Si debe cumplir con NIST SP 800-131A, puede empezar a trabajar para conseguir un entorno que se ajuste plenamente a las normas utilizando Lenovo XClarity Administrator.
Acerca de esta tarea
En la publicación especial 800-131A del Instituto Nacional de Estándares y Tecnología (NIST SP 800-131A) se especifica la forma en que deben gestionarse las comunicaciones seguras. El estándar fortalece los algoritmos e incremente las longitudes de las claves para mejorar la seguridad. El estándar NIST SP 800-131A requiere que los usuarios estén formados para cumplir estrictamente con ella.
En la actualidad, los siguientes componentes de
Flex System no son compatibles con NIST SP 800-131A. Las comunicaciones entre XClarity Administrator o el CMM y estos componentes no cumplen con estos estándares:- Conmutador escalable Flex System EN4023 de 10 Gb
- Conmutador Ethernet Flex System EN6131 de 40 Gb
- Conmutador SAN Flex System FC3171 de 8 Gb
- Conmutador escalable SAN Flex System FC5022 de 16 Gb
- Conmutador InfiniBand IB6131 Flex System
Cuando se utiliza un proveedor de identidad SAML para la autenticación, XClarity Administrator utiliza SHA-1 para incluir la firma en los metadatos. El uso del algoritmo SHA-1 para las firmas digitales no es compatible con NIST SP 800-131A.
Procedimiento
Lleve a cabo los pasos siguientes para implementar la conformidad con NIST SP 800-131A.
- Asegúrese de que sus dispositivos cumplen los siguientes criterios:
- Configure los valores criptográficos en Lenovo XClarity Administrator. Hay dos valores que están relacionados con la conformidad con NIST SP 800-131A:
- El modo SSL/TLS especifica los protocolos que deben utilizarse para las comunicaciones seguras. XClarity Administrator admite un valor de Servidor y cliente de TLS 1.2 para restringir el protocolo de criptografía a TLS 1.2, tanto en XClarity Administrator como en todos los dispositivos gestionados.
- El modo criptográfico establece la longitud de las claves que deben utilizarse si se han implementado comunicaciones seguras.
Puede definir el modo criptográfico como NIST SP 800-131A. No obstante, es posible que no pueda desplegar algunos sistemas operativos mediante XClarity Administrator, dado que algunos instaladores de sistemas operativos no admiten los valores restringidos. Para la compatibilidad con el despliegue del sistema operativo, puede decidir si va a permitir una excepción para el despliegue del sistema operativo.
Cuando cambia la configuración criptográfica, XClarity Administrator aprovisiona los nuevos valores a todos los dispositivos gestionados e intenta solucionar los nuevos certificados en esos dispositivos.
Debe reiniciar manualmente Lenovo
XClarity Administrator después de que los valores criptográficos se cambien para que los cambios entren en vigor y para restaurar cualquier servicio perdido (consulte Reiniciar XClarity Administrator ).Para obtener más información sobre estos valores, consulte Configuración de valores de criptografía en el servidor de gestión.
- Utilice un navegador web que admita el protocolo TLS1.2 y las funciones de algoritmos hash SHA-256 y habilite estos valores en el navegador web.
Si utiliza o planea utilizar certificados personalizados o firmados externamente, todos los certificados de la cadena deben basarse en las funciones hash SHA-256.
- Utilice protocolos cifrados para todas las comunicaciones. No habilite protocolos no cifrados, como Telnet, FTP y VNC para las comunicaciones remotas con los dispositivos gestionados de XClarity Administrator.