Zum Hauptinhalt springen

NIST SP 800-131A-Konformität implementieren

Wenn Ihr System NIST SP 800-131A-konform sein muss, können Sie mithilfe von Lenovo XClarity Administrator beginnen, auf eine vollständig konforme Umgebung hinzuarbeiten.

Zu dieser Aufgabe

In der Veröffentlichung „Special Publication 800-131A (SP800-131A)“ des National Institute of Standards and Technology (NIST SP 800-131A) ist definiert, wie die sichere Kommunikation erfolgen soll. Bessere Algorithmen und länger Schlüssel für mehr Sicherheit sind kennzeichnend für diesen Standard. Der Standard NIST SP 800-131A setzt voraus, dass die strikte Einhaltung des Standards durch eine entsprechende Benutzerkonfiguration gegeben ist.

Anmerkung
Die folgenden Flex System-Komponenten bieten derzeit keine Unterstützung für NIST SP 800-131A. Die Kommunikation zwischen XClarity Administrator oder dem CMM und diesen Komponenten ist nicht konform:
  • Skalierbarer Flex System EN4023 10 Gb Switch
  • Flex System EN6131 40 Gb Ethernet Switch
  • Flex System FC3171 8 Gb SAN Switch
  • Skalierbarer Flex System FC5022 16 Gb SAN Switch
  • Flex System IB6131 Infiniband Switch
Anmerkung
Wenn ein SAML-Identity Provider für die Authentifizierung verwendet wird, verwendet XClarity Administrator SHA-1 zum Signieren der Signatur in den Metadaten. Die Verwendung des SHA-1-Algorithmus für digitale Signaturen ist nicht konform mit NIST SP 800-131A.

Vorgehensweise

Gehen Sie wie folgt vor, um NIST SP 800-131A-Konformität zu implementieren.

  1. Stellen Sie sicher, dass die Einheiten die folgenden Kriterien erfüllen:
    • Verwendung von Secure Sockets Layer (SSL) über das Protokoll TLS v1.2
    • Verwendung der Hashfunktion SHA-256 oder besser für digitale Signaturen und der Hashfunktion SHA-1 oder besser für andere Anwendungen
    • Verwenden Sie RSA-2048 oder besser bzw. von durch NIST genehmigte elliptische Kurven mit mindestens 224 Bit.
    • Verwenden Sie die von NIST genehmigte symmetrische Verschlüsselung mit einer Schlüssellänge von mindestens 128 Bit.
    • Verwenden Sie die von NIST genehmigten Zufallszahlengeneratoren.
    • Bieten Sie Unterstützung für Diffie-Hellman- und/oder Elliptic Curve Diffie-Hellman-Schlüsselaustauschmechanismen (soweit möglich).
  2. Konfigurieren Sie die Verschlüsselungseinstellungen in Lenovo XClarity Administrator. Es gibt zwei Einstellungen in Bezug auf NIST SP 800-131A-Konformität:
    • Der SSL/TLS-Modus gibt die Protokolle an, die für eine sichere Kommunikation verwendet werden sollen. XClarity Administrator unterstützt die Einstellung TLS 1.2 Server und Client, um das Verschlüsselungsprotokoll in XClarity Administrator und auf allen verwalteten Einheiten auf TLS 1.2 zu beschränken.
    • Wenn die sichere Kommunikation implementiert ist, legt der Verschlüsselungsmodus die Länge des zu verwendenden Verschlüsselungsschlüssels fest.

      Sie können den Verschlüsselungsmodus auf NIST SP 800-131A festlegen. Allerdings können Sie dann möglicherweise bestimmte Betriebssysteme nicht über XClarity Administrator bereitstellen, da die eingeschränkten Einstellungen von einigen Betriebssystem-Installationsprogrammen nicht unterstützt werden. Um das Bereitstellen eines Betriebssystems zu unterstützen, können Sie eine Ausnahme für die Betriebssystembereitstellung zulassen.

    Wenn Sie Verschlüsselungseinstellungen ändern, stellt XClarity Administrator die neuen Einstellungen auf allen verwalteten Einheiten bereit und versucht, alle neuen Zertifikate auf diesen Einheiten aufzulösen.

    Anmerkung
    Wenn Verschlüsselungseinstellungen geändert wurden, müssen Sie XClarity Administrator manuell neu starten, damit die Änderungen wirksam werden und um eventuell ausgefallene Services wiederherzustellen (siehe Neustart von XClarity Administrator ).

    Weitere Informationen zu diesen Einstellungen finden Sie unter Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren.

  3. Verwenden Sie einen Webbrowser, der das Protokoll TLS1.2 und SHA-256-Hashfunktionen unterstützt, und aktivieren Sie diese Einstellungen im Webbrowser.
    Anmerkung
    Wenn Sie benutzerdefinierte oder extern signierte Zertifikate verwenden möchten, müssen alle Zertifikate in der Kette auf SHA‑256-Hashfunktionen basieren.
  4. Verwenden Sie für die gesamte Kommunikation verschlüsselte Protokolle. Unverschlüsselte Protokolle wie Telnet, FTP und VNC sollten für die Remote-Kommunikation mit verwalteten XClarity Administrator-Einheiten nicht verwendet werden.