メインコンテンツまでスキップ

NIST SP 800-131A コンプライアンスの実装

NIST SP 800-131A に準拠する必要がある場合は、Lenovo XClarity Administrator を使用した完全に準拠する環境への取り組みを開始します。

このタスクについて

米国立標準技術研究所 (NIST) の Special Publication 800-131A (NIST SP 800-131A) では、セキュアな通信の処理方法が指定されています。この標準によってアルゴリズムが強化され、鍵の長さが増すことで、セキュリティーが向上します。NIST SP 800-131A 標準では、標準が厳密に適用されるようにユーザーを構成することが要求されています。

現在、以下の Flex System コンポーネントは NIST SP 800-131A をサポートしていません。XClarity Administrator または CMM とこれらのコンポーネントの間の通信は適合していません。
  • Flex System EN4023 10 Gb スケーラブル・スイッチ
  • Flex System EN6131 40 Gb イーサネット・スイッチ
  • Flex System FC3171 8 Gb SAN スイッチ
  • Flex System FC5022 16 Gb SAN スケーラブル・スイッチ
  • Flex System IB6131 Infiniband スイッチ
SAML ID プロバイダーを認証に使用する場合、XClarity Administrator は SHA-1 を使用してメタデータに署名します。SHA-1 アルゴリズムを使用したデジタル署名は NIST SP 800-131A に準拠していません。

手順

NIST SP 800-131A コンプライアンスを実装するには、以下の手順を実行します。

  1. ご使用のデバイスが、以下の標準を満たしていることを確認してください。
    • TLS v1.2 プロトコルを介した Secure Sockets Layer (SSL) を使用する。
    • デジタル署名には SHA-256 以上の強度のハッシュ関数を使用し、その他の用途には SHA-1 以上の強度のハッシュ関数を使用する。
    • RSA-2048、またはより強力な暗号を使用しているか、NIST が承認した 224 ビット以上の楕円曲線暗号を使用している。
    • NIST が承認した対称鍵暗号で、鍵の長さが少なくとも 128 ビット以上のものを使用している。
    • NIST が承認した乱数発生ルーチンを使用している。
    • (可能な場合) Diffie-Hellman 鍵交換メカニズムまたは Elliptic Curve Diffie-Hellman 鍵交換メカニズム (あるいはこの両方) をサポートしている。
  2. Lenovo XClarity Administrator で暗号化設定を構成します。NIST SP 800-131A コンプライアンスに関連する設定は 2 つあります。
    • SSL/TLS モードでは、セキュアな通信に使用するプロトコルを指定します。XClarity Administrator では、XClarity Administrator とすべての管理対象デバイスで暗号化プロトコルを TLS 1.2 に制限するための「TLS 1.2 サーバーおよびクライアント」という設定がサポートされています。
    • セキュアな通信が実装されている場合には、暗号モードで使用される暗号鍵の長さが設定されます。

      暗号モードを「NIST SP 800-131A」と設定できます。ただし、一部のオペレーティング・システム・インストーラーでは制限付き設定がサポートされていないため、XClarity Administrator を使用してオペレーティング・システムをデプロイできない場合があります。オペレーティング・システム・デプロイメントをサポートするために、オペレーティング・システム・デプロイメントの例外を許可することを選択できます。

    暗号設定を変更した場合は、XClarity Administrator によってすべての管理対象デバイスに新しい設定がプロビジョニングされ、それらのデバイスで新しい証明書を解決しようと試みられます。

    暗号設定を変更した後、手動で XClarity Administrator を再起動して、変更を有効にし、失われたサービスを復元する必要があります (XClarity Administratorの再起動 を参照)。

    これらの設定の詳細については、管理サーバーでの暗号化設定の構成を参照してください。

  3. TLS1.2 プロトコルと SHA-256 ハッシュ関数がサポートされている Web ブラウザーを使用し、Web ブラウザーでその設定を有効にします。
    カスタム証明書または外部署名証明書を使用しているか、または使用する予定の場合、チェーン内のすべての証明書は SHA-256 ハッシュ関数に基づいている必要があります。
  4. すべての通信で暗号化されたプロトコルを使用します。XClarity Administrator 管理対象デバイスとのリモート通信に対して、Telnet、FTP、VNC などの暗号化されていないプロトコルを有効にしないでください。