Перейти к основному содержимому

Обеспечение соответствия NIST SP 800-131A

Если требуется обеспечить соответствие NIST SP 800-131A, можно создать полностью соответствующую среду с помощью Lenovo XClarity Administrator.

Об этой задаче

В специальной публикации 800-131A (NIST SP 800-131A) Национального института стандартов и технологий (NIST) определен способ обеспечения защищенной связи. В данном стандарте предусмотрено усиление алгоритмов и увеличение длин ключей для повышения безопасности. Стандарт NIST SP 800-131A требует его строгого соблюдения пользователями.

Прим.
Следующие компоненты Flex System в настоящее время не поддерживают NIST SP 800-131A. Связь между XClarity Administrator или CMM и эти компоненты не совместимы:
  • Масштабируемый коммутатор 10 Gb Flex System EN4023
  • Коммутатор 40 Gb Ethernet Flex System EN6131
  • Коммутатор 8 Gb SAN Flex System FC3171
  • Масштабируемый коммутатор 16 Gb SAN Flex System FC5022
  • Коммутатор Infiniband Flex System IB6131
Прим.
Когда поставщик удостоверений SAML используется для аутентификации, XClarity Administrator использует алгоритм SHA-1 для подписи в метаданных. Использование алгоритма SHA-1 для цифровых подписей не соответствует требованиям NIST SP 800-131A.

Процедура

Для обеспечения соответствия NIST SP 800-131A выполните следующие действия.

  1. Убедитесь, что устройства соответствуют следующим критериям:
    • Использование протокола SSL поверх TLS v1.2.
    • Использование SHA-256 или более мощных функций хеширования для цифровых подписей и SHA-1 или более мощных функций хеширования для других приложений.
    • Используйте алгоритм шифрования RSA-2048 или более мощный, либо используйте одобренные институтом NIST эллиптические кривые (с полями размером 224 бита или больше).
    • Используйте с ключами длиной не менее 128 бит одобренное институтом NIST симметричное шифрование.
    • Используйте одобренные институтом NIST генераторы случайных чисел.
    • Обеспечивайте поддержку (где возможно) механизма обмена ключами Диффи-Хеллмана или механизма обмена ключами Диффи-Хеллмана с использованием эллиптических кривых.
  2. Настройте криптографические параметры на Lenovo XClarity Administrator. Существуют два параметра, связанные с соблюдением требований NIST SP 800-131A:
    • Режим SSL/TLS указывает протоколы, которые должны использоваться для безопасной связи. XClarity Administrator поддерживает параметр сервера и клиента TLS 1.2 для ограничения протокола шифрования до TLS 1.2 на XClarity Administrator и всех управляемых устройствах.
    • При применении защищенной связи криптографический режим задает длины ключей шифрования, которые должны использоваться.

      Можно задать криптографический режим как NIST SP 800-131A. Однако вы не сможете развернуть некоторые операционные системы через XClarity Administrator, потому что некоторые программы установки операционной системы не поддерживают ограниченные параметры. Для поддержки развертывания операционной системы можно разрешить исключение для развертывания операционной системы.

    При изменении параметров криптографии XClarity Administrator применяет новые параметры для всех управляемых устройств и пытается разрешить новые сертификаты для таких устройств.

    Прим.
    Чтобы после изменения криптографических параметров изменения вступили в силу и восстановились все утерянные службы, необходимо перезапустить XClarity Administrator вручную (см. раздел Перезапуск XClarity Administrator ).

    Дополнительные сведения об этих параметрах см. в разделе Настройка параметров криптографии на сервере управления.

  3. Используйте веб-браузер, поддерживающий протокол TLS1.2 и функции хэширования SHA-256, и включите эти параметры в вашем веб-браузере.
    Прим.
    Если вы используете или планируете использовать пользовательские или подписанные сторонним центром сертификаты, в основе всех сертификатов в цепочке должны лежать функции хэширования SHA-256.
  4. Для любой передачи данных используйте протоколы с шифрованием. Не включайте протоколы без шифрования (например, Telnet, FTP и VNC) для удаленной связи с управляемыми устройствами XClarity Administrator.