본문으로 건너뛰기

보안 환경 구현

사용자 환경의 보안 요구사항을 평가하고, 모든 보안 위험을 이해하고, 이러한 위험을 최소화하는 것이 중요합니다. Lenovo XClarity Administrator에는 사용자 환경을 보호하는 데 도움을 줄 수 있는 몇 가지 기능이 있습니다. 다음 정보를 사용하면 사용자 환경의 보안 계획을 구현하는 데 도움을 줄 수 있습니다.

이 작업 정보

중요사항
사용자는 사용자 시스템의 보안 기능, 관리 절차 및 적합한 제어를 평가, 선택 및 구현할 책임이 있습니다. 이 섹션에 설명되어 있는 보안 기능 구현은 사용자 환경을 완전히 보호하지는 못합니다.
사용자 환경의 보안 필요사항을 평가하는 경우 다음 정보를 고려하십시오.
  • 사용자 환경의 물리적 보안은 중요합니다. 시스템 관리 하드웨어가 보관되는 룸과 랙에 대한 액세스를 제한하십시오.
  • 소프트웨어 기반 방화벽을 사용하여 바이러스 및 무단 액세스와 같은 알려진 긴급한 보안 위협으로부터 네트워크 하드웨어 및 데이터를 보호하십시오.
  • 네트워크 스위치와 pass-thru 모듈에 대한 기본 보안 설정을 변경하지 마십시오. 해당 구성 요소에 대한 공장 출하 기본 설정에서 비보안 프로토콜은 사용 안 함으로 설정되고 서명된 펌웨어 업데이트에 대한 요구사항은 사용으로 설정되어 있습니다.
  • CMM, 베이스보드 관리 컨트롤러, FSP 및 스위치에 대한 관리 응용 프로그램은 신뢰할 수 있는 펌웨어만 설치하도록 해당 구성 요소에 서명된 펌웨어 업데이트 패키지만 허용합니다.
  • 펌웨어 구성 요소를 업데이트할 권한이 있는 사용자만 업데이트 펌웨어 권한을 가지고 있어야 합니다.
  • 최소한 중요 펌웨어 업데이트는 설치되어야 합니다. 변경한 후에는 구성을 항상 백업하십시오.
  • DNS 서버의 모든 보안 관련 업데이트는 즉시 설치하어 최신 상태를 유지해야 합니다.
  • 사용자에게 신뢰할 수 없는 인증서는 승인되지 않음을 알립니다. 자세한 정보는 보안 인증서 작업의 내용을 참조하십시오.
  • Flex System 하드웨어에 변조 표시 옵션을 사용할 수 있습니다. 하드웨어가 잠기지 않은 랙에 설치되거나 개방된 공간에 있는 경우 변조 표시 옵션을 설치하여 침입을 방지하고 식별하십시오. 변조 표시 옵션에 대한 자세한 정보는 Flex System 제품과 함께 제공되는 설명서를 참조하십시오.
  • 가능하거나 실용성이 있을 경우 시스템 관리 하드웨어를 별도의 서브넷에 설치하십시오. 일반적으로 관리자만 시스템 관리 하드웨어에 대한 액세스 권한을 가져야 하고 기본 사용자에게는 액세스 권한을 부여하면 안됩니다.
  • 암호를 선택하는 경우 "password" 또는 회사 이름과 같이 추측하기 쉬운 표현은 사용하지 마십시오. 암호는 보안이 가능한 위치에 보존하고 암호에 대한 액세스를 제한해야 합니다. 회사의 암호 정책을 구현하십시오.
    중요사항
    항상 기본 사용자 이름과 암호를 변경하십시오. 모든 사용자에게 강력한 암호 규칙이 필요합니다.
  • 데이터에 대한 액세스 권한이 있고 서버에 프로그램을 설치하는 사용자를 제어하는 방식으로 사용자에 대한 시동 암호를 구축하십시오. 시동 암호에 대한 자세한 정보는 서버와 함께 제공되는 설명서를 참조하십시오.
  • 사용자 환경의 여러 사용자에게 사용 가능한 여러 권한 수준을 사용하십시오. 모든 사용자가 동일한 감독자 사용자 ID를 사용하여 작업하지 않도록 하십시오.
  • 사용자 환경이 보안 통신을 지원하는 다음 NIST 800-131A 기준을 충족하는지 확인하십시오.
    • TLS v1.2 프로토콜을 통해 SSL(Secure Sockets Layer)을 사용하십시오.
    • 디지털 서명에는 SHA-256 또는 더 강력한 해시 기능, 다른 응용 프로그램에는 SHA-1 또는 더 강력한 해시 기능을 사용하십시오.
    • RSA-2048 이상을 사용하거나 224비트 이상인 NIST 승인 Elliptic Curve를 사용합니다.
    • 길이가 최소 128비트인 키가 있는 NIST 승인 대칭적 암호화를 사용합니다.
    • NIST 승인 무작위 숫자 생성기를 사용합니다.
    • 가능한 경우 Diffie-Hellman 또는 Elliptic Curve Diffie-Hellman 키 교환 메커니즘을 지원합니다.

    암호 표기법 설정에 대한 자세한 정보는 관리 서버의 암호화 설정 구성의 내용을 참조하십시오. NIST 설정에 대한 자세한 정보는 NIST SP 800-131A 준수 구현의 내용을 참조하십시오.

  • 사용자 계정 보안 설정 변경
    사용자 계정 보안 설정은 암호 복잡도, 계정 잠금 및 웹 세션 비활성 제한시간을 제어합니다. 다음 설정 값을 변경할 수 있습니다.
  • 관리 서버의 암호화 설정 구성
    관리 서버의 SSL/TLS 버전 및 암호 설정을 구성할 수 있습니다.
  • 관리되는 서버의 보안 설정 구성
    관리되는 서버의 SSL/TLS 버전 및 암호 설정을 구성할 수 있습니다.
  • 보안 인증서 작업
    Lenovo XClarity Administrator은(는) XClarity Administrator 및 관리되는 장치(예: System x 서버의 섀시와 서비스 프로세서) 간의 안전하고 신뢰할 수 있는 통신뿐만 아니라 사용자의 XClarity Administrator 또는 다른 서비스와의 통신을 위해 SSL 인증서를 사용합니다. 기본적으로 XClarity Administrator, CMM 및 베이스보드 관리 컨트롤러는 내부 인증 기관에서 자체 서명하고 발행한 XClarity Administrator가 생성한 인증서를 사용합니다.
  • Encapsulation 사용
    Lenovo XClarity Administrator에서 Lenovo 섀시 및 서버를 관리하는 경우 Lenovo XClarity Administrator를 구성하여 Lenovo XClarity Administrator의 수신 요청만 승인하도록 장치 방화벽 규칙을 변경할 수 있습니다. 이것을 encapsulation이라 합니다. 또한 Lenovo XClarity Administrator에서 이미 관리되고 있는 섀시 및 서버에서 encapsulation을 사용 또는 사용 안 함으로 설정할 수 있습니다.
  • NIST SP 800-131A 준수 구현
    NIST SP 800-131A를 준수해야 하는 경우 Lenovo XClarity Administrator를 사용하여 완벽하게 준수하는 환경을 목표로 작업을 시작할 수 있습니다.