Si vous devez respecter la norme NIST SP 800-131A, vous pouvez commencer par mettre en place un environnement intégralement conforme à l'aide de Lenovo XClarity Administrator.
À propos de cette tâche
La norme NIST SP 800-131A (National Institute of Standards and Technology Special Publication 800-131A) définit la façon dont les communications sécurisées doivent être gérées. Cette norme vient en renforcement des algorithmes et augmente les longueurs de clés afin d'améliorer la sécurité. La norme NIST SP 800-131A requiert que les utilisateurs respectent une mise en application stricte de cette norme.
Actuellement, les composants
Flex System ne prennent pas en charge la norme NIST SP 800-131A. Les communications entre XClarity Administrator ou le module CMM et ces composants ne sont pas compatibles :- Commutateur évolutif 10 Gb Flex System EN4023
- Commutateur Ethernet 40 Gb Flex System EN6131
- Commutateur SAN 8 Gb Flex System FC3171
- Commutateur évolutif SAN 16 Gb Flex System FC5022
- Commutateur Flex System IB6131 Infiniband
Lorsqu'un fournisseur d'identité SAML est utilisé à des fins d'authentification, XClarity Administrator utilise SHA-1 pour apposer la signature dans les métadonnées. L'utilisation de l'algorithme SHA-1 pour les signatures numériques n'est pas compatible avec la norme NIST SP 800-131A.
Procédure
Pour implémenter la conformité avec la norme NIST SP 800-131A, procédez comme suit.
- Assurez-vous que vos appareils respectent les critères suivants :
- Configurez les paramètres cryptographiques sur Lenovo XClarity Administrator. Il existe deux paramètres relatifs à la conformité avec NIST SP 800-131A :
- Le mode SSL/TLS spécifie les protocoles à utiliser pour les communications sécurisées. XClarity Administrator prend en charge le paramètre Serveur et client TLS 1.2 permettant de limiter le protocole cryptographique à TLS 1.2 sur XClarity Administrator et tous les appareils gérés.
- Si des communications sécurisées sont implémentées, le mode cryptographique définit les longueurs de clé de chiffrement à utiliser.
Vous pouvez affecter la valeur NIST SP 800-131A au mode cryptographique. Cependant, vous ne pourrez peut-être pas déployer certains systèmes d'exploitation via XClarity Administrator car certains programmes d'installation de système d'exploitation ne prennent pas en charge les paramètres restreints. Pour permettre la prise en charge du déploiement de système d'exploitation, vous pouvez choisir d'autoriser une exception pour le déploiement du système d'exploitation.
Lorsque vous modifiez tous les paramètres cryptographiques, XClarity Administrator met à disposition les nouveaux paramètres pour tous les appareils gérés et tente de résoudre tous les nouveaux certificats sur ces dispositifs.
Vous devez redémarrer
XClarity Administrator manuellement après avoir modifié les paramètres cryptographiques de sorte que ces modifications prennent effet et que les services éventuellement perdus soient restaurés (voir Redémarrage de XClarity Administrator dans la documentation en ligne de ).Pour plus d'informations sur ces paramètres, voir Configuration des paramètres cryptographiques sur le serveur de gestion.
- Utilisez un navigateur Web prenant en charge le protocole TLS1.2 et les fonctions de hachage SHA-256 et activez ces paramètres dans votre navigateur Web.
Si vous utilisez ou souhaitez utiliser des certificats à signature externe ou personnalisés, tous les certificats présents dans la chaîne doivent être basés sur les fonctions de hachage SHA-256.
- Utilisez des protocoles chiffrés pour toutes les communications. N’activez pas de protocoles non chiffrés, tels que Telnet, FTP et VNC, pour les communications distantes avec des appareils gérés par XClarity Administrator.