Тема Websphere MQ и SSL

Pub/Sub
До v7 WMQ Pub/Sub был доступен либо как отдельный компонент WMQ, либо как часть функциональности WebSphere Message Broker. Теперь в v7 pub/sub является неотъемлемой частью WMQ и обеспечивает безопасность на уровне темы. Существует определенное количество публикаций / подпрограмм, которые происходят только потому, что теперь они встроены в WMQ в качестве нативной функциональности.

Еще один фактор, влияющий на распространение в пабе / субмарине WMQ, заключается в том, что с помощью WMQ File Transfer Edition все больше людей получают к нему доступ. WMQ FTE делает состояние передачи файлов доступным в виде публикаций, и многие люди, использующие этот продукт, пишут приложения, которые следят за этими темами, чтобы обеспечить различные пользовательские функции. Как только они начинают использовать pub/sub, многие из этих магазинов начинают видеть другие варианты использования.

Pub/Sub также решает некоторые распространенные проблемы с обменом сообщениями, такие как приложение, которое в настоящее время записывает в очередь, и возникает новое требование, чтобы получить копию этого сообщения другому потребителю. До v7 переключение приложения с записи в очередь на запись в тему было несколько инвазивным и требовало изменения конфигурации для приложений JMS или изменения кода для других типов кода. Самый простой способ решить проблему - перехватить сообщение с помощью приложения или выйти, который записал копии в две или более очередей. Начиная с версии 7 приложение, написанное для очередей, может быть снабжено псевдонимом по теме. Производитель все еще думает, что пишет в очередь, но вместо этого WMQ публикует сообщения в теме. Потребители могут либо подписаться напрямую, либо, в случае устаревшего кода, требующего очереди, административная подписка может привести к доставке сообщений по теме в очередь. Я вижу, что на пабе / сабе много внимания уделяется таким требованиям.

Есть также случаи, когда pub/sub является подходящим решением, и оно используется только по этой причине. В прошлом требования к отдельным компонентам, административные навыки или лицензия WMB были препятствиями для принятия, что приводило к тому, что определенная часть приложений паба / подпрограмм была переработана как точка-точка. Благодаря встроенному в WMQ pub/sub эти барьеры устранены или, по крайней мере, значительно уменьшены, что приводит к большему поглощению просто потому, что это правильная архитектура для рассматриваемой проблемы.

В целом, я бы сказал, что WMQ pub/sub стал массовым с v7. Поскольку в сентябре 2011 года было объявлено об окончании срока службы v6, массовая миграция на v7 в этом году и, как следствие, еще большее распространение pub/sub.

SSL / TLS
Что касается SSL, безопасность WMQ приближается к мейнстриму. Я бы не сказал, что SSL является нормой - пока что - но в течение последних двух или трех лет было достаточно спроса, чтобы посещаемость моих лабораторных сессий по безопасности WMQ на конференциях IMPACT и European WebSphere Technical была переполнена. Я недавно написал...

Термин "доверенная внутренняя сеть" был придуман, чтобы отличать ту часть сети, которая была внутренней, от мест назначения вне брандмауэра. Но термин "доверенный", используемый в данном контексте, является относительным. Он не должен был указывать на то, что внутренней сети доверяли неявно, только на то, что ей доверяли больше, чем вещам вне брандмауэра. К сожалению, термин иногда интерпретируется довольно буквально. У меня были клиенты, которые вполне искренне говорили мне, что по определению мы доверяем всему в "доверенной внутренней сети", поэтому мы так называем. Конечно, это преувеличивает случай, потому что даже самые верные сторонники доверия к внутренней сети все еще применяют основанный на пароле вход в систему для серверов, баз данных и приложений. Таким образом, внутренняя сеть является доверенной, но только до определенного момента, и даже во внутренней сети аутентификация и авторизация необходимы.

Хотя каналы SSL (на самом деле TLS) шифруют, они также аутентифицируются. Поскольку все больше людей понимают, что им необходимо аутентифицировать соединения WMQ в "доверенной" внутренней сети, SSL был распространенным методом достижения этого. Конечно, также существует растущая потребность в услугах конфиденциальности (шифрования) и целостности в каналах WMQ как для внутренних, так и для внешних подключений, что также способствует внедрению каналов WMQ SSL.

Теперь, когда SSL более распространен, возникает ряд вторичных проблем, когда люди не до конца понимают безопасность WMQ. Тот факт, что сейчас это общие темы в списке рассылки WMQ и на MQSeries.net, свидетельствует об уровне принятия SSL. Некоторыми из этих вторичных проблем являются включение неиспользуемых корневых сертификатов Центра сертификации в хранилище ключей QMgr или отсутствие настроек канала QMgr, таких как SSLPEER (который фильтрует соединения по различаемому имени) или MCAUSER (который сопоставляет полномочия определенной учетной записи пользователя). Часто люди включают SSL, но пропускают один или несколько из этих других параметров и не достигают того уровня безопасности, который они планировали. Поскольку вы, должно быть, включили SSL, чтобы эти вещи представляли проблему, он, как сказал мой друг, "проблема роскоши". Намного лучше быть оспоренным в настройках SSLPEER, чем вообще не применять SSL.

В итоге...
Поэтому я полагаю, что краткий ответ на оба эти вопроса заключается в том, что использование pub/sub и SSL в WMQ довольно распространено. Оба сейчас имеют тенденцию к резкому росту, и если бы я писал новые приложения, я бы определенно использовал SSL и без колебаний использовал бы WMQ pub/sub там, где это было необходимо.