DWA에서 NIST SP 800-131A에 대한 준수 구성

국립표준기술연구소(NIST) SP(Special Publications) 800-131A 표준을 준수하여 보안 소켓을 통해 통신하도록 IBM® Engineering Requirements Management DOORS® - Web Access(DWA)를 구성할 수 있습니다. 이 표준은 보안을 강화하기 위해 데 사용하는 알고리즘과 해당 알고리즘에서 필요로 하는 최소 암호화 강도를 지정합니다.

시작하기 전에

FIPS(Federal Information Processing Standard) 140-2를 준수하도록 DWA를 구성합니다.

이 태스크 정보

SP 800-131A를 준수하도록 DWA를 구성하려면 최소한의 필수 암호화 강도를 만족시키지 않는 인증서를 사용한 요청을 거부하도록 Apache Tomcat 서버 구성 값을 수정합니다. FIPS 140-2를 준수하는 보안 제공자를 사용하고 SP 800-131A 모드에서 실행되도록 해당 시스템 특성을 구성해야 합니다. 이 구성은 사용자가 적절한 프로토콜 및 암호 스위트를 사용하도록 합니다.

엄격 준수의 경우에는 키 강도 및 서명 알고리즘 또한 확인됩니다. 엄격 준수에서는 TLS 1.2 프로토콜만 허용합니다. 사용자는 인증서, 키 및 보안 난수 생성기(지정된 경우)가 SP 800-131A를 준수하는지 확인해야 합니다.

중요사항: TLS 1.2 프로토콜을 지정하는 경우에는 벤더 문서를 참조하여 브라우저가 이 버전을 지원하는지 판별하십시오.

DWA가 엄격 준수 모드의 SP800-131A를 지원하도록 설정된 경우에는 모든 원격 서비스 또한 SP 800-131A 엄격 준수 모드를 지원하도록 구성되어야 합니다. 원격 서비스가 SP 800-131A 엄격 준수 모드의 최소 요구사항을 지원하지 않는 경우에는 해당 서비스에 대한 요청이 실패합니다.

NIST SP 800-131A를 준수하도록 DWA를 구성하는 데에는 다음 단계가 포함됩니다.
  • Apache Tomcat 시작 스크립트에서 SSL 프로토콜 및 SP 800-131A 모드를 지정하는 시스템 매개변수를 설정합니다. 암호 스위트 매개변수를 설정하여 원격 서비스에 대한 발신 요청을 제한합니다.
  • 특정 프로토콜 및 암호 스위트만 수락하도록 Apache Tomcat 서버 구성을 수정합니다.
  • 암호화 키가 112비트 이상의 키 강도를 만족시키는지 확인합니다.
  • 디지털 서명 강도가 SHA2 및 2048비트 이상인지 확인합니다.

프로시저

  1. 편집기에서 Apache Tomcat 시작 스크립트 파일을 열고 SSL 프로토콜, SP 800-131A 준수 레벨 및 암호 스위트에 대해 매개변수를 추가하십시오. FIPS 140-2에 대해 추가한 com.ibm.jsse2.usefipsprovider 항목에 다음 매개변수를 지정하는 JAVA_OPTS 항목을 추가하십시오.
    매개변수
    https.protocols TLSv1.2로 설정하십시오. 이 프로토콜은 원격 서버에서 사용으로 설정된 프로토콜과 호환 가능해야 합니다.
    com.ibm.jsse2.sp800-131 strict로 설정하십시오.
    https.cipherSuites 지원되는 암호 스위트를 입력하십시오. 이 매개변수는 원격 서비스에 대한 발신 요청에 사용되는 암호를 제한합니다. 이러한 암호 스위트는 원격 서버에 설정된 암호 스위트와 호환 가능해야 합니다.
    • Windows 시스템에서 server.start.bat 스크립트 파일은 DWA 설치 디렉토리(예: C:\Program Files\IBM\Rational\DOORS Web Access\version)에 있습니다. 이 예제에는 SSL 프로토콜 및 준수 레벨 매개변수의 필수 값과 지원되는 암호 스위트의 예제가 포함되어 있습니다.
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.protocols=TLSv1.2
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.usefipsprovider=true 
      set JAVA_OPTS=%JAVA_OPTS% -Dcom.ibm.jsse2.sp800-131=strict
      set JAVA_OPTS=%JAVA_OPTS% -Dhttps.cipherSuites="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, 
      SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      cd %CATALINA_HOME%\bin
      call ".\startup.bat"
    • Linux 시스템에서 server.start.sh 스크립트 파일은 DWA 설치 디렉토리에 있습니다. 이 예제에는 SSL 프로토콜 및 준수 레벨 매개변수의 필수 값과 지원되는 암호 스위트의 예제가 포함되어 있습니다.
      JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.usefipsprovider=true" 
      JAVA_OPTS="$JAVA_OPTS -Dcom.ibm.jsse2.sp800-131=strict"
      JAVA_OPTS="$JAVA_OPTS -Dhttps.cipherSuites=SSL_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_RSA_WITH_AES_128_CBC_SHA,SSL_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
      
      export JAVA_OPTS

    엄격 준수의 경우에는 키 강도 및 서명 알고리즘 또한 확인됩니다. 엄격 준수에서는 TLS 1.2 프로토콜만 허용합니다. 사용자는 인증서, 키 및 보안 난수 생성기(지정된 경우)가 모두 SP 800-131A를 준수하는지 확인해야 합니다.

  2. 파일을 저장하고 닫으십시오.
  3. 편집기에서 Apache Tomcat server.xml 파일을 여십시오. 해당 파일은 server/conf 디렉토리의 DWA 설치에 있습니다. 예를 들면, 다음과 같습니다. C:\Program Files\IBM\Rational\DOORS Web Access\version\server\conf
  4. HTTPS 커넥터 섹션에서 sslProtocolsslEnabledProtocols 값을 com.ibm.jsse2.sp800-131 시스템 특성 값으로 결정된 값의 최저 TLS 버전으로 설정하십시오. 예를 들면 다음과 같습니다.
    sslProtocol="TLSv1.2"
    sslEnabledProtocols="TLSv1.2"
      
    HTTPS 커넥터 섹션에 대한 자세한 정보는 SSL 또는 TLS를 사용하도록 DWA 구성을 참조하십시오.
  5. 암호 스위트를 설정하여 서버가 수락하는 항목을 추가로 제한하십시오. 이 항목의 값은 1단계에 설명되어 있는 바와 같이 서버 시작 스크립트에 있는 https.cipherSuites 매개변수에 사용된 값과 일치해야 합니다. 예를 들면 다음과 같습니다.
    ciphers="SSL_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_RSA_WITH_AES_128_CBC_SHA, SSL_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
        SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA"
    SSL(Secure Sockets Layer)이 SP 800-131A를 위해 승인된 암호 스위트만 사용하도록 구성되었는지 확인하십시오. 암호 스위트 목록은 관련 정보의 "IBM JSSE2 암호 스위트"를 참조하십시오.

다음에 수행할 작업

최저 TLS 버전을 지원하도록 클라이언트 브라우저를 업데이트하십시오. 최저 TLS 버전은 server.xml 파일에 있는 sslProtocol 특성에 지정된 값으로 결정됩니다.

이 프로시저에 정의되어 있는 바와 같이, 클라이언트 및 서버 인증서(루트 및 중간 인증서 포함)가 112비트 이상이며 적절히 서명되었는지 확인하십시오. 키 저장소의 키와 신뢰 저장소의 신뢰할 수 있는 인증서를 확인하십시오.

DOORS 데이터베이스 서버 및 클라이언트에서 NIST SP 800-131A에 대한 준수 구성을 참조하십시오.


비디오 아이콘 비디오

Jazz.net 채널
소프트웨어 교육 채널

학습 아이콘 교육 과정

IoT 아카데미
스킬 게이트웨이

질문 아이콘 커뮤니티

Jazz.net
Jazz.net 포럼
Jazz.net 라이브러리

지원 아이콘 지원

IBM 지원 센터 커뮤니티
배치 위키