CONTROLER
AccueilGroovy ?SolutionsNewsPartenairesContact

 

CONTROLER : la sécurité active de votre iSeries.

CONTROLER protège vos données, quel que soit le moyen d’y accéder : il surveille et contrôle les accès externes à votre System i, mais aussi toutes les commandes OS/400 et les instructions SQL.

Il permet de contrôler :

  • Les accès à votre serveur iSeries par TCP-IP ou Client Access
  • Les commandes natives émises par vos utilisateurs
  • Les données échangées entre vos applications par data queues                

Utilisant la technique des Exit points de l'OS/400, CONTROLER s'inscrit dans une logique d'auditabilité des contrôles effectués et des actions prises. Il permet d'assurer une meilleure surveillance des données confidentielles grâce au module d'audit du moteur SQL & QRY.

CONTROLER répond à plusieurs objectifs :

  • Facilité de mise en oeuvre
  • La possibilité de contrôles fins et pertinents
  • Traçabilité et auditabilité des actions et contrôles effectués
  • Dégradation minimale des performances de la machine iSeries

CONTROLER comprend un outil de simulation permettant de tester les contrôles et conditions rédigées sans perturber l'exploitation de la machine.

 

Le contrôle des accès par TCP-IP

Les accès TELNET et les instructions FTP sont gérées ainsi que les commandes distantes (remote command)

  • Autoriser le téléchargement de fichiers mis à disposition sur votre serveur iSeries, mais n'autoriser que certains groupes d'utilisateurs à rapatrier depuis leur PC ou un autre serveur des données vers l'iSeries.

 

  • Refuser les connexions en provenance d'un poste de votre réseau identifié par son adresse IP.

 

Le contrôle des accès par Client Access        

Les accès au serveur ODBC de l'iSeries sont filtrés, ainsi que les commandes distantes (Remote Command)

Client Access permet aux utilisateurs autorisés aussi bien la lecture que l'écriture des données dans votre base de données sur iSeries.

  • Avec CONTROLER, vous pouvez autoriser aux utilisateurs les requêtes effectuant des Instructions SELECT mais refuser les INSERT sur certains fichiers.

 

Le contrôle des commandes       

Vous pourrez grâce à cette fonction maîtriser en détail l'utilisation des commandes par les utilisateurs et limiter leur usage de façon très fine

Par exemple :

  • Autoriser les informaticiens à n'utiliser les commandes que si elles sont dans une bibliothèque de test.
  • Autoriser une commande comportant un code société en paramètre aux utilisateurs d'une liste des membres de cette société mais l'interdire aux autres.
  • Créer un poste dans un journal lors de l'utilisation d'une commande précise en mémorisant les paramètres transmis.

 

L'audit du moteur SQL & QRY

Intégré dans l'interface CONTROLER, ce module permet de s'assurer de la confidentialité des données sensibles.

Il logue et alerte, pour les travaux, utilisateurs, etc que vous aurez décidé d'auditer :

  • les instructions SQL exécutées (SELECT, UPDATE, DELETE, INSERT, DROP, etc),
  • les points d'entrée (STRSQL, RUNSQLSTM, ODBC, RUNQRY, WRKQRY, etc),
  • ainsi que les fichiers visualisés par QRY.

Exemple : être alerté lorsqu'un utilisateur non autorisé consulte par SQL des données de paie, les limites de crédit, etc.

 

Les possibilités de filtres

Les filtres peuvent porter :

  • au niveau fichier : sur le nom mais aussi sa bibliothèque, son attribut, son propriétaire, sa valeur d'audit, le membre concerné
  • au niveau de la commande utilisée : son nom et bibliothèque,
  • au niveau du travail : sur la date et l'heure, le jour de la semaine, l'adresse IP
  • au niveau de l'utilisateur : sur le profil, mais aussi sa classe, son groupe, sa valeur d'audit, ses possibilités restreintes, ses programme et
  • menu initiaux
  • au niveau data queue : son nom et sa bibliothèque

Les sélections peuvent être effectuées directement dans le contrôle, ou être mémorisées puis utilisées dans plusieurs contrôles

Les conditions peuvent s'appliquer pour une valeur particulière ou sur des listes de conditions partagées avec QJRN/400

 

Les actions     

Pour chaque contrôle, on définit si la commande doit être autorisée ou refusée quand les conditions sont remplies.

On pourra préciser une action à effectuer :

  • Création d'une trace dans un journal, (lien avec QJRN/400) ou un fichier
  • Envoi d'un message (OS/400 ou email) à une liste de destinataires prédéfinie
  • Exécution d'un programme (la source d'un programme exemple est fournie et commentée)

 

L'historique

Les événements que vous avez choisi de suivre au niveau de l'historique apparaissent au choix par ordre chronologique, par point de contrôle, par utilisateur... de nombreuses possibilités de filtres vous permettent d'ajuster l'affichage aux événements que vous recherchez. Vous pouvez ensuite imprimer votre sélection.

Pour chaque événement, vous pourrez visualiser le détail de l'opération, jusqu'au moindre paramètre utilisé dans la commande.

Le traitement dans l'historique (log) d'un accès refusé permet d'enrichir directement les listes de condition ayant provoqué le rejet (ajout d'un nouveau profil à la liste des développeurs, ajout de l'adresse IP d'un nouveau poste de travail dans la liste des adresses IP de l'agence concernée).

 

Quelques exemples d'utilisation...

  • Interdire l'utilisation d'une ou plusieurs commandes à tel ou tel groupe, classe ou utilisateur particulier
  • Eviter des écrasements intempestifs de fichiers par CA/400 ou FTP
  • Effectuer des contrôles différents selon les heures ou les jours
  • Différencier les actions à mettre en oeuvre selon que l'opération concerne une bibliothèque de production ou une bibliothèque de test
  • Limiter l'accès à certaines commandes (IBM ou applicatives) selon la valeur des paramètres et le profil utilisé
  • et naturellement, créer une trace détaillée de toutes ces opérations dans un journal exploitable par QJRN/400

 Téléchargez la documentation

CONTROLER est un produit Cilasoft. Il peut être testé gratuitement dans votre environnement.