WebSphere Application Server 보안 표준 구성

WebSphere® Application Server는 다양한 보안 표준에 대해 작업하도록 구성 가능하며 이는 일반적으로 관리에 필요한 보안 요구사항에 맞도록 사용됩니다.

참고: WebSphere Application Server는 비밀번호 모듈을 통합하며, 비밀번호 모듈은 JSSE(Java™ Secure Socket Extension) 및 JCE(Java Cryptography Extension)를 포함합니다. 표준에서 대부분의 요구사항은 JSSE 및 JCE에서 처리되며, 이는 관리 표준을 만족하기 위해 인증 프로세스를 통과해야 합니다. WebSphere Application Server는 특정 표준으로 사용 가능한 JSSE 및 JCE로 실행하도록 구성되어야 하며 이제 FIPS 140-2, SP800-131, Suite B 보안 표준을 지원합니다.
  • FIPS 140-2는 암호화 모듈의 요구사항을 지정하는 FIPS(Federal Information Processing Standards)입니다. 다수의 사용자를 이 레벨을 사용하도록 구성할 수 있지만, 해당 사용자가 보다 새로운 SP800-131 또는 Suite B 표준으로 이동해야 할 수도 있습니다.

    140-2 표준에 대한 자세한 정보는 The National Institute of Standards and Technology 웹 사이트를 참조하십시오.

    FIPS 140-2를 구성하려면 FIPS(Federal Information Processing Standard) Java 보안 소켓 확장 파일 구성 주제를 참조하십시오.

  • SP800-131은 더 긴 키 길이와 더 강력한 암호화를 요구하는 NIST(National Institute of Standards and Technology)에서 생성한 요구사항입니다. 이 스펙에서는 사용자가 SP800-131의 엄격한 시행으로 이전할 수 있도록 상태 전이 구성도 제공합니다. 상태 전이 구성은 또한 사용자가 FIPS140-2 및 SP800-131 둘 다에서 혼합 설정을 사용하여 실행할 수 있도록 합니다. SP800-131은 두 가지 모드(transitionstrict)로 실행할 수 있습니다.
    WebSphere Application server에서 SP800-131 요구사항의 엄격한 시행에는 다음이 포함됩니다.
    • SSL(Secure Sockets Layer) 컨텍스트에 대해 TLSv1.2 프로토콜을 사용하십시오.
    • 인증서의 최소 길이는 2048이어야 합니다. EC(Elliptical Curve) 인증서에서 최소 크기는 244비트 커브입니다.
    • 인증서는 서명 알고리즘 SHA256, SHA384 또는 SHA512로 서명되어야 합니다. 유효한 signatureAlgorithms는 다음 서명을 포함합니다.
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • SP800-131 승인 암호 스위트

    SP800-131 표준에 대한 자세한 정보는 The National Institute of Standards and Technology 웹 사이트를 참조하십시오.

    WebSphere Application Server를 SP800-131 엄격 표준으로 상태 전이하는 방법에 대해서는 WebSphere Application Server를 SP800-131 보안 표준으로 상태 전이 토픽을 참조하십시오. SP800-131 구성 방법에 대한 정보는 SP800-131 표준의 엄격한 모드에 대한 WebSphere Application Server 구성 주제를 참조하십시오.

  • Suite B는 NSA(National Security Agency)에서 암호 상호 운용성 전략을 지정하기 위해 시작한 요구사항입니다. 이 표준은 더 엄격한 제한사항이 지정된 SP800-131과 유사합니다. Suite B는 두 가지 모드(128비트 또는 192비트)로 실행될 수 있습니다. 제한된 정책 파일은 128비트 모드의 암호화를 제공하며 기본적으로 이 모드가 적용됩니다. 192비트 모드를 사용할 경우, 192비트 모드에 필요한 보다 강력한 암호를 사용할 수 있도록 제한되지 않는 정책 파일을 JDK에 적용해야 합니다.

    다음 테이블은 제한된 정책 파일이 IBMJCE 및 IBMJCECCA 알고리즘에 대해 허용하는 최대 키 크기를 나열합니다. 더 강력한 암호화가 필요한 사용자는 제한되지 않은 정책 파일을 사용해야 합니다.

    표 1. 제한된 정책 파일 값
    알고리즘 최대 키 크기(비트)
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    기타 모든 알고리즘 128

    제한되지 않은 정책 파일을 적용하려면 US_export_policy.jar 및 local_policy.jar 파일을 WAS_HOME/java/J5.0/lib/security 디렉토리에서 WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted 디렉토리로 복사하십시오.

    WebSphere Application Server의 Suite B 요구사항에는 다음이 포함됩니다.
    • SSL 컨텍스트에 대한 TLSv1.2 프로토콜 사용
    • Suite B 승인 암호 스위트
    • 인증서:
      • 128비트 모드 인증서는 SHA256withECDSA로 서명되어야 함
      • 192비트 모드 인증서는 SHA384withECDSA로 서명되어야 함
    • 암호:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    Suite B 구성 방법에 대한 정보는 Suite B 보안 표준에 대해 WebSphere Application Server 구성 주제를 참조하십시오.

보안 표준 사용에 필요한 특성

IBM® virtual machine for Java(JVM)는 시스템 특성을 기반으로 지정된 보안 모드에서 실행됩니다. WebSphere Application Server는 보안 구성 설정에 기반하여 이러한 시스템 특성을 설정합니다. 보안 구성은 관리 콘솔 또는 스크립팅 관리 태스크를 통해 설정할 수 있습니다. 애플리케이션이 이 특성을 직접 설정하면 WebSphere Application Server SSL 통신에 영향을 줄 수 있습니다.

표 2. 보안 표준을 사용하는 JVM 시스템 특성
보안 표준 사용할 시스템 특성 유효한 값
FIPS 140-2 com.ibm.jsse2.usefipsprovider true 또는 false
SP800-131 com.ibm.jsse2.sp800-131 transition 또는 strict
Suite B com.ibm.jsse2.suiteB 128 또는 192

WebSphere Application Server 구성은 설정된 경우 이 특성 모두를 지우고 보안 구성이 지정된 방법으로 설정합니다. WebSphere Application Server에서는 보안 구성에 설정된 사용자 정의 특성에 기반하여 보안 표준을 사용할 수 있습니다.

보안 표준을 사용하는 WebSphere Application Server 보안 사용자 정의 특성

표 3. 보안 표준을 사용하는 WebSphere Application Server 보안 사용자 정의 특성
보안 표준 보안 사용자 정의 특성 JVM 시스템 특성
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131 - transition

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 – strict

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
스위트 B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
스위트 B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

주제 유형을 표시하는 아이콘 개념 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
파일 이름:csec_security_standards.html