IBM Z14

Mainframe verteidigt seine zentrale Bedeutung

| Autor / Redakteur: Ulrike Ostler / Ulrike Ostler

"z14" kommt, der Mainframe - neuer Chip und mehr Software -, der alle Daten verschlüsselt, der Big Data und Maschine Learning kann.
"z14" kommt, der Mainframe - neuer Chip und mehr Software -, der alle Daten verschlüsselt, der Big Data und Maschine Learning kann. (Bild: IBM)

Wer Mainframe liest und abschaltet, ist hier falsch. Wer Leistung liebt, ist richtig: 32 Terabyte Arbeitsspeicher, bis zu zwei Millionen Docker-Container, 6,1 Milliarden Transistoren, die Verschlüsselung aller Daten, Level 4 des FIPS 140-2-Standards, Training von über 1.000 Modellen für das maschinelle Lernen... IBM bringt den „Z14“ auf den Markt.

Andreas Bieswanger, Distinguished Engineer im z-Development, ist überzeugt, dass dem IBM-Team ein großer Wurf gelungen ist: „ Z14 ist keine inkrementelle Weiterentwicklung, sondern ein Riesensprung“, sagt er. Er ist in Böblingen für die Mainframe-Firmware tätig und berichtet, dass rund 1.000 Entwickler seit 2014/15 an dem neuen System gearbeitet haben.

Mit im Boot waren 13 so genannte „Sponsor Clients“, die als Kunden beständig Mitarbeiter zur Verfügung gestellt und deren Zeit investiert haben, um daran beteiligt zu sein. Sie gehören zu den insgesamt 150 Kunden, die sicherstellen wollten, dass sich die neue Mainframe-Generation in die richtige Richtung entwickelt.

Alleine zum Punkt „Pervasive Encryption“, die End-zu-End-Verschlüsselung, die erstmals sämtliche Daten, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind, einbezieht, hat mehr als 50 entsprechender 1:1-Diskussionen verlangt. Ein IBM Z14 ist nun in der Lage, mehr als 12 Milliarden verschlüsselte Transaktionen pro Tag auszuführen.

Die Z14-Verbesserungen zur Z13-Plattform sind offensichtlich.
Die Z14-Verbesserungen zur Z13-Plattform sind offensichtlich. (Bild: IBM)

Einer der Gründe ist der in einem 14-Nanometer-Prozess gefertigte neue Chip („neues Design, keine bloße Verbesserung“, erklärt Bieswanger- , mit dem der Z14 ausgestattet ist. Darauf verbaut ist ein Kryptografie-Co-Prozessor, der im Vergleich zu dem in der Vorgänger-Version Z13 verwendeten, die vierfache Fläche benötigt.

Es röhrt unter der Haube

Insgesamt nimmt die Plattform bis zu 170 CPU-PU-Kerne auf, die mit 5,2 Gigahertz getaktet sind. Außerdem verfügt die Plattform über 6,1 Milliarden Transistoren. Diese sorgen unter anderem dafür, dass sich der Mainframe gut auf das Training von Anwendungen Künstlicher Intelligenz (KI) versteht; neuronale Netze (noch) ausgenommen. Das zeigt sich bei den deutliche Vorsprüngen in Sachen neuer Single Instruction, Multiple Data (SIMD).

Letztendlich steigt die Performanz für Kompression und Kryptographie im Vergleich zum Z13 um das Sechsfache. Zudem reduzieren sich die Ausfallzeiten bei Bereinigung der Garbage Collection, etwa bei Verwendung von Java-Anwendungen, quasi auf Null. Die Fähigkeit Java-Workloads zu verarbeiten, steigt: Nach Angaben von IBM laufen sie bis zu 50 Prozent schneller als auf x86-Alternativen.

Zum Performance-Gewinn tragen weiterhin das RAIM Memory Design bei (RAIM = redundant array of independent memory) und die Erhöhung der Kapazität auf 32 Terabyte, nahezu eine Verdreifachung gegenüber dem Vorgängersystem. Das sorgt für schnellere Reaktionszeiten, größeren Durchsatz und beschleunigte analytische Leistung.

Satte Performance-Gewinne

Dazu kommen für das I/O Inteconnect PCIe Gen3-Leistungen, die 16 Gigabit pro Sekunde erlauben - für mehr Transaktionsdurchsatz und niedrigere Reaktionszeiten - und ein dreimal schnelleres I/O im Vergleich zur Z13.

Die IBM-Technik „Z Hyper Link“ erlaubt sehr kurze Storage-Area-Network-(SAN)-Antwortzeiten mit bis zu zehnfacher Latenzzeitreduktion im Vergleich zur Z13. Damit halbieren sich die Antwortzeiten auf Anwendungsebene, so dass Unternehmen mehr Anwendungen wie Echtzeit-Analytik oder Interaktionen mit Internet-of-Things (IoT)- Geräten oder Cloud-Anwendungen innerhalb der gleichen Transaktion leisten können, ohne eine einzige Zeile des Anwendungscodes anfassen zu müssen.

Die Performance ist keine Spielerei. Sie ermöglicht Mainframe-Anwendern die Datenauswertung wieder näher an die Logik heranzurücken – gegen den Trend. Dieser unterstützt, dass Daten in unterschiedlichen Stufen vom Edge weg, bevor sie zur Hauptanalyse ins Rechenzentrum gelangen, aggregiert und konsolidiert werden. Dann aber werden sie etwa dupliziert, ausgelagert um in Clouds, Fremdsystemen oder Erweiterungssystemen analysiert zu werden.

Analytics, dort wo die Daten sich befinden, Schärfung der Genauigkeit mit Hilfe eines KI-Trainings und Java-Anwendungen - diese Workloads soll Z14 magisch anziehen.
Analytics, dort wo die Daten sich befinden, Schärfung der Genauigkeit mit Hilfe eines KI-Trainings und Java-Anwendungen - diese Workloads soll Z14 magisch anziehen. (Bild: IBM)

Das Z14-System unterstützt:

  • mehr als 12 Milliarden verschlüsselte Transaktionen pro Tag auf einem einzigen System
  • die weltweit größte MongoDB-Instanz mit 2.5x schnellerer NodeJS-Performance als x86-basierte Plattformen.
  • bis zu 2 Millionen Docker-Container.
  • bis zu 1.000 gleichzeitige NoSQL Datenbanken.

Neupositionierung

IBM selbst spricht im Zusammenhang mit z14 von „der bedeutendsten Neupositionierung der Mainframe-Technologie seit mehr als einem Jahrzehnt, als sich die Plattform für Linux und Open Source-Software öffnete“. Um das zu erreichen, braucht es Security. So ist es kein Wunder, dass IBM selbst nicht müde wird, die Bedeutung seiner Technik „pervasive Encryption“ stets zu betonen.

Die neuen Datenverschlüsselungsfunktionen von IBM Z sollen insbesondere dabei helfen, die Flut an Datendiebstählen zu reduzieren, die einen beträchtlichen Teil der annähernd 2 Billionen-Dollar teuren Auswirkungen von Cyber-Kriminalität für die globale Wirtschaft bis 2019 ausmachen. Der „IBM X-Force Threat Intelligence Index“ zeigt: Im Jahr 2016 wurden mehr als vier Milliarden Datensätze gestohlen. Das entspricht einem Anstieg von 556 Prozent gegenüber 2015.

Allerdings: Von den mehr als neun Milliarden Datensätzen, die seit 2013 verloren gingen oder gestohlen wurden, waren nur vier Prozent verschlüsselt. Dies ist der Grund, warum der größte Teil dieser Daten für organisierte Kriminelle, staatliche Akteure und missbräuchlich handelnde Mitarbeiter mit Zugang zu sensiblen Informationen bisher nutzbar war.

Warum verschlüsseln?

Umgekehrt bedeutet das aber auch, dass ein umfangreicher Einsatz von Verschlüsselung ein wichtiger Faktor für die Verringerung der Geschäftsrisiken und der Kosten eines Datendiebstahls sein kann. Das kann auch zu einer Reduzierung der Kosten pro verlorenem oder gestohlenem Datensatz um 16 Dollar führen.

Dennoch fehlt die Verschlüsselung bisher weitgehend in Unternehmens- und Cloud-Rechenzentren. Als Grund macht IBM aus, dass aktuelle Lösungen für die Datenverschlüsselung in x86-Umgebungen die Leistung (und damit die Benutzererfahrung) drastisch beeinträchtigen. Sie seien zudem komplex und teuer. Infolgedessen werden heute nur etwa zwei Prozent der Unternehmensdaten verschlüsselt. Im Vergleich dazu: Mehr als 80 Prozent der mobilen Gerätedaten sind verschlüsselt.

„Pervasive Encryption“ verspricht die Verschlüsselung aller Daten, auf jeder Ebene. Das helfe nicht nur dabei, Angriffe von außen abzuwehren, sondern auch internen Mißbrauch , sei er absichtlich oder unabsichtlich , zu verhindern.
„Pervasive Encryption“ verspricht die Verschlüsselung aller Daten, auf jeder Ebene. Das helfe nicht nur dabei, Angriffe von außen abzuwehren, sondern auch internen Mißbrauch , sei er absichtlich oder unabsichtlich , zu verhindern. (Bild: IBM)

Verschlüsselung aller Daten zu jeder Zeit

„Am Anfang stand die damals noch als unrealistisch eingestufte Frage: Was wäre, wenn wir alle Daten verschlüsseln würden?“ erinnert sich der Firmware-Spezialist. Und jetzt sei es soweit: Ein Z14-Mainframe kann Daten jederzeit in praktisch jeder Größenordnung verschlüsseln. Die Möglichkeiten dazu erstrecken sich über Daten, Netzwerke, externe Geräte und ganze Anwendungen.

Dazu gehört zunächst eine Vereinfachung: IBM Z macht es Organisationen möglich, mit einem Klick alle Daten zu verschlüsseln, die mit einer Anwendung, einem Cloud-Service oder einer Datenbank verbunden sind. Dabei spielt es keine Rolle, ob es sich um ruhende Daten („at rest“) oder Daten in Verarbeitung („in flight“) handelt.

Dabei bricht IBM mit dem heute üblichen Prinzip, nur kleine Datenmengen auf einmal zu verschlüsseln, und erheblichen Aufwand in die Auswahl und Verwaltung der zu verschlüsselnden Daten zu investieren. Die Massenverschlüsselung in Cloud-Dimensionen durch IBM Z wird durch die siebenfache Erhöhung der kryptographischen Leistung gegenüber der vorherigen Generation Z13 möglich, bei der vierfach höheren Chipfläche für kryptographische Algorithmen.

Die Verschlüsselung erfordert keine Änderungen der Anwendungen und Verfahren und bleibt praktisch ohne Auswirkung auf die Gesamtsystemleistung. Nach IBM-Darstellung dürfen Anwender gegenüber x86-Systemen mit einer 18-fachen Beschleunigung bei nur fünf Prozent der zurechenbaren Kosten gegenüber x86-basierten Techniken rechnen.

Schlüssel, die auf Manipulationsversuche reagieren

Selbst Administratoren oder gar Root-User können die in „IBM Secure Service Containern“ liegenden Informationen lesen. Sie bieten eine automatische Verschlüsselung von Daten und Code „in-Flight“ und „at Rest“ und Manipulationswiderstand bei Installation und in der Runtime-Umgebung.

Die Schlüssel selber liegen nie im Klartext auf dem Hauptspeicher. Das ist wichtig, weil in großen Organisationen Hacker oft auf diese geheimen Schlüssel zielen. Nur IBM Z kann bisher Millionen dieser Schlüssel (sowie den Prozess des Zugriffs, der Erzeugung und des Recyclings) in einer "manipulationssensiblen" Hardware schützen. Stellt das System einen unerlaubten Zugriff fest, zerstört das System aktiv die Schlüssel.

Im ersten Schritt geht es darum, den Angriff abzuwehren. Die Schlüssel werden aktiv vernichtet.
Im ersten Schritt geht es darum, den Angriff abzuwehren. Die Schlüssel werden aktiv vernichtet. (Bild: IBM)

Um sie später in Sicherheit zu rekonstituieren, benötigt das Unternehmen das Schlüssel-Management-System von IBM; denn die Teile eines Schlüssels sind auf verschiedene Personen verteilt und es braucht eine Weile, bis sie wiederhergestellt sind. Das jeweilige Verfahren ist von den Richtlinien und der Komplexität, die sich ein Anwenderunternehmen selber gibt, abhängig. Laut Bieswanger gab es das System auch schon für Z13, wurde jetzt aber noch einmal wesentlich verbessert.

Das IBM Z-Schlüssel-Management-System ist so konzipiert, dass es die Anforderungen der Federal Information Processing Standards (FIPS) Level 4 erfüllt. Die Norm für hohe Sicherheit in der Branche ist derzeit lediglich Stufe 2.

Diese IBM Z Systemfähigkeit kann über den Mainframe hinaus auf andere Geräte erweitert werden wie Speichersysteme und Server in der Cloud.

Welches Unternehmen als Bank, Stromanbieter oder Versicherung nicht auf Vergleichsportalen wie "check-14" vertreten ist, verschenkt Marktanteile. Deshalb ist es wichtig für Mainframe-Kunden, die dortige Sicherheit über APIs ausdehen zu können.
Welches Unternehmen als Bank, Stromanbieter oder Versicherung nicht auf Vergleichsportalen wie "check-14" vertreten ist, verschenkt Marktanteile. Deshalb ist es wichtig für Mainframe-Kunden, die dortige Sicherheit über APIs ausdehen zu können. (Bild: IBM)

Verschlüsselte APIs

IBM z/OS Connect-Technologien machen es für Cloud-Entwickler einfacher, IBM Z-Anwendungen oder Daten aus einem Cloud-Service aufzurufen, oder auch für IBM Z-Entwickler, um jeden Cloud-Service aufzurufen. IBM Z ermöglicht es Unternehmen, diese APIs als zentrales Element, das Dienste, Anwendungen und Systeme miteinander verbindet, fast dreimal schneller als Alternativen auf Basis von x86 zu verschlüsseln.

Peter Rutten, Analyst bei der IDC Server und Compute Platforms Group, bestätigt den hohen Anspruch: „Die durchgängige Verschlüsselung, die mit der neuen IBM Z möglich ist und sich vom Design her auch darüber hinaus erstreckt, macht das System zur ersten allumfassenden Lösung gegen die Sicherheitsbedrohungen und Datendiebstähle, die wir in den vergangenen 24 Monaten erlebt haben.

Mainframes sichern auch die Blockchain-Cloud-Angebote von IBM.
Mainframes sichern auch die Blockchain-Cloud-Angebote von IBM. (Bild: IBM)

Blockchain und andere Fälle

Das IBM-Z-Sicherheitsverfahren liegt auch dem hauseigenen „Cloud Blockchain Service“ zugrunde. Dafür stehen Big Blue sechs neue Blockchain-Rechenzentren zur Verfügung, die mit mit IBM Z als Verschlüsselungssystem ausgestattet sind: New York, London, Sao Paolo, Tokio und Toronto und Frankfurt. Allerdings werkeln hier noch Z13-Systeme; der Zugriff erfolgt über „Bluemix“.

Generell jedoch wurde IBM Z, eng verzahnt mit der IBM Security Software, entwickelt, um Sicherheits- und Compliance-Prozesse zu automatisieren und drastisch zu vereinfachen. Zum Beispiel wird erwartet, dass im Rahmen von Audits die Sicherheit von Datenbanken, Anwendungen und Systemen manuell inspiziert und validiert wird.

Nun können Unternehmen die bisher aufwendige Sicherheits-Compliance-Prüfungen für Daten und Anwendungen durch den automatischen Nachweis der Verschlüsselung und sicherer Schlüssel massiv vereinfachen. Dies kann sowohl die stetig steigende Komplexität als die Kosten für Auditoren nachhaltig und erheblich reduzieren. Das System stellt auch einen Audit Trail zur Verfügung, der zeigt, ob und wann autorisierte Insider auf Daten zugreifen.

Vereinfachung von Zertifizierungen und Audits

Auch anspruchsvollen Regulierungsvorschriften soll das System genügen. Dazu darf auch die EU-Datenschutzgrundverordnung (EU-DSGVO, englisch GDPR) gezählt werden. Mit der EU-DSGVO werden sich ab dem kommenden Jahr die Anforderungen für in Europa tätigen Organisationen hinsichtlich Datenschutz und entsprechender Nachweise deutlich verschärfen.

Die EU-DSGVO/GDPR fordert von Organisationen, Datenverletzungen innerhalb von 72 Stunden zu melden. Ansonsten drohen Geldstrafen von bis zu vier Prozent des Jahresumsatzes, es sei denn, die Organisation kann nachweisen, dass die Daten verschlüsselt wurden und die Schlüssel geschützt wurden.

Auf der US-amerikanischen Bundesebene gibt der Federal Financial Institutions Examination Council (FFIEC), der die fünf Bankenaufsichtsbehörden einschließt, Richtlinien zur Verwendung von Verschlüsselung in der Finanzdienstleistungsbranche. Singapur und Hongkong haben ähnliche Richtlinien veröffentlicht. In jüngster Zeit veröffentlichte auch das New York State Department of Financial Services Anforderungen an die Verschlüsselung in den Cybersecurity Requirements for Financial Services Companies.

Das leistungsstärkste Transaktionssystem für die Cloud-Ära

IBM z14 baut auf den Fähigkeiten der weltweit leistungsstärksten Transaktions-Engine auf, die im Herz der globalen Geschäftswelt eingesetzt wird:

87 Prozent aller Kreditkarten-Transaktionen und fast acht Billionen Zahlungen pro Jahr laufen über IBM Z.

29 Milliarden Geldautomaten-Transaktionen jedes Jahr im Wert von fast fünf Milliarden Dollar pro Tag laufen über IBM Z.

Vier Milliarden Passagierflüge pro Jahr werden über IBM Z abgewickelt.

Mehr als 30 Milliarden Transaktionen pro Tag - mehr als die Anzahl der Google-Recherchen jeden Tag werden über IBM Z abgewickelt.

68 Prozent der weltweiten Produktions-Workloads laufen über IBM Z, bei nur sechs Prozent der gesamten IT-Kosten. 92 der weltweit größten 100 Banken verlassen sich aufgrund der unübertroffenen Fähigkeit, riesige Transaktionsmengen effizient zu verarbeiten, auf Mainframes.

Deswegen ist nach der Sicherheit die Performance von IBM Z14, der 14. Generation, wichtig. Der Rechner verfügt über den derzeit schnellsten Mikroprozessor der Branche und eine neue skalierbare Systemstruktur, die eine 35-prozentige Kapazitätserhöhung für traditionelle Workloads und eine Erhöhung um 50 Prozent bei Linux-Workloads im Vergleich zur vorherigen Generation IBM Z13 ermöglicht.

Das neue Betriebssystem

Die verjüngte z/OS-Software bietet grundlegende Fähigkeiten für die Bereitstellung von Private Cloud-Services und ermöglicht eine Transformation von IT-Shops von einem Cost Center zu einem Service Provider mit unternehmerischem Wertbeitrag. Sobald verfügbar, werden diese neuen Möglichkeiten auch Workflow-Erweiterungen für IBM Cloud Provisioning und Management für z/OS und Echtzeit-SMF-(System Management Facility)-Analytics-Infrastruktur unterstützen.

Containerpricing für Microservices

Schon seit einigen Jahren ermöglicht IBM seinen Mainframe-Kunden nutzungsbasierte Gebühren. Mit Z14 bietet das Unternehmen drei „Container-Pricing“-Modelle an. Diese ermöglichen innerhalb derselben logischen Partition unterschiedliche Abrechnungsmetriken. Diese sind abhängig vom Wert der Transaktion, die das Kundenunternehmen bestimmt.

Generell geht es um eine möglichst flexible Implementierung mit wettbewerbsfähigen Preisen gegenüber öffentlichen Clouds und On-Premise-x86-Umgebungen. Die Container-Pricing-Optionen wurden konzipiert, um Kunden die Vorhersagbarkeit und Transparenz in den Betriebskosten zu vermitteln.

Die Preismodelle sind sowohl innerhalb als auch über logische Partitionen (LPARs) hinweg skalierbar und liefern deutlich verbesserte Mess-, Steuerungs- und Abrechnungsfunktionen. Dafür stehen zunächst drei Optionen zur Auswahl:

  • Anwendungsentwicklung und Test - mit der Freiheit, die Kapazität aller Entwicklungsumgebungen auf z/OS zu verdreifachen, um die neuesten DevOps Werkzeuge und Prozesse zu unterstützen. Kunden können die Kapazität ohne Erhöhung der monatlichen Lizenzgebühr verdreifachen.
  • Microservices und Applikationen – attraktive Preise für neue/neuartige z/OS-Anwendungen; das soll Kunden ermöglichen, die Wertschöpfung von On-Premise-Systemen sicher und in Echtzeit zu maximieren. Kunden können jetzt Anwendungen innerhalb der gleichen Umgebung betreiben, um qualitativ hochwertige Dienstleistungen zu optimieren, die mit Public Cloud- und On-site-Plattformen konkurrenzfähig sind.
  • Und eine Lösung für „Zahlungssysteme“: Preisgestaltung auf der Grundlage der Menge der Zahlungen, die in einer Bank verarbeitet werden, nicht auf Grundlage verfügbarer Kapazität. Dies adressiert insbesondere Kunden im schnell wachsenden Instant Payment Segment.

Container-Pricing für IBM Z wird voraussichtlich bis zum Jahresende 2017 verfügbar sein und in z/OS V2.2 und z/OS V2.3 nutzbar.

IBM Global Financing kann qualifizierten Kunden dabei unterstützen, die neue IBM z14 einzusetzen, ihre Gesamtbetriebskosten zu senken und den Return on Investment zu beschleunigen. IBM Global Financing-Angebote für IBM Mainframe-Lösungen sind von IBM und IBM Business Partnern erhältlich und bieten flexible Bedingungen, die angepasst werden können, um die Kosten an Projektergebnissen oder anderen Kundenanforderungen auszurichten.

Hinweis: AngelHack hat in Partnerschaft mit IBM, mit „Unchain the Frame“, einen globalen virtuellen Hackathon mit über 50.000 Dollar an Preisgeldern gestartet. Entwickler aus der ganzen Welt sind eingeladen, ihre Fähigkeiten und Kreativität mit Technologien wie Blockchain, native Open-Source-Anwendungen, APIs aus der Finanzindustrie und maschinelles Lernen unter Beweis zu stellen.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44820076 / Hardware)