uit, met de appliance echter is er elk kwartaal een nieuwe firmware versie. Elk kwartaal zijn er diverse issues opgelost maar zijn er ook nieuwe mogelijkheden en features beschikbaar. Het frequent introduceren van nieuwe features en mogelijkheden was iets wat we in de software uitvoering niet kenden. IBM adviseert met deze nieuwe appliance benadering dan ook om, net als je dat met je smartphone doet, deze nieuwe kwartaal versies te activeren en zo up-to-date te blijven.

Migratie Recept
Een goede voorbereiding is zoals bij zoveel dingen is ook hier cruciaal. Als ingrediënten heb je nodig:

  • Netwerkplan, adressen van andere machines en SSL certificaten
  • Inventarisatie huidige ISAM oplossing
  • Overzetten hoofd component
  • ISAM migratie script
  • Testomgeving
  • Handigheid in troubleshooting

De infrastructuur; het netwerk, firewalls en load-balancers is een van de eerste zaken die in orde moet worden gemaakt. Bij veel grote organisaties zijn er verschillende afdelingen die dit soort zaken regelen waardoor het vaak wat tijd kost voordat dit onderdeel technische in orde is. Vaak zijn het onze engineers die hier een kleine coördinerende rol in spelen, zij hebben kennis van de ISAM oplossing waardoor ze ook precies aan kunnen geven hoe de andere netwerk componenten precies ingesteld moeten worden. Een van onze methodes om het overzicht te houden is het gebruiken van een connectivity matrix. Omdat Access Manager de identiteit van de bezoeker vast moet stellen is er ook altijd een user repository waarmee verbinding gemaakt moet worden, soms is dat er een maar vaak zijn de populaties zo groot, en de belangrijkheid van de website zo groot dat er meerdere geplaatst worden die onderling gesynchroniseerd worden. Praktisch altijd wordt Access Manager ingezet bij web sites die goed beveiligd moeten worden, bijvoorbeeld voor Internetbankieren of het inzien van je abonnement en rekeningen bij een Telefoon of Internet Provider. Deze verbindingen moeten beveiligd worden, het bekende https in je browser. Daarvoor moeten de juiste SSL certificaten worden aangevraagd en ingesteld op de ISAM appliance.

Terwijl deze basis zaken geregeld worden kan er goed gekeken worden hoe de huidige ISAM implementatie eruit ziet. Hoeveel websites draaien er? Hoeveel Web Applicatie Servers zijn er? Welke speciale instellingen zijn er voor die verbindingen nodig? Welke klantgegevens moeten er voor personalisatie worden doorgegeven aan de Web Applicatie Server? Hoeveel ISAM componenten zijn er nodig? Hoeveel verkeer genereert de site? Veel van dit soort zaken zullen tijdens een migratie identiek worden overgezet, toch zijn er wel eens bevindingen waardoor de nieuwe oplossing op accenten anders word opgezet. Zo is bij de recente migratie voor een van hun belangrijkste website het aantal ISAM componenten die het verkeer afhandelt van tien teruggegaan naar zes. Dit omdat de nieuwe ISAM appliances aanmerkelijk meer rekenkracht hebben dan de machines waarop ISAM 6 stond.

ISAM werkt op basis van een hoofdcomponent, de zogenaamde Policy Server, door sommigen van ons ook wel de moeder van de ISAM omgeving genoemd. Alle ISAM componenten die er zijn kunnen namelijk alleen maar via de Policy Server worden gemaakt, net kinderen dus. De Policy Server heeft naast deze taak het inregelen van de autorisaties voor de diverse websites. Welke deel-populaties mogen op een bepaalde website of pagina komen? De autorisatie informatie wordt door de Policy Server beheerd en verdeeld over de andere ISAM componenten. Als eerste hebben we de Policy Server overgezet naar een ISAM 8 Appliance en alle bestaande ISAM 6 componenten verteld dat ze een nieuwe moeder hebben. Dat moet vast even schrikken zijn geweest voor ze maar we hebben ze zo goed mogelijk voor de gek gehouden dat ze het, technisch in ieder geval, niet in de gaten hebben gehad.

Toen deze stap eenmaal klaar was konden we de ISAM componenten die de websites beveiligen een voor een gaan overzetten. Hiervoor heeft IBM een speciaal migratie script beschikbaar gesteld. IBM heeft behoorlijk wat tijd geïnvesteerd om met speciale scripten een migratie van een ISAM 6 component naar ISAM 8 mogelijk te maken. Het uitvoeren van dit script is in theorie eenvoudig genoeg; ga naar een oud ISAM 6 component, draait het script. Het resultaat importeer je in de ISAM 8 Appliance. En klaar. Helaas, zoals wel vaker, is de praktijk wat weerbarstiger. In een lab-omgeving werkt het script prima, bij klanten zijn er toch echter vaak speciale configuraties toegepast waardoor dit script nog wel eens een steekje liet vallen. Niet onbegrijpelijk, er zijn zo ongelooflijk veel mogelijkheden, het is dan echt van belang om te weten welke gaten er vallen. Door meerdere malen dit script uit te voeren en het te testen op een testomgeving kom je langzaam dichter bij een procedure om de migratie succesvol te laten verlopen. Tijdens dit proces die gepaard gaat met vaak proberen en veel troubleshooting is er door ons zeer gespecialiseerde ISAM engineers vastgesteld welke zaken er niet goed door het automatische script werden overgenomen. De procedure bestond er uiteindelijk dan ook uit om het automatische script uit te voeren, het resultaat handmatig aan te passen volgens een vastgesteld controle lijstje en daarna te importeren in de ISAM 8 Appliance.

Tekortkomingen Script
Zoals aangegeven is het begrijpelijk dat het script niet alle mogelijkheden van een ISAM 6 configuratie vlekkeloos kan overzetten naar een ISAM 8 configuratie. Enige items waar wij tegen aan gelopen zijn:

  • Bij meerdere ISAM componenten op een machines/appliance waren de diverse ondersteunden bestanden hun unieke naam verloren en werd de default voor elke component gebruikt — Dit geeft conflicten en moest handmatig worden rechtgetrokken.
  • Sommige nieuwe ISAM 8 features werden automatisch aangezet tijdens het migratie proces — Dit is onwenselijk; eerst een succesvolle migratie met dezelfde functionaliteit, daarna pas nieuwe mogelijkheden introduceren.

Migratie Ingewikkeld?
Is een ISAM migratie nu complex? Dat durven wij als SecurIT niet direct te zeggen, wat wel opvallend was dat onze medewerkers tijdens een IBM Security Technical Academy voor IBM medewerkers en Business Partners opgezocht werden door IBM medewerkers uit Frankrijk en Amerika over een recente succesvolle migratie — Blijkbaar was dit binnen de IBM gemeenschap toch iets bijzonders waardoor dit de landsgrenzen al over was. Een leuk compliment, en onverwacht ook, onze engineers genieten nu juist van een technische uitdaging en bijten zich daar graag in volle overtuiging in vast. Als we dan ook nog van IBM zelf vragen hierover krijgen is dat toch wel bijzonder.