IBM i 7.6: Mejoras de seguridad destacadas con autenticación multifactor y más
La autenticación multifactor (AMF) es la novedad principal de IBM i 7.6. Esto es un avance crucial, ya que los clientes de IBM i han solicitado durante años la incorporación de esta funcionalidad. Sin embargo, la nueva versión trae otros importantes mejoras de seguridad, como un comando para desactivar conexiones no seguras, algoritmos de cifrado actualizados, cumplimiento regulatorio simplificado y una herramienta para rastrear parches de seguridad, entre otras.
Un enfoque renovado en seguridad
IBM ha reforzado su compromiso con la seguridad en su plataforma IBM i. Esto es positivo, ya que la comunidad de IBM i ha identificado la seguridad como su principal preocupación durante ocho años consecutivos, según el estudio del mercado de IBM i de Fortra. Aunque IBM i es uno de los sistemas más seguros, muchos entornos no han implementado configuraciones óptimas, dejando datos y aplicaciones vulnerables.
IBM ya ha introducido mejoras significativas en versiones anteriores, como requisitos de contraseñas más estrictos, deshabilitación de configuraciones predeterminadas inseguras, eliminación de seguridad de nivel 20, y adopción de TLS como estándar para cifrado en red. Con IBM i 7.6, el enfoque en seguridad se profundiza aún más.
Autenticación multifactor (AMF): La gran novedad
La AMF nativa es una de las características más destacadas de IBM i 7.6. Utiliza códigos de un solo uso basados en tiempo (TOTP), generados por aplicaciones de autenticación, para validar el acceso de los usuarios. Según Tim Mullenbach, arquitecto de seguridad de IBM i, se trata de una “”mejora de seguridad masiva””, según declaró en la presentación de IBM i 7.6.
Esta función fue solicitada insistentemente por grupos como el Consejo Asesor de las Américas de COMMON, el Consejo Asesor Europeo de COMMON, el Grupo de Grandes Usuarios (LUG) y el Consejo Asesor de ISV de IBM. Los desarrolladores priorizaron su implementación, incluso posponiendo otras funcionalidades.
Otras mejoras clave de seguridad en IBM i 7.6
A continuación, se detallan las principales novedades de IBM i 7.6:
Comando CFGHOSTSVR: Control de conexiones no seguras
El comando CFGHOSTSVR permite a los administradores controlar si se admiten conexiones no seguras para servidores como central, base de datos, cola de datos, archivo, impresión remota y acceso. Se pueden desactivar o permitir conexiones solo para loopback. Para servidores que solo admiten conexiones no seguras (como impresión virtual o transferencia de archivos), se puede gestionar el estado de escucha. Más detalles en IBM Support.
Acceso restringido para auditorías
Ahora se pueden crear perfiles de usuario con permisos de solo lectura para consultar la configuración del sistema, sin requerir autorización especial *IOSYSCFG. Esto facilita el acceso de auditores externos sin exponer privilegios críticos. Consulte IBM Support para más información.
Algoritmos de cifrado más robustos en Kerberos
Por defecto, Kerberos ahora utiliza AES256 y AES128, en lugar de algoritmos menos seguros como CBCDES o Arcfour. Esto mejora la protección en entornos de inicio de sesión único (SSO). Más detalles en este enlace.
Nuevos algoritmos criptográficos con QC3KDF
La API QC3KDF implementa el algoritmo PBKDF-2 recomendado por NIST para derivar claves a partir de contraseñas. Además, se admiten nuevos tipos de claves, como ECC (x25519, x448, ed25519, ed448) y simétricos (ChaCha20, Poly1305, SHA3). Estos avances refuerzan la autenticación y el cifrado.
Cifrado del ASP1
Finalmente, el almacenamiento principal del sistema (ASP1) puede cifrarse mediante las herramientas de configuración de SST, con la opción 45 (Habilitación de ASP cifrado). Los claves se almacenan en el LIC, y no hay tiempo de inactividad al activar/desactivar esta función.
Seguridad en iSCSI con PKS
Las credenciales CHAP para dispositivos iSCSI (como bibliotecas de cinta virtuales) ahora se pueden almacenar en el Platform KeyStore (PKS) de PowerVM. Esto permite aislamiento y control de acceso por LPAR. Más información en la documentación.
Rastreo sencillo de parches de seguridad
La herramienta DSPPTFGRP ahora muestra la fecha de aplicación de grupos de parches de seguridad, simplificando el cumplimiento normativo. La API QpzListPtfGroupDetails permite recuperar esta información programáticamente.
Mejoras en IBM i 7.5 TR6
La versión IBM i 7.5 TR6 incluye mejoras en el DCM (Digital Certificate Manager), como requerimiento de TLS en redes internas, visualización mejorada de jerarquías de certificados, exportación de claves PKCS12 sin incluir claves privadas y soporte para AMF.
Conclusión
IBM i 7.6 representa un salto significativo en seguridad, con AMF como hito central y múltiples mejoras complementarias. Estas actualizaciones ayudan a los clientes a proteger sus sistemas en un entorno cada vez más vulnerable.
