Collaborations > Minimale Kosten, Maximale Sicherheit: Mainframe Migration von CA ACF2 zu IBM RACF in 6 Monaten

4 Min reading time

Minimale Kosten, Maximale Sicherheit: Mainframe Migration von CA ACF2 zu IBM RACF in 6 Monaten

Ein Migrationsprojekt zur Kostenoptimierung und Sicherheitssteigerung zeigt die Stärke strategischer Partnerschaften im Mainframe-Umfeld.

Overview

Durch die enge Partnerschaft zwischen IBM und CROZ konnte ein Mainframe-Kunde erfolgreich von CA ACF2 auf IBM RACF migriert werden, wobei sowohl Kosten optimiert als auch die Sicherheit erheblich gesteigert wurden. Der Fokus des Projekts lag auf der Optimierung der Kosten, der Minimierung von Ausfallzeiten und der Sicherstellung einer kontinuierlichen Betriebsfähigkeit. Durch umfassende Planung, präzises Testen und die Entwicklung maßgeschneiderter Migrationswerkzeuge wurde eine reibungslose und effiziente Migration innerhalb von nur sechs Monaten umgesetzt. Dieses Projekt unterstreicht unsere technische Expertise und das tiefgehende Verständnis der Kundenbedürfnisse, während es gleichzeitig die Sicherheit erhöhte und die Systemleistung weiterhin gewährleistete.

Herausforderung

Die Herausforderung bestand darin, die Migration von CA ACF2 zu IBM RACF für einen großen Mainframe-Kunden durchzuführen, wobei der Fokus auf einer effizienten Kostenoptimierung und minimalen Ausfallzeiten lag. Es galt, den Übergang so zu gestalten, dass die Auswirkungen auf die regulären Betriebsabläufe des Kunden so gering wie möglich ausfielen. Gemeinsam mit IBM haben wir sichergestellt, dass diese Anforderungen während des gesamten Migrationsprozesses erfüllt wurden.

„CROZ hat ein außergewöhnliches Maß an technischem Verständnis, Expertise und Einfühlungsvermögen für die Bedürfnisse des Kunden gezeigt. Die erforderlichen Voraussetzungen, der Implementierungsansatz und die Projektaktivitäten wurden gezielt identifiziert und erfolgreich umgesetzt, um einen reibungslosen Projektverlauf zu gewährleisten.

Die erfolgreiche Umsetzung des Projekts innerhalb von sechs Monaten ist eine bemerkenswerte Leistung für uns alle und wird vom Kunden sehr geschätzt. Die Hingabe und Partnerschaft, die wir dem Kunden gezeigt haben, ist außergewöhnlich. Wir freuen uns darauf, in Zukunft mit CROZ an weiteren zOS-Projekten zusammenzuarbeiten!“

– Bee Lin Ng, Senior Project Manager, IBM Technology Services, ASEAN.

Lösung

Der Kunde setzt seit vielen Jahren auf IBM Mainframe-Technologie, um seine geschäftskritischen Anwendungen und Services zuverlässig zu unterstützen. Das Mainframe-System des Kunden nutzt z/OS als Betriebssystem, bei dem die Sicherheit durch einen externen Sicherheitsmanager gewährleistet wird. Auf dem Markt existieren derzeit drei etablierte Mainframe-Sicherheitslösungen: IBM RACF, Broadcom CA – ACF2 und Top-secret. Diese Lösungen erfüllen die gleichen grundlegenden Sicherheitsfunktionen, jedoch auf unterschiedliche Weise. Neben den verschiedenen Funktionsweisen unterscheiden sich die Systeme auch im Preis, was der Hauptgrund für die Entscheidung des Kunden war, nach 30 Jahren auf IBM RACF umzusteigen.

Das Hauptziel des Kunden war es, die Kosten durch steigende Lizenz- und Wartungsausgaben für Drittsoftware zu optimieren. Die größte Herausforderung lag darin, die Migration vor der Verlängerung des Broadcom-Vertrags innerhalb eines sehr kurzen Zeitrahmens umzusetzen, dabei jedoch Ausfallzeiten und Störungen des laufenden Betriebs auf ein Minimum zu reduzieren. Gleichzeitig war es entscheidend, das neue Produkt mit der gleichen Effizienz im täglichen Betrieb zu integrieren, was eine umfassende Schulung zu den Funktionen von RACF und den Unterschieden zu ACF2 erforderte.

Unsere Zusammenarbeit begann mit einer detaillierten Analyse der Kundeninfrastruktur und seiner Herausforderungen. Nach dieser ersten Bewertung entschieden wir uns, einen Proof of Concept (PoC) durchzuführen, um dem Kunden zu zeigen, dass das IBM RACF-Sicherheitssystem alle Funktionen des bisherigen Broadcom-Systems übernehmen kann und dass ihre Anwendungen sowie alle anderen Systeme weiterhin mit der gewohnten Qualität laufen werden. Im Rahmen des PoC führten wir Tests des Sicherheitssystems mit einer Vielzahl von Nutzern, wichtigen Subsystemen und Middleware durch.

Nachdem wir dem Kunden erfolgreich gezeigt hatten, dass der Wechsel zu RACF technisch machbar war, begannen wir mit einer umfassenden Bewertung der Produktions- und Entwicklungsumgebung, gefolgt von einer detaillierten Migrationsplanung. Die Umstellung begann bei den kleineren Produktions-LPARs und wurde schrittweise auf die größeren LPARs ausgeweitet, die viele Benutzer und Geschäftsprozesse betrafen.

Um eine erfolgreiche Vorbereitung und Testphase sicherzustellen, benötigten wir eine präzise Kopie der z/OS LPARs, die der Kunde durch isolierte Clone-LPARs zur Verfügung stellte. Diese geklonten LPARs enthielten FlashCopies aller bestehenden Produktionsvolumes und wurden für den Einsatz mit IBM RACF konfiguriert.
Nachdem die geklonten LPARs erfolgreich mit RACF arbeiteten und alle wichtigen z/OS-Komponenten sowie Subsysteme getestet waren, führten wir gründliche Tests der Anwendungen und Drittanbieter-Softwareprodukte wie Tape- und Backup-Management-Systeme durch.

Nach erfolgreicher Konfiguration und fehlerfreier Funktionsweise wurden die RACF-Datenbank und alle Änderungen von den Clone-LPARs auf die Produktionssysteme übertragen und die Migration durchgeführt. Die letzten beiden LPARs, die den größten Einfluss auf den Betrieb hatten, wurden vor Ort beim Kunden migriert, um mögliche Kommunikationsprobleme zu vermeiden.

Der Tool-Austausch fand während des zuvor genehmigten Wartungsfensters statt. Zur Erleichterung des gesamten Migrationsprozesses entwickelten wir maßgeschneiderte Tools.
Das zentrale Werkzeug war das ACF2-zu-RACF-Konvertierungstool, das speziell an die Bedürfnisse des Kunden hinsichtlich Namenskonventionen und RACF-Gruppenstrukturen angepasst wurde. Es generiert RACF-Kommandos, die die Sicherheitsrichtlinien von ACF2 nachbilden, basierend auf bestehenden und neuen Regeln. Das Tool verwendet Daten aus verschiedenen ACF2-Dienstprogrammen und greift nicht direkt auf die ACF2-Datenbanken zu, sondern nutzt dokumentierte Schnittstellen, was eine nahtlose Nutzung ohne Beeinträchtigung der ACF2-Funktionalität ermöglicht.

Für den Kunden entwickelten wir mehrere Lösungen, die die Migration von Geschäftsprozessen unterstützten, die auf ACF2-spezifischen Funktionen wie UID-Strings basierten, die in RACF nicht verfügbar sind. Ein weiteres wichtiges Tool war das ACF2-Lookup-Tool, das es Sicherheitsadministratoren ermöglicht, schnell die richtigen RACF-Gruppen zu finden, um den gleichen Zugriff wie in ACF2 zu ermöglichen. Das Tool generiert automatisch die erforderlichen RACF-Kommandos, die direkt in Jobkarten oder ISPF übernommen werden können, um Fehlerquellen zu minimieren.

Die größte Herausforderung während der Migration war das Problem der eingeschränkten Zugriffsrechte in RACF-Profilen, was in ACF2 nicht der Fall war. Diese Probleme wurden manuell für jedes gemeldete Problem behoben.

Einige ACF2-Funktionen, wie etwa der Schutz von PDS-Mitgliedern, hatten keine direkte Entsprechung in RACF, sodass wir mit dem Kunden zusammenarbeiteten, um die geschäftlichen Anforderungen hinter diesen Funktionen zu analysieren und entsprechende Schutzmaßnahmen in Form von Operator-Befehlsschutz zu implementieren.

Mit einer klaren Projektführung und effektiver Zusammenarbeit über vier Zeitzonen hinweg konnten wir die Migration erfolgreich innerhalb des vorgegebenen Zeitrahmens abschließen und dem Kunden eine effiziente, sichere Lösung bieten.