Dell Command Configure를 사용한 Dell Command Secure BIOS Configuration 지원

영향을 받는 제품:

• Dell Command | Secure BIOS Configuration
• Dell Command | Configure

목차:

• 소개:
• DCC의 Dell Command | Secure BIOS Configuration 아키텍처
• Dell Command | Configure 구현
  • DCC를 사용한 Dell Command Secure BIOS Configuration 서버 설치 및 설정
  • HTTPS를 사용한 Dell Command Secure BIOS Configuration 서버 구성
  • DCC UI를 사용하여 DCSBC 서버에서 DCSBC 워크플로용 자체 포함 실행 파일 생성
• Dell Command Secure BIOS Configuration 워크플로에 HSM 서명 방법을 활용하기 위한 사전 요구 사항
• FAQ

소개:

관리 용이성 인터페이스는 개방형 인터페이스 또는 비밀번호로 인증된 명령에 의존합니다. 비밀번호 인증은 무차별 비밀번호 대입 또는 사전 대입 공격에 취약하므로 키 기반 인증에 비해 보안이 떨어집니다. 데이터 및 명령의 무결성과 기밀성을 보호하려면 더 잘 인증된 관리 용이성 인터페이스가 필요합니다. 또한 보다 안전한 인터페이스를 사용하면 비밀번호 관리, 플랫폼 구성 미러링, Factory Tools와 같은 다른 기술을 보호된 인터페이스에 구축할 수 있습니다. DCSBC는 BIOS 비밀번호로 DACI 명령을 인증하는 것을 방지하는 접근 방식입니다. DCSBC는 PKI 인증 메커니즘과 암호화된 채널을 사용하여 플랫폼과 클라이언트 간에 메시지를 전달하는 신뢰할 수 있는 통신을 제공합니다. 또한 이 접근 방식은 무결성과 기밀성을 모두 제공하여 고객 데이터를 보호합니다.

맨 위로 이동

DCC의 Dell Command | Secure BIOS Configuration 아키텍처

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

이 솔루션은 PKI 인증 메커니즘과 암호화된 채널을 사용하여 플랫폼과 클라이언트 간에 메시지를 전달하는 인터페이스를 만드는 것입니다.

세션 기반 명령에서는 Diffie-Hellman 형식의 키 교환을 참조합니다.

재생 보호는 부분적으로 DCSBC 메시지에 첨부된 일회용 난수(nonce) 시퀀스를 사용하여 수행됩니다.

nonce를 사용하면 메시지 수신자는 메시지가 고유하여 재사용되지 않고 작업 순서가 유지되는지 확인할 수 있습니다. 특히 세션 기반 명령의 경우 더욱 그렇습니다. 각 트랜잭션은 클라이언트가 새로운 nonce를 생성하고 nonce 값을 수신자와 분명하게 공유하고, 메시지 내의 nonce 값을 서명 또는 메시지 인증 코드의 일부로 해싱하는 것을 포함합니다.

그 일환으로 DCC를 사용한 DCSBC는 서버-클라이언트 모델을 따르며, DCSBC 서버를 사용하여 다양한 워크플로에 대한 자체 포함 실행 파일을 생성할 수 있습니다. 이러한 SCE(Self-Contained Executable)는 SCCM/Microsoft Intune과 같은 구성 툴을 사용하여 IT 관리 엔드포인트에 배포할 수 있습니다.

사용자가 클라이언트/엔드포인트에 DCC를 설치할 필요는 없습니다. SCE가 엔드포인트에서 실행되면 DCSBC 서버에 BIOS 구성에 대한 페이로드를 가져오도록 요청하고, 엔드포인트 BIOS에서 이러한 작업을 수행합니다.

이 흐름을 사용하면 제로 트러스트(클라이언트/엔드포인트) 정책이 달성되고 BIOS와 DCSBC 서버 사이에만 트러스트가 존재합니다.

맨 위로 이동

Dell Command | Configure 구현

DCC에서 프로비저닝 워크플로 및 BIOS 구성 워크플로에 대해 DCSBC용 SCE가 생성됩니다. 워크플로 작업은 프로비저닝 작업 및 BIOS 구성 작업에 따라 분류됩니다.

• 프로비저닝 워크플로 - 사용자가 클라이언트와의 보안 연결을 인증하는 프로비저닝 인증서를 생성하여 프로비저닝을 수행할 수 있도록 합니다. 프로비저닝 키를 추가, 삭제, 제거하고 워크플로의 일부인 SCE 패키지에 서명합니다.
• BIOS 구성 워크플로 - 이 워크플로를 통해 사용자는 프로비저닝을 사용하여 클라이언트에서 BIOS 설정을 구성하는 명령 인증서를 생성할 수 있습니다. BIOS 구성을 선택하고 워크플로의 일부인 BIOS 구성 SCE 패키지에 서명합니다.

위의 워크플로를 달성하기 위해 DCC에는 두 가지 유형의 키 제어 기능이 정의되어 있습니다.

• 프로비저닝 키 - 이 키/인증서를 사용하여 새로운 키 추가(프로비저닝)/기존 키 삭제/프로비저닝된 모든 키 제거에 대한 프로비저닝 워크플로의 페이로드를 서명할 수 있습니다.
• 명령 키 - 이 키/인증서는 BIOS 구성 변경 워크플로에 대한 페이로드를 서명하는 데 사용할 수 있습니다.

맨 위로 이동

DCC를 사용한 Dell Command Secure BIOS Configuration 서버 설치 및 설정

DCC를 사용하여 DCSBC를 설치 및 설정하는 방법에 대한 자세한 내용은 DCC 5.0 설치 가이드 > Dell Command Secure BIOS Configuration용 Dell Command | Configure 5.0 설치(https://www.dell.com/support/home/product-support/product/command-configure/docs)를 참조하십시오.

맨 위로 이동

HTTPS를 사용한 Dell Command Secure BIOS Configuration 서버 구성

HTTPS를 사용한 Dell Command Secure BIOS Configuration 서버 구성 자세한 내용은 다음 링크에서 DCC 5.0 설치 가이드 > HTTPS를 사용한 Dell Command Secure BIOS Configuration 서버 구성을 참조하십시오. (https://www.dell.com/support/home/product-support/product/command-configure/docs)

맨 위로 이동

DCC UI를 사용하여 DCSBC 서버에서 DCSBC 워크플로용 자체 포함 실행 파일 생성

DCSBC 구성 인증서에 대한 프로비저닝을 수행하기 위해 SCE를 생성하는 방법에 대한 자세한 내용은 다음 링크에서 DCC 사용자 가이드 > Dell Command Secure BIOS Configuration 인증서에 대한 프로비저닝 수행을 참조하십시오. (https://www.dell.com/support/home/product-support/product/command-configure/docs)

맨 위로 이동

Dell Command Secure BIOS Configuration을 사용한 BIOS 설정 구성:

DCSBC를 사용하여 BIOS 설정을 구성하기 위해 SCE를 생성하는 방법에 대한 자세한 내용은 다음 링크에서 DCC 사용자 가이드 > 인증서 기반 BIOS 인증을 위해 SCE 내보내기를 참조하십시오. (https://www.dell.com/support/home/product-support/product/command-configure/docs)

맨 위로 이동

Dell Command Secure BIOS Configuration 워크플로에 HSM 서명 방법을 활용하기 위한 사전 요구 사항

DCC를 사용한 DCSBC는 다양한 HSM 공급업체에서 제공하는 서비스를 사용하여 DCSBC 페이로드에 서명할 수 있습니다. 그러나 페이로드에 서명하는 이 방법을 사용하려면 DCC가 아래에 나열된 몇 가지 사전 요구 사항을 충족해야 합니다.

• Dell Technologies는 사용자 환경에서 설정한 HSM 공급업체와 함께 사용할 수 있는 오픈 소스 서명 툴로 OpenSSL을 권장하며, 이를 통해 DCC가 HSM 서명 방법에서 생성된 서명을 사용할 수 있습니다.
• 사용 중인 HSM 공급업체에 따라 C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat 위치에 있는 HSMSigning.bat 파일을 업데이트합니다.

이 파일에서 해당 HSM 설정과 호환되는 12줄의 서명 생성 명령을 업데이트합니다. 기본적으로 사용되는 명령은 다음과 같습니다.

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

이 명령에서는 기본 명령에서 언급된 경로와 동일한 경로에 서명이 생성되어야 하며, 파일 이름은 blobsignature.txt로 설정해야 합니다.

또한 이 명령의 마지막 옵션(예: "%1")은 서명 명령이 런타임 중에 DCC가 생성하는 페이로드 파일에 서명할 수 있도록 허용하므로 수정하지 않아야 합니다.

맨 위로 이동

FAQ

• DCC를 사용하여 BIOS 비밀번호 인증을 사용한 BIOS 구성을 수행하려고 합니다. 어떻게 해야 합니까?
  • DCC는 BIOS 비밀번호 기반 인증을 사용하여 BIOS 구성에 대한 SCE 패키지를 생성할 수 있습니다. DCC UI는 BIOS 비밀번호 기반 인증을 사용하여 SCE 패키지를 생성하기 위한 제어 흐름을 유지합니다.
• Dell Command Secure BIOS Configuration 서버에 HSM 서비스 공급업체가 설정되어 있지 않습니다. 이 문제를 해결하는 방법은 무엇입니까?
  • 로컬 서명 방법을 사용하여 DCSBC용 SCE 패키지에 서명할 수 있습니다.
    참고: 이 방법은 로컬에서 생성된 개인 키를 사용하여 SCE 패키지에 서명합니다. 개인 키를 보호하기 위해 DCC는 Microsoft 인증 저장소를 사용하여 이러한 키를 관리하는 기능을 제공하므로, 개인 키 파일을 디스크에 저장할 필요가 없습니다.
• 가상 머신에 Dell Command Secure BIOS Configuration 서버를 사용하여 Dell Command I Configure를 설치하고 설정하려고 합니다. 어떻게 해야 합니까?
  • 가상 머신을 사용하여 DCSBC 서버와 함께 DCC를 설정할 수 있습니다. DCSBC 서버가 있는 DCC 플랫폼에서 프로비저닝 및 BIOS 구성 작업 모두에 대한 자체 포함 실행 파일을 생성할 수 있습니다. 이 설정을 통해 가상 환경에서도 BIOS 구성을 관리하고 보호할 수 있습니다.