在IBM PureApplication System上安装IBM InfoSphere Guardium数据加密

IBM InfoSphere Guardium是一个软件数据保护和加密系统。它为文件和文件系统以及IBM DB2文件提供了策略指定的受限访问和加密。图1显示了InfoSphere Guardium架构。

图1. InfoSphere Guardium架构

在PureApplication系统上为InfoSphere Guardium代理推荐的部署配置

InfoSphere Guardium安全服务器Data Security Manager（DSM）被打包为设备或软件产品，独立软件产品（ISO）。在任何一种情况下，当前支持的DSM软件基本操作系统版本均与IBM PureApplication™系统基本操作系统（Red Hat Linux 6.2）不兼容。

由于此限制，最好的选择是将DSM服务器安装在PureApplication系统之外。文件系统（FS）代理与Red Hat Linux 6.2（当前为Beta）兼容，并且可以作为PureApplication系统内虚拟应用程序模式的一部分进行安装。图2总结了建议。

图2. InfoSphere Guardium代理在PureApplication系统上的部署

DSM服务器同时存储代理的密钥和策略。代理向DSM注册并从DSM获得其配置。保护点（GP）是应用策略的起点。代理会拦截GP中的任何访问尝试。该代理位于文件系统和数据库管理系统（DBMS）之间，如图3所示。

图3.系统架构内的加密代理

创建虚拟系统模式以部署文件系统代理

为了演示安装代理程序的自动化，让我们对两个虚拟机（VM）使用一个简单的模式：一个虚拟机带有一个独立的Web应用程序服务器实例，另一个虚拟机带有DB2。需要Web应用程序服务器VM来测试数据库。让我们使用DayTrader练习DBMS。 FS代理位于DB2 VM上，如图4所示。

图4. FS代理的虚拟系统模式

安装Vormetric VMSSC脚本将安装Vormetric代表性状态传输（REST）应用程序编程界面，Vormetric Security Server命令行界面（VMSSC）。此接口允许在安装代理之前远程配置DSM。

要安装代理，必须满足表1中的要求。

表1.服务器/代理安装步骤

服务器	代理商
安装安全服务器软件（DSM）	--
配置DSM网络	--
使用Web界面登录DSM控制台	--
修改管理员密码	--
创建管理员帐户	--
创建安全密钥	--
创建加密密钥组（如果需要多个密钥）	--
建立政策	--
	安装VMSSC
	使用VMSSC添加GP
	安装代理并在DSM中注册

为了使DSM FS代理的安装和配置保持简单，请假定已经安装了服务器（DSM），并且已安装了密钥和策略。如果需要，请使用VMSSC命令创建密钥和策略。

创建VMSSC安装脚本

该脚本执行代理的静默安装。必须在添加模式之前创建此脚本，因为该模式使用脚本。

该脚本遵循将脚本添加到PureApplication系统的准则：

在文件cbscript.json中公开脚本需要的变量。
具有实际的shell脚本和任何相关性，例如.zip文件。
将.json文件和其他Shell脚本以及.zip文件打包到一个文件中。将.zip文件命名为vormetric-install.zip。图5显示了该.zip文件的内容。

图5. vormetric-install.zip文件的内容

请注意，.zip文件中包含两个附加文件：

vee-fs-5.1.0-20-rh6-x86_64.bin（FS代理安装文件）
vmssc_rh6_64_5.1.0-24.gz（VMSSC命令行界面安装文件）

要将vormetric-install.zip上载到PureApplication系统目录：

单击目录>脚本包 。
单击加号（ + ）添加新脚本。
输入名称，然后单击确定。
在脚本包文件下，点击浏览。
选择包含安装脚本的.zip文件（在本例中为vormetric-install.zip），然后单击“上载” 。

系统将解析cbscript.json文件，并在定义变量时显示它们。图6显示了输出。

图6. cbscript.json中的环境变量

如果需要，可以添加更多变量。请注意，/ tmp / VMSSC是工作目录，而installAgent.sh是可执行文件。此信息来自cbscript.json文件，如清单1所示。

清单1. cbscript.json标头

"version": "1.0.0",
"description": "This script package installs and Configures a Vormetric File Agent in RH6.2",
"command": "/tmp/VMSSC/installAgent.sh",
"log": "${WAS_PROFILE_ROOT}/logs/",
"location": "/tmp/VMSSC",

创建名为Install Vormetric VMSSC的脚本。该脚本也列在附录A中供您参考。

创建模式

创建虚拟模式时，要做的第一件事是通过添加零件将初始拓扑添加到模式。

单击虚拟模式页面顶部的加号，然后输入名称和描述。
从窗口右上方的面板中单击“ 编辑” 。
在Pattern Editor窗口中，从部件列表中选择一个基础服务器，如图7所示。

图7.独立服务器部分
将基本服务器拖到右侧的画布上，然后选择一个DB2服务器（图8）。

图8. Web应用程序服务器和选择的DB2
添加脚本：
1. 要在Web应用程序服务器端添加DB2驱动程序，请从左侧列表中单击“ 选择脚本 ”。搜索Install DB2 ，选择Install DB2 Drivers ，然后将它们放在Web应用程序服务器上（图9）。
  
  图9.带有DB2驱动程序的Web应用程序服务器
2. 要将Vormetric安装脚本添加到DB2 VM，请搜索Vormetric或VMSSC以缩小可用脚本的列表。找到它后，将其拖到DB2服务器上（图10）。
  
  图10.完成的模式
模式完成后，通过从顶部的窗口中选择Deploy进行测试。等待部署完成，然后在“ 实例”>“虚拟系统”下查看部署历史记录（请参见表2）。

表2. DB2实例部署的历史记录

信息	日期
虚拟系统已部署	2012年11月20日10:30:11 PM
执行脚本包Must Gather必须在虚拟机pure-231-Standalone-DSM_DEPLOY11-2953上登录	2012年11月20日10:29:53 PM
执行脚本包Must Gather登录虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952	2012年11月20日10:29:40 PM
在虚拟机pure-231-Standalone-DSM_DEPLOY11-2953上执行脚本包maestro	2012年11月20日10:29:14 PM
在虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952上执行脚本包maestro	2012年11月20日10:28:48 PM
执行脚本包在虚拟机pure-231-Standalone-DSM_DEPLOY11-2953上安装DB2驱动程序	2012年11月20日10:28:14 PM
执行脚本包在虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952上安装Vormetric VMSSC	2012年11月20日10:27:11 PM
执行脚本包	2012年11月20日10:26:43 PM
启动虚拟机pure-231-Standalone-DSM_DEPLOY11-2953	2012年11月20日10:21:12 PM
启动虚拟机pure-198-DB2_ESE-DSM_DEPLOY11-2952	2012年11月20日10:16:13 PM
在虚拟系统DSM_DEPLOY11中启动虚拟机	2012年11月20日10:16:13 PM
注册虚拟系统DSM_DEPLOY11	2012年11月20日10:10:22 PM
将虚拟映像传输到管理程序	2012年11月20日10:10:17 PM
拓扑和网络的生成模型	2012年11月20日10:09:25 PM
预留云资源	2012年11月20日10:09:20 PM
部署已排队

如果您发现任何错误并且需要进行故障排除，请查看DB2 VM下的日志文件（图11）。

图11. DB2实例的远程日志
登录到DSM，并确保一切正常（图12）。

图12. DSM控制台显示已启用GP

当保护点（GP）到位时，所有写入GP的数据都会被加密。从GP读取的所有数据均被解密，并作为原始未加密的数据传回。

附录A：安装Vormetric VMSSC脚本内容

清单2中的脚本显示了Vormetric VMSSC脚本的内容。

清单2. InstallAgent.sh

#!/bin/sh
export AGENT_HOST=`ifconfig eth1 | grep "inet addr" | awk '{ print $2 }' | awk 'BEGIN
{ FS=":" } { print $2 }'`
echo AGENT_HOST=
echo DSM_HOST=$DSM_HOST#unzip agent CLI
mkdir vmssc
cd vmssc
tar -xzf ../vmssc_rh6_64_5.1.0-24.gz
chmod +x vmssc
#login to the DSM
./vmssc -s $DSM_HOST_IP -u $DSM_LOGIN_NAME -p $DSM_LOGIN_PASSWD -d $DSM_DOMAIN server
login./vmssc server show -h vormetric.dsm > vormetric.log
#Add Agent to the list of Hosts on the DSM
./vmssc host add -G $AGENT_HOST
./vmssc server show -h vormetric.dsm >> vormetric.log
#add policy and keys
#./vmssc key add -a -h 239-key
./vmssc key show AgentKey-256 >>vormetric.log
#./vmssc policy add
./vmssc policy show -f policy.xml default_wide_open_policy >>vormetric.log
#set gp
mkdir ../encrypt
#Add Guard Point
./vmssc host addgp -p default_wide_open_policy -d /tmp/VMSSC/encrypt $AGENT_HOST
#Install the agent and register
cd ..
#create the silentinstall.txt file
export SERVER_HOSTNAME=$DSM_HOST_NAME
echo SERVER_HOSTNAME=$SERVER_HOSTNAME > agentSilentInstall.txt
export AGENT_HOST_NAME=$AGENT_HOST
echo AGENT_HOST_NAME=$AGENT_HOST >> agentSilentInstall.txt
#make sure we are in the hosts file
echo $DSM_HOST_IP $DSM_HOST_NAME >> /etc/hosts
#finally install and register the agent
chmod +x vee-fs-5.1.0-20-rh6-x86_64.bin
./vee-fs-5.1.0-20-rh6-x86_64.bin -s agentSilentInstall.txt

翻译自: https://www.ibm.com/developerworks/cloud/library/cl-installguardium/index.html