MID Server는 NSC(National Security Cloud) IL-5 환경을 지원하므로 활용되는 모든 암호화 기술을 FIPS 검증해야 합니다. MID Server는 FIPS 검증 된 암호화 알고리즘 만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

보안 단계의 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

연방 정보 처리 표준(Federal Information Processing Standards)은 컴퓨터 시스템에서 사용하기 위해 국립 표준 기술 연구소(National Institute of Standards and Technology)에서 편집한 표준 그룹입니다. 많은 FIPS 간행물이 있지만 이 논의를 위해 특히 FIPS 140-2: 암호화 모듈에 대한 보안 요구 사항을 참조합니다. 암호화 알고리즘은 NIST에서 지정한 유효성 검사 프로세스를 진행할 수 있습니다. 새로운 보안 클라우드 환경을 위해 MID Server는 해당 프로세스에 의해 검증된 알고리즘을 활용합니다.

JRE 버전 11.0.9+11 이상을 사용하는 Rome 릴리스 제품군 이상의 MID Server만 FIPS 적용 모드에서 실행되도록 설정할 수 있습니다.

FIPS 적용 모드

FIPS 적용 모드에서는 MID 서버가 이러한 SSH 기능에 다음 알고리즘을 사용할 수 없습니다.

키 교환:
diffie-hellman-group1-sha1
맥:
  • HMAC-MD5
  • hmac-md5-96

이제 FIPS 적용 모드에서 MID Server가 사용하는 SNMP에 대해 다음과 같은 제한 사항이 적용됩니다.

  • SNMP v1 및 v2는 완전히 비활성화됩니다.
  • SNMP v3의 경우 FIPS 적용 모드에서 MID 서버가 다음 프로토콜 사용을 허용하지 않습니다.
    • 인증 프로토콜: 없음 또는 MD5
    • 개인 프로토콜: 없음 또는 DES

MID Server를 활용하는 다른 기능은 FIPS 적용 모드에서 실행할 때 영향을 받을 수 있습니다. 자세한 내용은 해당 기능의 특정 설명서를 참조하십시오.

MID 서버 FIPS 적용 모드 사용

MID Server는 FIPS 검증 된 암호화 알고리즘 만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

시작하기 전에

필요한 역할: 관리자

프로시저

  1. 새 MID 서버를 배포하거나 기존 MID 서버를 Rome 제품군 릴리스 이상으로 업그레이드합니다.
  2. MID 서버를 종료합니다.
  3. FIPS 적용 모드에서 실행되도록 MID를 변환하려면 제공된 다음 번들 스크립트를 실행합니다.
    • Windows 호스트의 경우: > <MID 설치 디렉터리>\agent\bin\scripts\set-fips-enforced-mode.bat on
    • Linux 호스트의 경우: $ <MID 설치 디렉터리>/agent/bin/scripts/set-fips-enforced-mode.sh on
    성공은 수정된 파일의 위치와 변환 프로세스 중에 생성된 백업을 포함하여 콘솔에 기록됩니다. 프로그래밍 방식으로 호출하면 성공은 0 반환 코드로 표시됩니다.
  4. MID 서버를 시작합니다.

다음에 수행할 작업

MID가 실행 중인 모드는 다음 두 가지 방법으로 확인할 수 있습니다.

  1. 시작 후 에이전트 로그를 확인하고 다음 로그 줄을 찾습니다. FIPS 적용 모드에서 실행
  2. 인스턴스의 ecc_agent 테이블을 확인하고 FIPS 적용 부울 열의 값을 찾습니다.

수동으로 MID 서버를 FIPS 적용 모드로 변환

MID Server는 FIPS 유효성이 검사된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

시작하기 전에

필요한 역할: 관리자

이 태스크 정보

외부 JRE를 사용하는 동안 수동으로 MID 서버를 FIPS 적용 모드로 변환하려면 MID 서버가 종료된 상태에서 다음 단계를 수행해야 합니다.

  • JRE의 TrustStore를 BCFKS 유형으로 변환하십시오.

  • JRE의 기본 키 저장소 유형을 BCFKS로 설정합니다.

  • MID 서버의 구성 파일에서 FIPS 적용 모드 플래그를 설정합니다.

프로시저

  1. 다음과 유사한 명령으로 Java Keytool 을 사용하여 JRE의 cacerts 파일 유형을 BCFKS로 변환합니다.
    $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <대상 키 저장소 경로> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle FIPS jar 경로>
    주: Rome 및 이후 MID 설치에는이 목적에 적합한 BouncyCastle 항아리가 포함되어 있습니다. .../agent/lib/bc-fips.jar에서 찾을 수 있습니다.
  2. JRE의 기본 키 저장소 유형은 <JRE 설치 디렉토리>\conf\security\java.security 파일에서 설정할 수 있습니다.
  3. 해당 파일에서 keystore.type 줄을 찾아 해당 값을 다음과 같이 설정합니다. keystore.type=bcfks
  4. MID 서버의 .../agent/conf/wrapper-override.conf 파일에서 FIPS 라인의 주석 처리를 제거하고 해당 값을 true로 설정합니다.
    줄에 wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true가 표시되어야 합니다.