Pular para o conteúdo principal

Implementando a conformidade com NIST SP 800-131A

Se precisar de conformidade com NIST SP 800-131A, é possível começar a funcionar em um ambiente totalmente compatível usando o Lenovo XClarity Administrator.

Sobre esta tarefa

O Special Publication 800-131A do National Institute of Standards and Technology (NIST SP 800-131A) especifica a maneira que as comunicações seguras devem ser manipuladas. O padrão reforça os algoritmos e aumenta os comprimentos da chave para melhorar a segurança. O padrão NIST SP 800-131A requer que os usuários sejam configurados para o cumprimento rigoroso do padrão.

Nota
Os seguintes componentes do Flex System não oferecem suporte ao NIST SP 800-131A atualmente. As comunicações entre o XClarity Administrator ou o CMM e estes componentes não são compatíveis:
  • Comutador Escalável de 10 Gb EN4023 Flex System
  • Comutador Ethernet de 40 Gb EN6131 Flex System
  • Comutador SAN de 8 Gb FC3171 Flex System
  • Comutador Escalável SAN de 16 Gb FC5022 Flex System
  • Comutador InfiniBand IB6131 Flex System
Nota
Quando um provedor de identidade SAML é usado para autenticação, o XClarity Administrator usa o SHA-1 para efetuar a assinatura nos metadados. Usar o algoritmo SHA-1 para assinaturas digitais não é compatível com o NIST SP 800-131A.

Procedimento

Para implementar a conformidade com o NIST SP 800-131A, conclua as seguintes etapas.

  1. Certifique-se de que seus dispositivos atendam aos seguintes critérios:
    • Use o Secure Sockets Layer (SSL) sobre o protocolo TLS v1.2.
    • Use o SHA-256 ou as funções hash mais fortes para as assinaturas digitais e SHA-1 ou as funções hash mais fortes para os outros aplicativos.
    • Use o RSA-2048 ou mais forte ou o Elliptic Curves aprovado pelo NIST que têm 224 bits ou mais.
    • Use a criptografia simétrica aprovado pelo NIST com chaves com um mínimo de 128 bits de comprimento.
    • Use os geradores de números aleatórios aprovados pelo NIST.
    • Quando for possível, ofereça suporte aos mecanismos Diffie-Hellman ou Elliptic Curve Diffie-Hellman Key Exchange.
  2. Definido as configurações criptográficas no Lenovo XClarity Administrator. Há duas configurações relacionadas com a conformidade com o NIST SP 800-131A:
    • O Modo SSL/TLS especifica os protocolos que devem ser usados para comunicações seguras. O XClarity Administrator oferece suporte a uma configuração de Servidor e cliente TLS 1.2 para restringir o protocolo de criptografia a TLS 1.2 no XClarity Administrator e em todos os dispositivos gerenciados.
    • Se as comunicações seguras forem implementadas, o modo criptográfico definirá os comprimentos de chave de criptografia a serem usados.

      É possível configurar o modo criptográfico como NIST SP 800-131A. Entretanto, você não pode implantar alguns sistemas operacionais por meio do XClarity Administrator porque alguns instaladores de sistema operacional não oferecem suporte às configurações restritas. Para oferecer suporte à implementação do sistema operacional, é possível optar por permitir uma exceção para implantação do sistema operacional.

    Ao modificar qualquer configuração de criptografia, o XClarity Administrator fornece as novas configurações para todos os dispositivos gerenciados e tenta resolver os novos certificados nesses dispositivos.

    Nota
    Você precisará reiniciar o XClarity Administrator depois de alterar as configurações de criptografia para que as alterações tenham efeito e para restaurar todos os serviços perdidos (consulte Reiniciando o XClarity Administrator ).

    Para obter mais informações sobre essas configurações, consulte Definindo configurações de criptografia no servidor de gerenciamento.

  3. Use um navegador da Web que ofereça suporte ao protocolo TLS1.2 e às funções hash SHA-256 e para habilite essas configurações em seu navegador.
    Nota
    Se você usa ou planeja usar certificados personalizados ou assinados externamente, todos os certificados da cadeia deverão ser baseados em funções de hash SHA-256.
  4. Use os protocolos criptografados para todas as comunicações. Não habilite os protocolos não criptografados, como Telnet, FTP e VNC, para comunicações remotas com dispositivos gerenciados XClarity Administrator.