跳至主要内容

實作 NIST SP 800-131A 標準

如果您必須符合 NIST SP 800-131A 標準,可以使用 Lenovo XClarity Administrator 開始打造完全符合標準的環境。

關於此作業

美國國家標準技術研究所 (The National Institute of Standards and Technology) 特刊 800-131A (NIST SP 800-131A) 中指出了應採行的安全通訊方式。這項標準強化了演算法並增加金鑰長度,以提升安全性。NIST SP 800-131A 標準要求能夠對配置的使用者嚴格執行標準。

下列 Flex System 元件目前不支援 NIST SP 800-131AXClarity Administrator 或 CMM 與這些元件之間的通訊不符合標準:
  • Flex System EN4023 10 Gb 可調式交換器
  • Flex System EN6131 40 Gb 乙太網路交換器
  • Flex System FC3171 8 Gb SAN 交換器
  • Flex System FC5022 16 Gb SAN 可調式交換器
  • Flex System IB6131 Infiniband 交換器
使用 SAML 識別提供者進行鑑別時,XClarity Administrator 會使用 SHA-1 簽署中繼資料中的簽章。針對數位簽章使用 SHA-1 演算法並不符合 NIST SP 800-131A 的標準。

程序

若要實作 NIST SP 800-131A 標準,請完成下列步驟。

  1. 請確定您的裝置符合下列準則︰
    • 使用透過 TLS v1.2 通訊協定的 Secure Sockets Layer (SSL)。
    • 針對數位簽章使用 SHA-256 或更強的雜湊功能,或針對其他應用程式使用 SHA-1 或更強的雜湊功能。
    • 使用 RSA-2048 或更強的標準,或使用 NIST 核准的 224 位元或更強的橢圓曲線。
    • 使用 NIST 核准的對稱加密,並採用至少 128 位元長度的金鑰。
    • 使用 NIST 核准的亂數產生器。
    • 盡可能支援 Diffie-Hellman 或橢圓曲線 Diffie-Hellman 金鑰交換機制。
  2. Lenovo XClarity Administrator 上配置加密設。有兩項設定與 NIST SP 800-131A 標準相關:
    • SSL/TLS 模式可指定安全通訊所使用的通訊協定。XClarity Administrator 支援 TLS 1.2 伺服器和用戶端設定,可將 XClarity Administrator 和所有受管理裝置上的加密法通訊協定限於 TLS 1.2。
    • 如果實作安全通訊,加密模式會設定要使用的加密金鑰長度。

      您可以將加密模式設定為 NIST SP 800-131A。不過,您可能無法透過 XClarity Administrator 部署透過某些作業系統,因為有些作業系統安裝程式不支援受限的設定。若要支援作業系統部署,您可以選擇允許作業系統部署有例外狀況。

    當您變更任何加密設定,XClarity Administrator 會將新設定提供給所有受管理的裝置,並嘗試解析這些裝置上的所有新憑證。

    變更加密設定後,您必須手動重新啟動 XClarity Administrator,才能讓變更生效並且還原任何遺失的服務(請參閱 重新啟動 XClarity Administrator )。

    如需這些設定的相關資訊,請參閱在管理伺服器上配置加密法設定

  3. 使用支援 TLS1.2 通訊協定和 SHA-256 雜湊功能的 Web 瀏覽器,並且在 Web 瀏覽器中啟用這些設定。
    如果您使用或計劃使用自訂或外部簽署憑證,則該憑證鏈中的所有憑證都必須基於 SHA-256 雜湊功能。
  4. 針對所有通訊使用加密的通訊協定。不會啟用未加密的通訊協定(例如 Telnet、FTP 和 VNC)來進行 XClarity Administrator 受管理裝置的遠端通訊。