MID 서버 FIPS 적용 모드

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • MID Server는 NSC(National Security Cloud) IL-5 환경을 지원하며, 이 경우 사용되는 모든 암호화는 FIPS 검증을 거쳐야 합니다. MID Server는 FIPS 유효성이 검사된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    보안 단계에 대한 설정 표시기MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성MID 서버가 네트워크 내부 및 외부의 요소에 연결할 수 있는지 확인Linux 또는 Windows 호스트에서 MID 서버를 다운로드 및 설치MID 서버 구성MID 서버 보안 구성

    연방 정보 처리 표준(Federal Information Processing Standards)은 컴퓨터 시스템에서 사용하기 위해 미국 국립표준기술연구소(National Institute of Standards and Technology)에서 작성한 표준 그룹입니다. 많은 FIPS 간행물이 있지만 이 설명에서는 FIPS 140-2: 암호화 모듈에 대한 보안 요구 사항을 구체적으로 참조합니다. 암호화 알고리즘은 NIST에서 지정한 유효성 검증 프로세스를 통해 진행될 수 있습니다. 새로운 보안 클라우드 환경을 위해 MID 서버는 이러한 프로세스로 검증된 알고리즘을 활용합니다.

    JRE 버전 11.0.9+11 이상이 있는 Rome 릴리스 제품군 이상의 MID 서버만 FIPS 적용 모드에서 실행되도록 설정할 수 있습니다.

    FIPS 적용 모드

    다음 알고리즘은 FIPS 적용 모드의 MID 서버에서 이러한 SSH 기능에 사용할 수 없습니다.

    키 교환:
    디피-hellman-group1-sha1
    맥:
    • HMAC-MD5
    • HMAC-MD5-96 (영문)

    FIPS 적용 모드에서 MID 서버가 사용하는 SNMP에 대해 다음과 같은 제한이 적용됩니다.

    • SNMP v1 및 v2가 완전히 비활성화되었습니다.
    • SNMP v3의 경우 FIPS 적용 모드에서 MID 서버는 다음 프로토콜 사용을 허용하지 않습니다.
      • auth protocol: none 또는 MD5
      • 개인 프로토콜: 없음 또는 DES

    MID Server를 사용하는 기타 기능은 FIPS 적용 모드에서 실행할 때 영향을 받을 수 있습니다. 자세한 내용은 해당 기능의 특정 설명서를 참조하십시오.

    MID 서버 FIPS 적용 모드 사용

    MID Server는 FIPS 유효성이 검사된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. 새로운 MID 서버를 배포하거나 기존 MID 서버를 Rome 제품군 릴리스 이상으로 업그레이드하십시오.
    2. MID Server를 종료합니다.
    3. FIPS 적용 모드에서 실행되도록 MID를 변환하려면 제공된 다음 번들 스크립트를 실행합니다.
      • Windows 호스트의 경우: > <MID 설치 디렉터리>\agent\bin\scripts\set-fips-enforced-mode.bat
      • Linux 호스트의 경우: $ <MID 설치 디렉터리>/agent/bin/scripts/set-fips-enforced-mode.sh
      수정된 파일의 위치와 변환 프로세스 중에 생성된 모든 백업을 포함하여 성공이 콘솔에 기록됩니다. 프로그래밍 방식으로 호출되는 경우 성공은 0 반환 코드로 표시됩니다.
    4. MID 서버를 시작합니다.

    다음에 수행할 작업

    MID가 실행 중인 모드는 다음 두 가지 방법으로 확인할 수 있습니다.

    1. 시작 후 에이전트 로그를 확인하고 다음 로그 줄을 찾습니다. FIPS 적용 모드에서 실행
    2. 인스턴스의 ecc_agent 테이블을 확인하고 FIPS 적용 부울 열의 값을 찾습니다.

    MID Server를 FIPS 적용 모드로 수동 변환

    MID Server는 FIPS 유효성이 검사된 암호화 알고리즘만 사용되는 FIPS 적용 모드에서 실행할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    이 태스크 정보

    외부 JRE를 사용하는 동안 MID Server를 FIPS 적용 모드로 수동 변환하려면 MID Server가 종료된 상태에서 다음 단계를 수행해야 합니다.

    • JRE의 신뢰 저장소를 BCFKS 유형으로 변환하십시오.

    • JRE의 기본 키 저장소 유형을 BCFKS로 설정합니다.

    • MID 서버의 구성 파일에서 FIPS 적용 모드 플래그를 설정합니다.

    프로시저

    1. 다음과 유사한 명령으로 Java Keytool 을 사용하여 JRE의 cacerts 파일 형식을 BCFKS로 변환합니다.
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <대상 키 저장소 경로> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle FIPS jar 경로>
      주:
      Rome 및 이후 MID 설치에는 이 목적에 적합한 BouncyCastle jar가 포함되어 있습니다. .../agent/lib/bc-fips.jar에서 찾을 수 있습니다.
    2. JRE의 기본 키 저장소 유형은 <JRE 설치 디렉토리>\conf\security\java.security 파일에서 설정할 수 있습니다.
    3. 이 파일에서 keystore.type 행을 찾아 값을 keystore.type=bcfks와 같이 설정합니다.
    4. MID 서버의 .../agent/conf/wrapper-override.conf 파일에서 FIPS 라인의 주석 처리를 제거하고 해당 값을 예로 설정합니다.
      줄은 wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true여야 합니다.