Skip to main content

การนำการปฏิบัติตามข้อบังคับสำหรับ NIST SP 800-131A มาใช้งาน

หากคุณต้องปฏิบัติตามข้อบังคับของ NIST SP 800-131A คุณสามารถเริ่มทำงานเพื่อให้ได้รับระบบเป็นไปตามข้อบังคับอย่างสมบูรณ์โดยได้ใช้ Lenovo XClarity Administrator

เกี่ยวกับงานนี้

เอกสารเผยแพร่พิเศษ 800-131A ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST SP 800-131A) ระบุวิธีที่ควรใช้ในการจัดการการสื่อสารแบบมีการรักษาความปลอดภัย มาตรฐานที่ทำให้อัลกอริทึมสูงขึ้นและเพิ่มความยาวของคีย์เพื่อปรับปรุงการรักษาความปลอดภัย มาตรฐาน NIST SP 800-131A กำหนดให้ต้องกำหนดค่าผู้ใช้โดยบังคับใช้มาตรฐานที่เข้มงวด

หมายเหตุ
ขณะนี้ ส่วนประกอบ Flex System ต่อไปนี้ไม่รองรับ NIST SP 800-131A การสื่อสารระหว่าง XClarity Administrator หรือ CMM กับส่วนประกอบเหล่านี้ไม่เป็นไปตามข้อบังคับ:
  • สวิตช์แบบปรับขนาดได้ Flex System EN4023 10 Gb
  • สวิตช์อีเทอร์เน็ต Flex System EN6131 40 Gb
  • สวิตช์ SAN Flex System FC3171 8 Gb
  • สวิตช์ SAN แบบปรับขนาดได้ Flex System FC5022 16 Gb
  • สวิตช์ InfiniBand Flex System IB6131
หมายเหตุ
เมื่อใช้ผู้ให้บริการข้อมูลประจำตัว SAML สำหรับการตรวจสอบความถูกต้อง XClarity Administrator ใช้ SHA-1 เพื่อลงนามลายเซ็นในข้อมูลเมตา การใช้อัลกอริทึม SHA-1 สำหรับลายเซ็นดิจิทัลไม่เป็นไปตาม NIST SP 800-131A

ขั้นตอน

เพื่อนำการปฏิบัติตาม NIST SP 800-131A มาใช้งาน ปฏิบัติตามขั้นตอนต่อไปนี้

  1. ตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณตรงตามเกณฑ์ต่อไปนี้:
    • ใช้ Secure Sockets Layer (SSL) กับโปรโตคอล TLS v1.2
    • ใช้ฟังก์ชันการแฮช SHA-256 หรือสูงกว่าสำหรับลายเซ็นต์ดิจิตอล และฟังก์ชันการแฮช SHA-1 หรือสูงกว่าสำหรับแอปพลิชันอื่นๆ
    • ใช้ RSA-2048 ขึ้นไป หรือใช้ Elliptic Curves ที่ NIST อนุมัติ 224 บิตขึ้นไป
    • ใช้การเข้ารหัสสมมาตรที่ NIST อนุมัติพร้อมคีย์ที่มีความยาวอย่างน้อย 128 บิต
    • ใช้ตัวสร้างหมายเลขแบบสุ่มที่ NIST รับรอง
    • เมื่อเป็นไปได้ รองรับกลไกการแลกเปลี่ยนคีย์ Diffie-Hellman หรือ Elliptic Curve Diffie-Hellman
  2. กำหนดค่าการตั้งค่าการเข้ารหัสบน Lenovo XClarity Administrator มีการตั้งค่าสองรายการที่เกี่ยวข้องกับการปฏิบัติตาม NIST SP 800-131A:
    • โหมด SSL/TLS ระบุโปรโตคอลที่จะใช้สำหรับการสื่อสารแบบมีการรักษาความปลอดภัย XClarity Administrator รองรับการตั้งค่าของเซิร์ฟเวอร์และไคลเอ็นต์ TLS 1.2 เพื่อจำกัดโปรโตคอลการเข้ารหัสเป็น TLS 1.2 บน XClarity Administrator และอุปกรณ์ที่ได้รับการจัดการทั้งหมด
    • ถ้าการสื่อสารแบบมีการรักษาความปลอดภัยถูกนำมาใช้งาน โหมดการเข้ารหัสจะตั้งค่าความยาวของคีย์การเข้ารหัสที่จะใช้

      คุณสามารถตั้งค่าโหมดการเข้ารหัสเป็น NIST SP 800-131A อย่างไรก็ตาม คุณอาจไม่สามารถปรับใช้บางระบบปฏิบัติการได้ผ่านทาง XClarity Administrator เนื่องจากโปรแกรมติดตั้งระบบปฏิบัติการบางตัวไม่รองรับการตั้งค่าที่จำกัด ในการรองรับการปรับใช้ระบบปฏิบัติการ คุณสามารถเลือกที่จะอนุญาตข้อยกเว้นสำหรับการปรับใช้ระบบปฏิบัติการ

    เมื่อคุณเปลี่ยนการตั้งค่าการเข้ารหัสใดๆ XClarity Administrator จะเตรียมใช้งานการตั้งค่าใหม่ไปยังอุปกรณ์ที่ได้รับการจัดการทั้งหมด และทำการแก้ปัญหาใบรับรองใหม่บนอุปกรณ์เหล่านั้น

    หมายเหตุ
    คุณต้องรีสตาร์ท XClarity Administrator ด้วยตนเอง หลังจากที่เปลี่ยนแปลงการตั้งค่าการเข้ารหัส เพื่อให้การเปลี่ยนแปลงมีผลและกู้คืนบริการที่สูญหายไปใดๆ (โปรดดู การรีสตาร์ท XClarity Administrator )

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าเหล่านี้ โปรดดู การกําหนดค่าการตั้งค่าการเข้ารหัสบนเซิร์ฟเวอร์การจัดการ

  3. ใช้เว็บเบราเซอร์ที่รองรับโปรโตคอล TLS1.2 และฟังก์ชันแฮช SHA-256 และเปิดใช้งานการตั้งค่าเหล่านั้นในเว็บเบราเซอร์ของคุณ
    หมายเหตุ
    คณใช้หรือวางแผนที่จะใช้ใบรับรองที่ลงนามแบบกำหนดเองหรือภายนอก ใบรับรองทั้งหมดในเครือข่ายต้องใช้ฟังก์ชันแฮช SHA-256
  4. ใช้โปรโตคอลที่เข้ารหัสสำหรับการสื่อสารทั้งหมด อย่าเปิดใช้งานโปรโตคอลที่ไม่ได้เข้ารหัส เช่น Telnet, FTP และ VNC สำหรับการสื่อสารระยะไกลที่มีอุปกรณ์ที่ได้รับการจัดการ XClarity Administrator