Tổng quan về Hướng dẫn thông tin kỹ thuật an ninh liên bang Hoa Kỳ (STIG) 

Tuân thủ các yêu cầu của Hướng dẫn thông tin kỹ thuật an ninh liên bang Hoa Kỳ (tuân thủ STIG) là một tính năng quan trọng đối với nhiều khách hàng của chúng tôi trong không gian liên bang. Tuân thủ STIG cũng là điều kiện tiên quyết để được chứng nhận Danh sách sản phẩm được chấp thuận (APL). Điều sau cũng là yêu cầu đối với một số địa điểm của Bộ Quốc phòng (DoD).     

PowerStoreOS 3.5 hỗ trợ STIG như thế nào

Bản phát hành PowerStoreOS 3.5 mới hiện hỗ trợ chế độ STIG. Chế độ này áp dụng các thay đổi cấu hình cho lõi của sản phẩm để hệ thống đáp ứng các yêu cầu STIG liên quan đến hệ điều hành, máy chủ web nhúng, cơ sở dữ liệu nội bộ và nhiều chức năng mạng khác nhau.  

Bật chế độ STIG

Khi người dùng muốn bật chế độ STIG, họ cần chạy lệnh REST API trên cụm PowerStore hoặc sử dụng giao diện dòng lệnh PowerStore (PowerStore CLI). Sau đây là ví dụ về lệnh REST API trong đó <IP> là IP của cụm PowerStore.  

curl -kv https://<IP>:443/api/rest/security_config/1?is_async=true --user admin:Mật khẩu -X PATCH --data '{"is_stig_enabled":true}' -H "Content-Type:application/json“

Bạn cũng có thể bật chế độ STIG bằng cách đưa ra lệnh sau trong PowerStore CLI:

pstcli -user admin -password Mật ​​khẩu -destination <IP> security_config -id 1 set -is_stig_enabled true -async

Khi quá trình kích hoạt STIG được khởi động, mất khoảng 45 phút để kích hoạt chế độ STIG cho một hệ thống thiết bị đơn lẻ. Các cụm lớn hơn sẽ mất nhiều thời gian hơn một chút. Bạn có thể xác nhận quá trình đang chạy hay đã hoàn tất bằng cách xem trạng thái công việc trong Giám sát > Công việc trong PowerStore Manager (Hình 1). Trong ví dụ này, hãy lưu ý rằng trạng thái công việc ‘Sửa đổi cấu hình bảo mật’ là Đã hoàn tất .

Hình 1. Trạng thái công việc kích hoạt STIG 

Việc bật STIG tương đương với việc nâng cấp PowerStoreOS, trong đó quy trình được phối hợp trên toàn cụm, các nút và thiết bị của cụm. Quy trình này yêu cầu khởi động lại trên toàn bộ các nút do các thay đổi của hạt nhân và do các thiết lập Tiêu chuẩn xử lý thông tin liên bang (FIPS) bổ sung được bật. Trong trường hợp này, FIPS hạn chế các đường dẫn truyền thông và mã hóa được sử dụng trong các đường dẫn đó để tuân thủ FIPS 140-2. Theo mặc định, các ổ đĩa trong PowerStore đã tận dụng mã hóa FIPS để lưu trữ dữ liệu. Chế độ STIG chỉ bật phần đường dẫn truyền thông FIPS của việc tuân thủ FIPS, ở cấp hạt nhân. Điều này bao gồm các mục như dữ liệu đang truyền và các đối tác sao chép. 

Không hỗ trợ việc vô hiệu hóa chế độ STIG sau khi chế độ này được bật. Điều này là do người dùng bật chế độ STIG đang bảo vệ dữ liệu tuyệt mật và chúng tôi không muốn cho phép bất kỳ ai vô hiệu hóa chế độ này. Cách duy nhất để xóa hoặc vô hiệu hóa chế độ STIG khỏi PowerStore là thực hiện khôi phục cài đặt gốc, thao tác này sẽ xóa tất cả dữ liệu. Khi chế độ STIG được bật, PowerStore Manager sẽ hiển thị biểu ngữ đăng nhập mới, như thể hiện trong Hình 2.   

Hình 2. Biểu ngữ đăng nhập STIG mới

Người dùng cần cuộn qua biểu ngữ này và nhấp vào Tôi đồng ý để có thể nhập thông tin đăng nhập của họ. Sau đó, họ được nhắc tạo mật khẩu mới đáp ứng các yêu cầu của STIG và tăng cường trạng thái bảo mật của hệ thống. Các yêu cầu này được nêu trong phần màu xanh lam của Hình 3.

Hình 3. Cập nhật mật khẩu để đáp ứng yêu cầu của STIG

Bây giờ, sau khi đăng nhập lần đầu tiên, bạn có thể nhận thấy một số thay đổi từ việc bật chế độ STIG trong PowerStore Manager. Nếu chúng ta xem Login Message trong Settings , người dùng không thể tắt hoặc thay đổi thông báo biểu ngữ đăng nhập. Trong Hình 4 , hãy lưu ý rằng Enabled bị mờ đi và thông báo đăng nhập chỉ đọc. (Nếu hệ thống này không ở chế độ STIG, người dùng sẽ có thể đặt thông báo biểu ngữ đăng nhập của riêng họ và bật hoặc tắt tùy theo ý muốn.)

Hình 4. Không thể thay đổi hoặc vô hiệu hóa thông báo đăng nhập

Trong PowerStore Manager, trong mục Settings > Security > Session Timeout , chỉ những người dùng có vai trò Administrator hoặc Security Administrator mới có thể thay đổi giá trị thời gian chờ phiên. Các tùy chọn là 5, 10 và 20 phút. Mười phút là mặc định cho chế độ STIG (Hình 5). 

Hình 5. Thời gian chờ phiên chế độ STIG mặc định

Chế độ STIG cũng vô hiệu hóa khả năng người dùng thêm thiết bị PowerStore vào cụm được STIG hỗ trợ. Người dùng muốn sử dụng nhiều thiết bị phải kết nối chúng lại với nhau trước khi bật chế độ STIG. Điều này giúp đảm bảo trạng thái bảo mật cao. Trên trang Phần cứng , hãy lưu ý rằng nút ADD bị mờ đi và khi di chuột qua nút này sẽ hiển thị thông báo chú giải công cụ (Hình 6).

Hình 6. Thêm thiết bị đã bị vô hiệu hóa

Sau khi chế độ STIG được bật, Môi trường phát hiện xâm nhập nâng cao (AIDE) cũng được bật trên PowerStore. AIDE chạy quét một lần một ngày để tìm kiếm sự can thiệp của tệp vào các tệp hệ thống. Đây là một phương pháp khác mà STIG sử dụng để bảo vệ PowerStore. Vì các tệp hệ thống PowerStore chỉ nên được thay đổi trong quá trình nâng cấp, nên AIDE dễ dàng phát hiện ra sự can thiệp. Nếu phát hiện ra sự can thiệp, cảnh báo PowerStore sẽ xuất hiện và nhật ký kiểm tra sẽ được cập nhật.    

Phần kết luận 

Blog này cung cấp cho bạn cái nhìn nhanh về cách dễ dàng để bật chế độ STIG trên PowerStore để tăng cường khả năng bảo mật của hệ thống và đáp ứng các yêu cầu tuân thủ của Liên bang. Chúng tôi đã xem xét một số thay đổi cơ bản mà chế độ STIG thực hiện trên bề mặt. Nhiều mục bảo mật khác được thay đổi bên dưới PowerStore để đảm bảo an toàn cho môi trường Liên bang. Người dùng Liên bang sẽ được hưởng lợi từ các tính năng bảo mật này và vẫn có thể tận dụng giao diện trực quan của PowerStore.