Accueil
Installation
Apprenez à installer le produit.
Tâches de post-installation
Après avoir installé AppScan® Enterprise, exécutez les tâches de post-installation ci-après.
Prise en charge des normes de sécurité FIPS 140-2 et NIST SP800-131a
Le NIST (National Institute of Standards and Technology) est l'agence des technologies fédérale américaine qui travaille avec l'industrie pour développer et appliquer des technologies, des mesures et des normes. AppScan® Enterprise Server peut être configuré pour l'utilisation de différentes normes de sécurité afin de répondre aux exigences de sécurité imposées par le gouvernement américain.
Activation de la conformité à NIST dans AppScan® Enterprise avec SiteProtector™
SP800-131a est une norme publiée par le National Institute of Standards and Technology (NIST), qui exige des clés plus longues et un niveau de chiffrement plus puissant. La spécification fournit également une configuration de transition qui permet aux utilisateurs d'évoluer vers une application stricte de SP800-131a. Grâce à cette configuration de transition, les utilisateurs peuvent utiliser des paramètres provenant à la fois de FIPS140-2 et de SP800-131a. SP800-131a peut s'exécuter en deux modes : le mode transition et le mode strict. Dans sa version prête à l'emploi, AppScan® Enterprise est conforme au mode de transition NIST.

Installation
Apprenez à installer le produit.
- Planification du déploiement et de l'installation
  La configuration utilisée dépend d'un certain nombre de facteurs : ce que vous comptez faire avec le logiciel, comment sont structurés votre organisation, votre site Web ou vos applications, et comment l'information doit être distribuée. Avant d'installer la version actuelle, vérifiez les informations sur le matériel et les logiciels requis, les licences et les autres considérations de déploiement.
- Tâches préalables à l'installation
  Avant d'installer AppScan® Enterprise, vous devez préparer et configurer votre système.
- Tâches d'installation
  Cette section fournit les instructions relatives à l'installation d'AppScan® Enterprise.
- Tâches de post-installation
  Après avoir installé AppScan® Enterprise, exécutez les tâches de post-installation ci-après.
  - Liste de contrôle de post-installation
    Après avoir installé AppScan® Enterprise, vérifiez et effectuez toutes les tâches nécessaires de la liste de contrôle de post-installation.
  - Vérifier l'installation du service d'agent et du service d'alerte
    Pendant l'installation, deux services ont été installés : le service d'agent et le service d'alerte. Vous devez vous assurer que ces services ont bien été installés et lancés. Si le service d'agent n'a pas été lancé, tous les travaux créés par les utilisateurs ne sont récupérés ni exécutés par le Serveur. Si le service d'alerte n'a pas été lancé, toutes les alertes configurées pour les utilisateurs ne sont pas émises. Assurez-vous qu'une seule instance du service d'alerte a été installée ; dans le cas contraire, vous recevez des notifications en double.
  - Configuration d'un registre d'utilisateurs de base pour le profil Liberty
  - Sécurisation du déploiement
    Exécutez ces étapes au cours de l'installation et de la configuration pour sécuriser votre instance AppScan® Enterprise.
  - Prise en charge des normes de sécurité FIPS 140-2 et NIST SP800-131a
    Le NIST (National Institute of Standards and Technology) est l'agence des technologies fédérale américaine qui travaille avec l'industrie pour développer et appliquer des technologies, des mesures et des normes. AppScan® Enterprise Server peut être configuré pour l'utilisation de différentes normes de sécurité afin de répondre aux exigences de sécurité imposées par le gouvernement américain.
    - Activation de la conformité aux normes FIPS 140-2/NIST 800-131a dans Enterprise Console
      Lorsque la conformité aux normes FIPS 140-2 est activée dans Enterprise Console, certaines fonctionnalités non conformes aux normes FIPS 140-2 ne fonctionneront pas comme prévu ou seront désactivées, notamment le plug-in Exploration manuelle. Par défaut, Enterprise Console est conforme au mode de transition NIST 800-131a. Lorsque vous exécuterez l'assistant de configuration d'AppScan® Server, celui-ci détectera si votre environnement est en mode strict NIST et respectera ces paramètres.
    - Activation de la conformité aux normes FIPS 140-2 sur votre système d'exploitation
      Après avoir mis à niveau AppScan® Enterprise Server et l'outil d'examen Dynamic Analysis Scanner, activez la conformité à FIPS sur votre système d'exploitation.
    - Activation de FIPS 140-2 ou NIST SP800-131a sur le profil WebSphere Liberty
      Utilisez l'une de ces procédures pour activer FIPS 140-2 ou NIST SP800-131a sur le profil WebSphere Liberty.
    - Activation de la conformité aux normes FIPS 140-2/NIST 800-131a dans Enterprise Console
      Lorsque la conformité aux normes FIPS 140-2 est activée dans Enterprise Console, certaines fonctionnalités non conformes aux normes FIPS 140-2 ne fonctionneront pas comme prévu ou seront désactivées, notamment le plug-in Exploration manuelle. Par défaut, Enterprise Console est conforme au mode de transition NIST 800-131a. Lorsque vous exécuterez l'assistant de configuration d'AppScan® Server, celui-ci détectera si votre environnement est en mode strict NIST et respectera ces paramètres.
    - Activation de la conformité à NIST dans AppScan® Enterprise avec SiteProtector™
      SP800-131a est une norme publiée par le National Institute of Standards and Technology (NIST), qui exige des clés plus longues et un niveau de chiffrement plus puissant. La spécification fournit également une configuration de transition qui permet aux utilisateurs d'évoluer vers une application stricte de SP800-131a. Grâce à cette configuration de transition, les utilisateurs peuvent utiliser des paramètres provenant à la fois de FIPS140-2 et de SP800-131a. SP800-131a peut s'exécuter en deux modes : le mode transition et le mode strict. Dans sa version prête à l'emploi, AppScan® Enterprise est conforme au mode de transition NIST.
  - Authentification avec une carte CAC (Common Access Card)
    La carte CAC (Common Access Card) constitue l'identification standard pour le personnel militaire actif, les troupes de réserve et le personnel civil du ministère de la défense ainsi que le personnel contractuel admissible aux Etats-Unis. Elle permet un accès physique aux bâtiments et aux espaces contrôlés ainsi qu'aux réseaux et aux systèmes informatiques du ministère de la défense. Elle peut être utilisée pour accéder à des ordinateurs et à des réseaux équipés de divers lecteurs de carte à puce. Lorsqu'elle est insérée dans le lecteur, le périphérique invite l'utilisateur à entrer un code confidentiel. Cette tâche permet de configurer AppScan® Enterprise pour permettre l'authentification par carte CAC sur LDAP de sorte que les utilisateurs puissent se connecter à AppScan Enterprise sans indiquer de nom d'utilisateur et de mot de passe.
- Scénarios d'installation avancée

Activation de la conformité à NIST dans AppScan® Enterprise avec SiteProtector™

SP800-131a est une norme publiée par le National Institute of Standards and Technology (NIST), qui exige des clés plus longues et un niveau de chiffrement plus puissant. La spécification fournit également une configuration de transition qui permet aux utilisateurs d'évoluer vers une application stricte de SP800-131a. Grâce à cette configuration de transition, les utilisateurs peuvent utiliser des paramètres provenant à la fois de FIPS140-2 et de SP800-131a. SP800-131a peut s'exécuter en deux modes : le mode transition et le mode strict. Dans sa version prête à l'emploi, AppScan® Enterprise est conforme au mode de transition NIST.

Procédure

Accédez à <install-dir>HCL\AppScan Enterprise\localsetttings.xml, puis effectuez les modifications appropriées :
- Pour le mode transition NIST (appelé 'mode compatible NIST' dans SiteProtector™), conservez le paramètre par défaut param name='sslCipherMode' value='FIPS' xmins='http://www.iss.net/cml/CorePolicyCommon' ordinal='8' />.
  Remarque : AppScan® Enterprise fonctionne avec SiteProtector™ 2.9, SiteProtector™ 3.0 en mode compatible et SiteProtector™ 3.0 en mode strict.
- Pour le mode strict NIST, remplacez <param name='sslCipherMode' value='FIPS' xmins='http://www.iss.net/cml/CorePolicyCommon' ordinal='8' /> par <param name='sslCipherMode' value='SP800131' xmins='http://www.iss.net/cml/CorePolicyCommon' ordinal='8' />.
  Remarque : AppScan® Enterprise fonctionne avec SiteProtector™ 3.0 en mode strict, mais pas avec SiteProtector™ 3.0 en mode compatible ni avec SiteProtector™ 2.9.
Enregistrez et fermez le fichier.