NIST SP 800-131A 준수를 위한 Rational DOORS Web Access 구성

국립표준기술연구소(NIST) SP(Special Publication) 800-131A 표준을 준수하여 보안 소켓을 통해 통신하도록 IBM® Rational® DOORS® Web Access를 구성할 수 있습니다. 이 표준은 보안을 강화하기 위해 데 사용하는 알고리즘과 해당 알고리즘에서 필요로 하는 최소 암호화 강도를 지정합니다.

시작하기 전에

FIPS(Federal Information Processing Standard) 140-2를 준수하도록 Rational DOORS Web Access를 구성하십시오.

이 태스크 정보

SP 800-131A를 준수하도록 Rational DOORS Web Access를 구성하기 위해, 최소한의 필수 암호화 강도를 만족시키지 않는 인증서를 사용한 요청을 거절하도록 Apache Tomcat 서버 구성 값을 수정합니다. FIPS 140-2를 준수하는 보안 제공자를 사용하고 SP 800-131A 모드에서 실행되도록 해당 시스템 특성을 구성해야 합니다. 이 구성은 사용자가 적절한 프로토콜 및 암호 스위트를 사용하도록 합니다.

엄격 준수의 경우에는 키 강도 및 서명 알고리즘 또한 확인됩니다. 엄격 준수에서는 TLS 1.2 프로토콜만 허용합니다. 사용자는 인증서, 키 및 보안 난수 생성기(지정된 경우)가 SP 800-131A를 준수하는지 확인해야 합니다.

중요사항: TLS 1.2 프로토콜을 지정하는 경우에는 벤더 문서를 참조하여 브라우저가 이 버전을 지원하는지 판별하십시오.

Rational DOORS Web Access가 엄격 준수 모드의 SP800-131A를 지원하도록 설정된 경우에는 모든 원격 서비스 또한 SP 800-131A 엄격 준수 모드를 지원하도록 구성되어야 합니다. 원격 서비스가 SP 800-131A 엄격 준수 모드의 최소 요구사항을 지원하지 않는 경우에는 해당 서비스에 대한 요청이 실패합니다.

NIST SP 800-131A를 준수하도록 Rational DOORS Web Access를 구성하는 데는 다음 단계가 포함됩니다.
  • Apache Tomcat 시작 스크립트에서 SSL 프로토콜 및 SP 800-131A 모드를 지정하는 시스템 매개변수를 설정합니다. 암호 스위트 매개변수를 설정하여 원격 서비스에 대한 발신 요청을 제한합니다.
  • 특정 프로토콜 및 암호 스위트만 수락하도록 Apache Tomcat 서버 구성을 수정합니다.
  • 암호화 키가 112비트 이상의 키 강도를 만족시키는지 확인합니다.
  • 디지털 서명 강도가 SHA2 및 2048비트 이상인지 확인합니다.

프로시저

  1. 편집기에서 Apache Tomcat 시작 스크립트 파일을 열고 SSL 프로토콜, SP 800-131A 준수 레벨 및 암호 스위트에 대해 매개변수를 추가하십시오. FIPS 140-2에 대해 추가한 com.ibm.jsse2.usefipsprovider 항목에 다음 매개변수를 지정하는 JAVA_OPTS 항목을 추가하십시오.
    매개변수
    https.protocols TLSv1.2로 설정하십시오. 이 프로토콜은 원격 서버에서 사용으로 설정된 프로토콜과 호환 가능해야 합니다.
    com.ibm.jsse2.sp800-131 strict로 설정하십시오.
    https.cipherSuites 지원되는 암호 스위트를 입력하십시오. 이 매개변수는 원격 서비스에 대한 발신 요청에 사용되는 암호를 제한합니다. 이러한 암호 스위트는 원격 서버에 설정된 암호 스위트와 호환 가능해야 합니다.
    • Windows 시스템에서 server.start.bat 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다(예: C:\Program Files\IBM\Rational\DOORS Web Access\version). 이 예제에는 SSL 프로토콜 및 준수 레벨 매개변수의 필수 값과 지원되는 암호 스위트의 예제가 포함되어 있습니다.
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Linux 시스템에서 server.start.sh 스크립트 파일은 Rational DOORS Web Access 설치 디렉토리에 있습니다. 이 예제에는 SSL 프로토콜 및 준수 레벨 매개변수의 필수 값과 지원되는 암호 스위트의 예제가 포함되어 있습니다.
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    엄격 준수의 경우에는 키 강도 및 서명 알고리즘 또한 확인됩니다. 엄격 준수에서는 TLS 1.2 프로토콜만 허용합니다. 사용자는 인증서, 키 및 보안 난수 생성기(지정된 경우)가 모두 SP 800-131A를 준수하는지 확인해야 합니다.

  2. 파일을 저장하고 닫으십시오.
  3. 편집기에서 Apache Tomcat server.xml 파일을 여십시오. 이 파일은 Rational DOORS Web Access 설치 디렉토리의 server/conf 디렉토리에 있습니다(예: C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf).
  4. HTTPS 커넥터 섹션에서 sslProtocolsslEnabledProtocols 값을 com.ibm.jsse2.sp800-131 시스템 특성 값으로 결정된 값의 최저 TLS 버전으로 설정하십시오. 예를 들면 다음과 같습니다.
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    HTTPS 커넥터 섹션에 대한 자세한 정보는 SSL 또는 TLS를 사용하도록 Rational DOORS Web Access 구성을 참조하십시오.
  5. 암호 스위트를 설정하여 서버가 수락하는 항목을 추가로 제한하십시오. 이 항목의 값은 1단계에 설명되어 있는 바와 같이 서버 시작 스크립트에 있는 https.cipherSuites 매개변수에 사용된 값과 일치해야 합니다. 예를 들면 다음과 같습니다.
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    SSL(Secure Sockets Layer)이 SP 800-131A를 위해 승인된 암호 스위트만 사용하도록 구성되었는지 확인하십시오. 암호 스위트 목록은 관련 정보의 "IBM JSSE2 암호 스위트"를 참조하십시오.

다음에 수행할 작업

최저 TLS 버전을 지원하도록 클라이언트 브라우저를 업데이트하십시오. 최저 TLS 버전은 server.xml 파일에 있는 sslProtocol 특성에 지정된 값으로 결정됩니다.

이 프로시저에 정의되어 있는 바와 같이, 클라이언트 및 서버 인증서(루트 및 중간 인증서 포함)가 112비트 이상이며 적절히 서명되었는지 확인하십시오. 키 저장소의 키와 신뢰 저장소의 신뢰할 수 있는 인증서를 확인하십시오.

Rational DOORS 데이터베이스 서버 및 클라이언트의 NIST SP 800-131A 준수 구성을 참조하십시오.


비디오 아이콘 비디오 보기

CLM 재생 목록
Jazz.net 채널
User Education 채널

학습 아이콘 추가 학습

CLM 학습 서클
Agile 학습 서클
학습 서클

질문 아이콘 질문하기

Jazz.net 포럼
developerWorks 포럼

지원 아이콘 지원 받기

지원 센터 포털
배치 위키
지원 센터 블로그