Se è necessario rispettare la conformità NIST SP 800-131A, è possibile iniziare a progettare un ambiente completamente conforme tramite Lenovo XClarity Administrator.
Informazioni su questa attività
Nella pubblicazione speciale 800-131A (NIST SP 800-131A) del NIST (National Institute of Standards and Technology) vengono specificate le modalità di gestione delle comunicazioni sicure. Lo standard potenzia gli algoritmi e incrementa la lunghezza delle chiavi per aumentare la sicurezza. Lo standard NIST SP 800-131A richiede che le configurazioni degli utenti siano rigorosamente conformi allo standard.
I seguenti componenti di
Flex System attualmente non supportano NIST SP 800-131A. Le comunicazioni tra XClarity Administrator o il modulo CMM e i seguenti componenti non sono conformi:- Switch scalabile Flex System EN4023 10 Gb
- Switch Ethernet Flex System EN6131 40 Gb
- Switch SAN Flex System FC3171 8 Gb
- Switch scalabile SAN Flex System FC5022 16 Gb
- Switch InfiniBand Flex System IB6131
Quando per l'autenticazione viene utilizzato un provider di identità SAML, XClarity Administrator utilizza SHA-1 per firmare i metadati. L'utilizzo dell'algoritmo SHA-1 per le firme digitali non è conforme a NIST SP 800-131A.
Procedura
Per implementare la conformità NIST SP 800-131A, completare le seguenti operazioni.
- Verificare che i dispositivi rispettino i seguenti criteri:
- Configurare le impostazioni di crittografia di Lenovo XClarity Administrator. Sono disponibili due impostazioni relative alla conformità NIST SP 800-131A:
- La modalità SSL/TLS specifica i protocolli da utilizzare per le comunicazioni sicure. XClarity Administrator supporta una configurazione server e client TLS 1.2 per limitare il protocollo di crittografia a TLS 1.2 per XClarity Administrator e tutti i dispositivi gestiti.
- Se vengono implementate comunicazioni sicure, la modalità crittografica imposta la lunghezza delle chiavi di crittografia da utilizzare.
È possibile impostare la modalità crittografica su NIST SP 800-131A. Tuttavia, potrebbe non essere possibile distribuire alcuni sistemi operativi tramite XClarity Administrator, poiché alcuni programmi di installazione dei sistemi operativi non supportano le impostazioni limitate. Per supportare la distribuzione del sistema operativo, è possibile consentire le eccezioni per la distribuzione del sistema operativo.
Quando si modifica un'impostazione crittografica, XClarity Administrator esegue il provisioning delle nuove impostazioni su tutti i dispositivi gestiti e tenta di risolvere i nuovi certificati sui dispositivi selezionati.
Una volta modificate le impostazioni di crittografia, affinché le modifiche siano effettive e per ripristinare i servizi persi, è necessario riavviare manualmente
XClarity Administrator (vedere Riavvio di XClarity Administrator ).Per ulteriori informazioni su queste impostazioni, vedere Configurazione delle impostazioni di crittografia sul server di gestione.
- Utilizzare un browser Web che supporta il protocollo TLS1.2 e le funzioni di hashing SHA-256 e abilitare queste impostazioni nel browser Web.
Se si utilizza o si intende utilizzare certificati personalizzati o con firma esterna, tutti i certificati nella catena devono essere basati sulle funzioni di hash SHA-256.
- Utilizzare i protocolli crittografati per tutte le comunicazioni. Non abilitare protocolli non crittografati, come Telnet, FTP e VNC per le comunicazioni remote con i dispositivi gestiti di XClarity Administrator.