跳到主要内容

实现 NIST SP 800-131A 合规性

如果必须符合 NIST SP 800-131A 标准,则可开始使用 Lenovo XClarity Administrator 力争使环境完全合规。

关于本任务

美国国家标准技术研究所特种出版物 800-131A(NIST SP 800-131A)规定处理安全通信应采用的方式。该标准强化算法并增加密钥长度以提高安全性。NIST SP 800-131A 标准要求将用户配置为严格执行该标准。

以下 Flex System 组件当前不支持 NIST SP 800-131AXClarity Administrator 或 CMM 与以下这些组件之间的通信不合规:
  • Flex System EN4023 10 Gb 可扩展交换机
  • Flex System EN6131 40 Gb 以太网交换机
  • Flex System FC3171 8 Gb SAN 交换机
  • Flex System FC5022 16 Gb SAN 可扩展交换机
  • Flex System IB6131 Infiniband 交换机
使用 SAML 身份供应商进行认证时,XClarity Administrator 使用 SHA-1 在元数据中的签名。使用 SHA-1 算法进行数字签名不符合 NIST SP 800-131A 要求。

过程

要实现 NIST SP 800-131A 合规性,请完成以下步骤。

  1. 确保您的设备满足以下条件:
    • 在 TLS v1.2 协议上使用安全套接字层(SSL)。
    • 对数字签名使用 SHA-256 或更安全的散列功能,对其他应用程序使用 SHA-1 或更安全的散列功能。
    • 使用 RSA-2048 或更复杂的算法,或使用 NIST 认可的 224 位或更复杂的椭圆曲线算法。
    • 使用 NIST 认可的密钥长度至少为 128 位的对称加密。
    • 使用 NIST 认可的随机数生成器。
    • 尽可能支持 Diffie-Hellman 或 Elliptic Curve Diffie-Hellman 密钥交换机制。
  2. 配置 Lenovo XClarity Administrator 上的加密设置。有两个设置与 NIST SP 800-131A 合规性相关:
    • SSL/TLS 模式 指定要用于安全通信的协议。XClarity Administrator 支持设置 TLS 1.2 服务器和客户端以使 XClarity Administrator 和所有受管设备上仅限使用 TLS 1.2 加密协议。
    • 如果已实现安全通信,加密模式 将设置要使用的加密密钥长度。

      可将加密模式设置为 NIST SP 800-131A。但是,可能无法通过 XClarity Administrator 部署某些操作系统,因为某些操作系统安装程序不支持受限设置。要支持操作系统部署,可决定允许操作系统部署作为例外情况。

    更改任何加密设置时,XClarity Administrator 会将新设置配置到所有受管设备并尝试解析这些设备上的任何新证书。

    为了在更改加密设置后使更改生效以及恢复任何丢失的服务,必须手动重新启动 XClarity Administrator(请参阅重新启动XClarity Administrator)。

    有关这些设置的详细信息,请参阅在管理软件上配置加密设置

  3. 使用支持 TLS1.2 协议和 SHA-256 散列功能的 Web 浏览器,并在 Web 浏览器中启用这些设置。
    如果您正在使用或计划使用自定义或外部签署证书,则该证书链中的所有证书都必须基于 SHA-256 散列功能。
  4. 对所有通信都使用加密协议。请勿允许使用非加密协议(如 Telnet、FTP 和 VNC)与 XClarity Administrator 受管设备进行远程通信。