Activation de TLS pour la communication inter-cluster IBM MQ

Dans cet article, nous allons examiner l'activation de TLS pour la communication entre clusters IBM MQ. L'activation de TLS sur le cluster MQ est l'une des choses les plus simples à faire pour la sécurité de votre infrastructure MQ.

Conditions préalables

Vous devez tout d'abord configurer vos magasins de clés sur tous les gestionnaires de files d'attente du cluster. certificats chargés dedans.

Avantages

Deuxièmement: pourquoi? Après avoir authentifié les utilisateurs ou les applications se connectant au cluster, puis vérifié leurs autorisations auprès d'OAM pour divers objets de votre infrastructure MQ, ils commenceront à envoyer des messages et le cluster MQ commencera à les acheminer. Ces messages seront transmis en clair sur le réseau et pourront être facilement interceptés et reconstruits. C’est pourquoi, chaque fois qu’un message est en vol, il est judicieux de sécuriser à la fois l’origine et la destination avec TLS v1.2 ou supérieur. Si un message est intercepté, il sera crypté et le décryptage prendra très longtemps.

Un cluster MQ comprend un ou plusieurs gestionnaires de file d'attente de référentiel complet et un ou plusieurs gestionnaires de file d'attente de référentiel partiels. Sécuriser la communication dans le cluster MQ signifie activer TLS sur les canaux utilisés par les gestionnaires de files d'attente pour communiquer entre eux. Chaque membre du cluster dispose d'un canal récepteur de cluster et d'un ou plusieurs canaux émetteurs de cluster le connectant à des référentiels complets.

Étapes techniques

Ces étapes ont été testées sur MQ v8 et v9.

1. Update cluster- récepteurs d'abord. Choisissez un chiffrement TLS v1.2 et assurez-vous qu’il est identique sur tous les canaux. Exécutez cette commande pour chaque membre du cluster: référentiels complets ainsi que référentiels partiels.

ALTER CHANNEL () CHLTYPE (CLUSRCVR)
SSLCIPH (ECDHE_RSA_AES_256_GCM_SHA384)

2. Prenez 10-15 minutes pour permettre MQ à rattraper.
3. Mettez à jour les expéditeurs de grappe en second. Assurez-vous que vous utilisez le même chiffre que celui utilisé sur les canaux du récepteur du cluster. Exécutez cette commande pour chaque membre du cluster: référentiels complets et référentiels partiels. Si vous avez deux référentiels complets desservant votre cluster, veillez à exécuter cette commande sur les deux canaux émetteurs de cluster de vos référentiels partiels.

ALTER CHANNEL () CHLTYPE (CLUSSDR)
SSLCIPH (ECDHE_RSA_AES_256_GCM_SHA384) ]C'est tout! Maintenant, votre trafic de cluster est crypté. Faites-moi savoir si ces instructions ont fonctionné pour vous!