NIST SP 800-131A 준수 구현

NIST SP 800-131A를 준수해야 하는 경우 Lenovo XClarity Administrator를 사용하여 완벽하게 준수하는 환경을 목표로 작업을 시작할 수 있습니다.

절차

NIST SP 800-131A 준수를 구현하려면 다음 단계를 완료하십시오.

1. 장치는 다음 조건을 충족해야 합니다.
   • TLS v1.2 프로토콜을 통해 SSL(Secure Sockets Layer)을 사용하십시오.
   • 디지털 서명에는 SHA-256 또는 더 강력한 해시 기능, 다른 응용 프로그램에는 SHA-1 또는 더 강력한 해시 기능을 사용하십시오.
   • RSA-2048 이상을 사용하거나 224비트 이상인 NIST 승인 Elliptic Curve를 사용합니다.
   • 길이가 최소 128비트인 키가 있는 NIST 승인 대칭적 암호화를 사용합니다.
   • NIST 승인 무작위 숫자 생성기를 사용합니다.
   • 가능한 경우 Diffie-Hellman 또는 Elliptic Curve Diffie-Hellman 키 교환 메커니즘을 지원합니다.
2. Lenovo XClarity Administrator에서 암호 설정을 구성합니다. NIST SP 800-131A 준수와 관련된 다음 두 개의 설정이 있습니다.
   • SSL/TLS 모드는 보안 통신에 사용될 프로토콜을 지정합니다. XClarity Administrator는 TLS 1.2 서버 및 클라이언트의 설정을 지원하여 XClarity Administrator 및 모든 관리 장치에서 TLS 1.2에 암호 프로토콜을 제한합니다.
   • 보안 통신을 구현하는 경우 암호화 모드가 사용할 암호화 키 길이를 설정합니다.

     암호화 모드를 NIST SP 800-131A로 설정할 수 있습니다. 그러나 일부 운영 체제 설치 프로그램이 제한된 설정을 지원하지 않기 때문에 XClarity Administrator를 통해 일부 운영 체제를 배포하지 못할 수 있습니다. 운영 체제 배포를 지원하려면 운영 체제 배포에 대한 예외를 허용할 수 있습니다.

   암호 설정을 변경하면 XClarity Administrator는 관리되는 모든 장치에 새 설정을 프로비저닝하고 해당 장치에서 새로운 인증서 해결을 시도합니다.

   주

   변경 사항을 적용하고 손실된 서비스를 복원하기 위해서는 암호 설정이 변경된 후 XClarity Administrator를 수동으로 다시 시작해야 합니다(XClarity Administrator 다시 시작 참조).

   이러한 설정에 대한 자세한 정보는 관리 서버의 암호화 설정 구성의 내용을 참조하십시오.

3. TLS1.2 프로토콜 및 SHA-256 해싱 기능을 지원하는 웹 브라우저를 사용하고 웹 브라우저에서 해당 설정을 사용으로 설정하십시오.
   주

   사용자 지정 또는 외부 서명된 인증서를 사용 중이거나 사용할 계획인 경우 체인의 모든 인증서는 SHA-256 해시 기능을 기반으로 해야 합니다.
4. 모든 통신에 대한 암호화된 프로토콜을 사용하십시오. XClarity Administrator 관리 장치와의 원격 통신에 Telnet, FTP 및 VNC와 같은 암호화되지 않은 프로토콜을 사용 설정하지 마십시오.