Configurações do Padrão de Segurança do WebSphere Application Server

O WebSphere Application Server pode ser configurado para trabalhar com várias normas de segurança, que geralmente são usadas para atender aos requisitos de segurança exigidos pelo governo.

Nota: O WebSphere Application Server integra módulos criptográficos que incluem o Java™ Secure Socket Extension (JSSE) e o Java Cryptography Extension (JCE). A maioria dos requisitos nas normas são manipulados no JSSE e no JCE, que devem passar pelo processo de certificação para atender às normas do governo. O WebSphere Application Server deve ser configurado para ser executado com o JSSE e o JCE ativados para uma norma específica e agora suporta as normas de segurança do FIPS 140-2, SP800-131 e Conjunto B.
  • FIPS 140-2 são os Federal Information Processing Standards (FIPS) que especificam os requisitos nos módulos criptográficos. Muitos usuários podem ser configurados para usar esse nível, mas pode ser necessário mover para o padrão SP800-131 ou Conjunto B mais recente.

    Consulte o website The National Institute of Standards and Technology para obter informações adicionais sobre a norma 140-2.

    Para configurar o FIPS 140-2, consulte o tópico Configurando os Arquivos Java Secure Socket Extension de Acordo com o Federal Information Processing Standard.

  • SP800-131 é um requisito originado pelo National Institute of Standards and Technology (NIST) que requer maiores comprimentos de chave e criptografia mais forte. A especificação também fornece uma configuração de transição para permitir que os usuários movam para um cumprimento estrito do SP800-131. A configuração de transição também permite que os usuários executem com uma combinação de configurações a partir do FIPS140-2 e do SP800-131. O SP800-131 pode ser executado de dois modos, transition e strict.
    O cumprimento estrito dos requisitos do SP800-131 no WebSphere Application Server inclui o seguinte:
    • O uso do protocolo TLSv1.2 para o contexto do Secure Sockets Layer (SSL).
    • Os certificados devem ter o comprimento mínimo de 2048. O certificado Elliptical Curve (EC) requer um tamanho mínimo de curvas de 244 bits.
    • Os certificados devem ser assinados com o algoritmo de assinatura de SHA256, SHA384 ou SHA512. Os signatureAlgorithms válidos incluem as seguintes assinaturas:
      • SHA256withRSA
      • SHA384withRSA
      • SHA512withRSA
      • SHA256withECDSA
      • SHA384withECDSA
      • SHA512withECDSA
    • Conjuntos de cifras aprovados pelo SP800-131

    Consulte o website The National Institute of Standards and Technology para obter detalhes adicionais sobre a norma SP800-131.

    Consulte o tópico Executar a Transição do WebSphere Application Server para o Padrão de Segurança SP800-131 para obter mais informações de como executar a transição do WebSphere Application Server para o padrão estrito do SP800-131. Consulte o tópico Configurando o WebSphere Application Server para o Modo Estrito do Padrão do SP800-131 para obter mais informações sobre como configurar o SP800-131.

  • Suite B é um requisito originado pela NSA (National Security Agency) para especificar uma estratégia de interoperabilidade criptográfica. Esse padrão é semelhante ao SP800-131, mas com algumas restrições mais rígidas. O B Suite pode ser executado em dois modos: 128 bits ou 192 bits. O arquivo de política restrito fornece criptografia para o modo de 128 bits e é aplicado por padrão. Se usar o modo de 192 bits, você deverá aplicar o arquivo de políticas irrestritas para o JDK, para que a cifra mais forte necessária para o modo de 192 bits possa ser usada.

    A tabela a seguir lista os tamanhos de chave máximos que o arquivo de política restrito permite para algoritmos IBMJCE e IBMJCECCA. Usuários que requerem criptografia mais forte devem usar o arquivo de política sem restrição.

    Tabela 1. Valores do Arquivo de Políticas Restritas
    Algoritmo Tamanho máximo da chave em bits
    DES 64
    DESede 96
    RC2 128
    RC4 128
    RC5 128
    RSA 2048
    Todos os outros algoritmos 128

    Para aplicar os arquivos de políticas sem restrição, copie os arquivos US_export_policy.jar e local_policy.jar do diretório WAS_HOME/java/J5.0/lib/security para o diretório WAS_HOME/java/J5.0/demo/jce/policy-files/unrestricted.

    Os requisitos do B Suite no WebSphere Application Server incluem:
    • O uso do protocolo TLSv1.2 para o Contexto SSL.
    • Conjunto de cifras aprovadas do Suite B
    • Certificados:
      • Os certificados do modo de 128 bits devem ser assinados com SHA256withECDSA
      • Os certificados do modo de 192 bits devem ser assinados com SHA384withECDSA
    • Cifras:
      • SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384.

    Consulte o tópico Configurando o WebSphere Application Server para o padrão Suite B para obter informações sobre como configurar o Suite B.

Propriedades Usadas para Ativar as Normas de Segurança

A IBM® virtual machine for Java (JVM) é executada em um modo de segurança fornecido baseado nas propriedades do sistema. O WebSphere Application Server configura essas propriedades de sistemas com base nas definições de configuração de segurança. A configuração de segurança pode ser configurada através do console administrativo ou através de tarefas administrativas de script. Se um aplicativo configurar essas propriedades diretamente, ele poderá afetar a comunicação do SSL do WebSphere Application Server.

Tabela 2. Propriedades de Sistemas da JVM para Ativar a Norma de Segurança
Padrão de segurança Propriedade de sistema a ser ativada Valores Válidos
FIPS 140-2 com.ibm.jsse2.usefipsprovider true ou false
SP800-131 com.ibm.jsse2.sp800-131 transition ou strict
Suite B com.ibm.jsse2.suiteB 128 ou 192

A configuração do WebSphere Application Server eliminará todas essas propriedades, se elas forem configuradas e, em seguida, configuradas como a configuração de segurança que será especificada. O WebSphere Application Server ativa o padrão de segurança com base nas propriedades customizadas definidas na configuração de segurança.

Propriedades Customizadas de Segurança do WebSphere Application Server para Ativar a Norma de Segurança

Tabela 3. Propriedades Customizadas de Segurança do WebSphere Application Server para Ativar a Norma de Segurança
Padrão de segurança Propriedades Customizadas de Segurança Propriedade de sistema JVM
FIPS 140-2

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=FIPS140-2

com.ibm.jsse2.usefipsprovider=true
SP800-131 - transição

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=transition

com.ibm.jsse2.sp800-131=transition
SP800-131 - estrito

com.ibm.security.useFips=true
com.ibm.websphere.security.FIPSLevel=SP800-131

com.ibm.jsse2.sp800-131=strict
Conjunto B 128

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=128

com.ibm.jsse2.suiteB=128
Conjunto B 192

com.ibm.security.useFips=true
com.ibm.websphere.security.suiteB=192

com.ibm.jsse2.suiteB=192

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_security_standards
Nome do arquivo: csec_security_standards.html