MID Server FIPS 적용 모드

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • MID Server는 NSC(National Security Cloud) IL-5 환경을 지원하며, 이 환경을 사용하려면 사용된 모든 암호화를 FIPS 검증해야 합니다. MID Server는 FIPS에서 확인된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    보안 단계에 대한 설정 표시기MID Server가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID Server를 다운로드 및 설치MID Server 구성MID Server 보안 구성MID Server가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID Server를 다운로드 및 설치MID Server 구성MID Server 보안 구성

    연방 정보 처리 표준(Federal Information Processing Standards)은 컴퓨터 시스템에서 사용하기 위해 미국 국립표준기술연구소(National Institute of Standards and Technology)에서 작성한 표준 그룹입니다. 많은 FIPS 간행물이 있지만 이 설명에서는 FIPS 140-2: 암호화 모듈에 대한 보안 요구 사항을 구체적으로 참조합니다. 암호화 알고리즘은 NIST에서 지정한 유효성 검사 프로세스를 통해 진행할 수 있습니다. 새로운 보안 클라우드 환경의 목적을 위해 MID Server는 이러한 프로세스에 의해 검증된 알고리즘을 활용합니다.

    JRE 버전이 11.0.9+11 이상인 Rome 릴리스 제품군 이상의 MID Server만 FIPS 적용 모드에서 실행되도록 설정할 수 있습니다.

    FIPS 적용 모드

    다음 알고리즘은 FIPS 적용 모드의 MID Server에서 이러한 SSH 기능에 사용할 수 없습니다.

    키 교환:
    diffie hellman 그룹1-sha1
    Mac:
    • HMAC-MD5
    • HMAC-MD5-96 (영문)

    FIPS 적용 모드에서 MID Server가 사용할 SNMP에 대해 다음과 같은 제한이 적용됩니다.

    • SNMP v1 및 v2가 완전히 비활성화되었습니다.
    • SNMP v3의 경우 FIPS 적용 모드에서 MID Server는 다음 프로토콜 사용을 허용하지 않습니다.
      • 인증 프로토콜: 없음 또는 MD5
      • 개인 프로토콜: none 또는 DES

    MID Server를 사용하는 기타 기능은 FIPS 적용 모드에서 실행할 때 영향을 받을 수 있습니다. 자세한 내용은 해당 기능의 특정 설명서를 참조하세요.

    MID Server FIPS 적용 모드 사용

    MID Server는 FIPS에서 확인된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. 새 MID 서버를 배포하거나 기존 MID 서버를 Rome 제품군 릴리스 이상으로 업그레이드하십시오.
    2. MID Server를 종료합니다.
    3. FIPS 적용 모드에서 실행되도록 MID를 변환하기 위해 제공된 다음 번들 스크립트를 실행합니다.
      • Windows 호스트의 경우: > <MID 설치 디렉터리>\agent\bin\scripts\set-fips-enforced-mode.bat
      • Linux 호스트의 경우: $ <MID 설치 디렉터리>/agent/bin/scripts/set-fips-enforced-mode.sh
      성공은 수정된 파일의 위치 및 변환 프로세스 중에 생성된 모든 백업을 포함하여 콘솔에 기록됩니다. 프로그래밍 방식으로 호출하는 경우 성공은 0 반환 코드로 표시됩니다.
    4. MID Server를 시작합니다.

    다음에 수행할 작업

    MID가 실행 중인 모드는 다음 두 가지 방법을 통해 확인할 수 있습니다.

    1. 시작 후 에이전트 로그를 확인하고 다음 로그 줄을 찾습니다. FIPS 적용 모드에서 실행
    2. 인스턴스의 ecc_agent 테이블을 확인하고 FIPS 적용 부울 열의 값을 찾습니다.

    수동으로 MID Server를 FIPS 적용 모드로 변환

    MID Server는 FIPS에서 확인된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    외부 JRE를 사용하는 동안 MID Server를 FIPS 적용 모드로 수동 변환하려면 MID Server가 종료된 상태에서 다음 단계를 수행해야 합니다.

    • JRE의 신뢰 저장소를 BCFKS 유형으로 변환하십시오.

    • JRE의 기본 키 저장소 유형을 BCFKS로 설정합니다.

    • MID Server의 구성 파일에서 FIPS 적용 모드 플래그를 설정합니다.

    프로시저

    1. 다음과 유사한 명령과 함께 Java Keytool 을 사용하여 JRE의 cacerts 파일 유형을 BCFKS로 변환합니다.
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore &lt;대상 키 저장소 경로> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath &lt;BouncyCastle FIPS jar 경로>
      주:
      Rome 및 이후 MID 설치에는 이 목적에 적합한 BouncyCastle jar가 포함되어 있습니다. 다음에서 찾을 수 있습니다. .../agent/lib/bc-fips.jar
    2. JRE의 기본 키 저장소 유형은 &lt;JRE 설치 디렉토리>\conf\security\java.security 파일에서 설정할 수 있습니다.
    3. 이 파일에서 keystore.type 행을 찾아 값을 keystore.type=bcfks와 같이 설정합니다.
    4. MID Server의 .../agent/conf/wrapper-override.conf 파일에서 FIPS 라인의 주석 처리를 제거하고 값을 true로 설정합니다.
      줄은 wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true여야 합니다.