IBM Cloud Internet Service(CIS): TLS 암호화 제품군 제한

5456 단어 닌비아예ribmcloud

1. 소개



htps //w w.ぁbs. 이 m / sl st / 등을 이용하면, 암호화 스위트(Cipher Suite)의 취약성 등을 체크할 수 있다. CIS에서는 커맨드 라인에서 Cipher 스위트의 allowlist를 변경할 수 있으므로이 기사에서 시도했다.

2. 기본 테스트 결과



우선, CIS로 보호하고 있는 사이트에 대해서, https://www.ssllabs.com/ssltest/ 를 사용해 테스트해 보았다.



(TLS1.0이나 1.1은 논외로서) 상기의 결과로부터 알 수 있듯이, TLS1.2 이상을 사용하도록 구성하고 있어도, WEAK 취급되고 있는 암호화 스위트는 존재해, 후방 호환성 때문에 사용 가능한 상태입니다. 한편,
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256

  • 근처를 사용할 수 있게 되어 있으면 최근의 환경이라면 문제 없을 것 같다는 것을 알 수 있다(상기 리포트를 대략적으로 밖에 확인하고 있지 않으므로, 프로덕션 이용시에는 보다 세세하게 체크해 주세요).

    3. CIS 설정



    IBM Cloud docs는 다음을 참조
    h tps : // c ぉ d. 이 bm. 이 m/도 cs/해 s? 토피 c = 시 s-c ぃ- p ぅ 긴-시 s-c ぃ & ぉ 카 ぇ = 엔 # up da-domain-setschin gs
    h tps : // c ぉ d. 이 bm. 이 m/도 cs/해 s? 토피 c = shi s-shi stls - p chion s & ぉ?

    인스턴스 찾기
    # ibmcloud cis instances
    Retrieving service instances for service 'internet-svcs' ...
    OK
    Name                    ID                                                                                                                     Location   State    Service Name
    CIS-Enterprise-Usage1   crn:v1:bluemix:public:internet-svcs:global:a/039dbe6794084c7cb514a276dd2345da:cf4d8b04-b49e-4bf0-a99d-9303bba2cd90::   global     active   internet-svcs
    

    명령별로 ID를 지정하지 않아도되도록 기본 인스턴스를 설정하십시오.
    # ibmcloud cis instance-set CIS-Enterprise-Usage1
    Setting context service instance to 'CIS-Enterprise-Usage1' ...
    OK
    Context service instance set succeeded.
    

    도메인 찾기
    # ibmcloud cis domains
    Listing domains for service instance 'CIS-Enterprise-Usage1' ...
    OK
    ID                                 Name                 Status   Paused
    a4135402d38fff24e32ef13c82c1ab4a   cisibm.tk           active   false
    

    암호화 제품군 설정 확인
    # ibmcloud cis domain-settings a4135402d38fff24e32ef13c82c1ab4a -f "ciphers"
    Getting 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a'...
    OK
    
    ID            ciphers
    Editable      true
    Modified On   N/A
    Value
    

    CIS 암호화 스위트에서 allowlist로 구성 가능한 값 는 다음과 같기 때문에,
    ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-ECDSA-CHACHA20-POLY1305, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-CHACHA20-POLY1305, ECDHE-ECDSA-AES128-SHA256, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA256, ECDHE-RSA-AES128-SHA, AES128-GCM-SHA256, AES128-SHA256, AES128-SHA, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-RSA-AES256-SHA, AES256-GCM-SHA384, AES256-SHA256, AES256-SHA, DES-CBC3-SHA, default 그래서,

    다음 4개를 설정한다.
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-CHACHA20-POLY1305
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-CHACHA20-POLY1305

  • 암호화 제품군 설정 변경
    # ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-CHACHA20-POLY1305
    Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-ECDSA-CHACHA20-POLY1305,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-CHACHA20-POLY1305'...
    OK
    
    ID            ciphers
    Editable      true
    Modified On   N/A
    Value
                     ECDHE-ECDSA-AES128-GCM-SHA256
    
                     ECDHE-ECDSA-CHACHA20-POLY1305
    
                     ECDHE-RSA-AES128-GCM-SHA256
    
                     ECDHE-RSA-CHACHA20-POLY1305
    
    

    4. 재시험



    CIS 및 https://www.ssllabs.com/ssltest/ 캐시를 지우고 다시 테스트합니다. 결과, 이용 가능한 암호화 스위트가 크게 줄었다!




    5. 설정 취소(선택 사항)


    # ibmcloud cis domain-settings-update a4135402d38fff24e32ef13c82c1ab4a -f "ciphers" -v default
    Updating 'ciphers' for domain 'a4135402d38fff24e32ef13c82c1ab4a' to 'default'...
    OK
    
    ID            ciphers
    Editable      true
    Modified On   N/A
    Value
    

    좋은 웹페이지 즐겨찾기