TLS 1.2 및 Entrust 인증서 - FTP 업데이트 2018년 10월 29일

개요:

Medidata에서는 TLS(Transport Layer Security)로 알려진 보안 프로토콜과 SSL 인증 기관을 시스템에서 계속 업데이트하고 있습니다. FTP를 제외한 모든 Medidata 웹 서비스로 업데이트를 완료했습니다.

FTP 서버로 업데이트한 TLS를 HDC(Houston Data Center)와 FRA(Frankfurt Data Center)에 동일하게 적용할 예정입니다. 그러나 Global Sign은 FRA의 인증 기관으로 남습니다.

어떤 점이 달라지나요?

• FTP04의 모든 FTP 서비스를 FTP01로 2018년 12월 1일까지 마이그레이션해야 합니다.
  • 지원되지 않는 소프트웨어와 취약한 TLS 프로토콜을 사용 중지하려면 불가피합니다. 새로운 FTP01 서버에서는 TLS 1.2만 지원하며 3DES와 같은 취약한 암호화 알고리즘을 더는 지원하지 않습니다.
  • 마이그레이션 세부 정보는 담당 PM에게 문의하세요.

모든 업데이트는 일반적인 유지관리 기간(CDT 기준 오후 6:00~10:00)에 수행됩니다.

사용자에게 어떤 영향을 주나요?

• HDC/FRA의 FTP 서버를 통한 파일 업로드/다운로드

이미 발생한 단계는 무엇인가요?

• FRA FTP 서비스(ftp07 및 ftp08)의 SSL 인증서는 2018년 7월 21일에 Global Sign 인증서로 갱신됩니다. - 완료
• HDC(Houston Data Center) FTP 서비스(ftp01, ftp02 및 ftp03)의 SSL 인증서는 2018년 9월 15일에 당사의 인증 기관/인증서 제공업체인 Entrust Datacard로 전환됩니다. - 완료
• HDC의 모든 FTP 서비스에서 지원되는 TLS 프로토콜은 2018년 9월 29일에 버전 1.2로 제한됩니다. - 완료
• 3DES(112비트로 간주함)를 포함하여, 취약한 암호 그룹(128비트 미만)은 2018년 9월 29일에 HDC에서 비활성화됩니다. - 완료
• FRA(ftp07 및 ftp08)의 모든 FTP 서비스에서 지원되는 TLS 프로토콜은 2018년 10월 27일에 버전 1.2로 제한됩니다. - 완료
• 3ES(112비트로 간주함)를 포함하여, 취약한 암호 그룹(128비트 미만)은 2018년 10월 27일에 FRA에서 비활성화됩니다. - 완료

테스트

TLS 1.2 및 Entrust 루트 인증서와 모두 호환되는지 확인하는 FTP 서버를 하나 생성했습니다. 테스트 인스턴스는 테스트 데이터를 포함하거나 Batch 명령에 응답할 수 없습니다. FTP 서비스에 대해 HTTPS(TLS) 연결을 설정하면 성공적으로 테스트됩니다.

• FTP 호스트 이름: ftp06.ftp.mdsol.com
• 자격 증명은 FTP 연결 테스트용으로만 제공됩니다.
• 사용자 이름: cs_verify
• 비밀번호: 7^7J23a3
• Medidata에서는 FTP/s(FTP over SSL)만 지원
• TLS 1.2 프로토콜만 지원
• 새 Entrust 인증서가 로드됨
• FTP 클라이언트에서 TLS 1.2를 지원하고 Entrust Datacard 루트 스토어 인증서가 로드되어야 함
• FTP 클라이언트에서 다음 암호 그룹 중 하나를 지원해야 합니다.

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256

다음과 같은 몇 가지 상황에 따라 루트 스토어가 업데이트되지 않을 수 있습니다.

• FTP 클라이언트가 너무 오래되었거나 정기적으로 업데이트되지 않습니다. Entrust는 지원되지 않는 버전을 포함하여 주요 브라우저 및 FTP 소프트웨어에서 대부분 지원하므로 문제가 되지 않습니다.
• 해결 방법은 브라우저 소프트웨어를 업데이트하거나 통합 소프트웨어의 루트 스토어를 업데이트하는 것입니다. Entrust 인증서 체인은 다운로드할 수 있습니다(아래 링크 참조).
  • 루트 인증서
  • 상호 인증서

FAQ:

Q: TLS 1.2이란?

A: TLS 프로토콜(SSL)은 웹 서비스에 대한 안전한 브라우저 및 API 통합을 종료하는 데 사용됩니다. 2018년 6월부터 Medidata Clinical Cloud 플랫폼에서는 버전 1.0 및 1.1 또는 TLS 프로토콜을 더 이상 지원하지 않습니다. 이는 SSL을 통한 FTP와 기타 추가 기능을 포함하여 Rave, RaveX 및 iMedidata 플랫폼을 위한 모든 웹 서비스에 영향을 줍니다.

TLS 버전 1.0은 이제 더는 업계 기준에 따라 안전하지 않은 것으로 간주하며 Beast 및 TLS Poodle과 같은 취약성이 발견된 바 있습니다. Microsoft, Google 및 Salesforce와 같은 대형 벤더에서는 2018년 중 PCI 및 NIST와 같은 보안 프레임워크와 함께 이 프로토콜의 사용을 중단할 예정입니다.

TLS 버전 1.1은 버전 1.2가 도입된 후 사용률이 낮아졌습니다. 버전 1.0과 비교해서 큰 이점이 없기 때문입니다.

Q: Entrust 인증서란?

A: SSL 인증서는 TLS 암호화 프로토콜을 사용하여 웹 서비스에 대한 액세스를 보안 처리하는 데 사용됩니다. Medidata는 인증서 갱신의 일환으로 기본 인증 기관을 GoDaddy에서 Entrust Datacard로 전환하려고 합니다. 유럽에서는 인증 기관으로 변함없이 GlobalSign을 이용할 예정입니다.

브라우저, FTP 클라이언트 및 통합(API) 소프트웨어에서는 루트 스토어를 이용하여 TLS(SSL)와의 보안 통신을 초기화합니다. 이 루트 스토어는 Entrust 및 GoDaddy와 같은 주요 인증 기관의 루트 인증서를 포함합니다. 이 루트 스토어를 정기적으로 업데이트하지 않으면 Entrust에서 루트 인증서가 로드되지 않을 경우 클라이언트가 연결 오류를 경험할 수 있습니다. 일반적으로는 소프트웨어 벤더에서 자동으로 업데이트합니다.

Q: 어떤 Medidata 시스템이 TLS 및 인증서 업데이트의 영향을 받나요?

A: HTTPS를 통해 웹 서비스를 이용하는 모든 시스템이 업데이트의 영향을 받습니다. 브라우저, FTP 클라이언트 및 RWS, iMedidata, EDI 등과의 시스템 통합이 포함됩니다.

Q: 어떤 테스트를 성공한 것으로 간주하나요?

A: 연결만 테스트하며 설정된 보안 연결을 찾습니다. 브라우저에는 단순히 보안 사이트 배지와 인증 페이지만 표시됩니다. 인증이 성공하면 FTP 클라이언트에 표시됩니다.

다운로드 확인을 위해 Test_README라는 이름의 파일을 테스트 폴더 내에 생성했지만, 이 단계는 필요하지 않습니다. 업로드는 허용되지 않습니다.

Q: 엔드투엔드 FTP 테스트를 완료하기 위해 Medidata에서 테스트 데이터가 포함된 테스트 FTP 사이트를 만들 수 있나요?

A: 최소 테스트를 지원하는 테스트 FTP 인스턴스를 만들었으며 해당 인스턴스에 테스트 데이터는 채울 수 없습니다. 시스템의 애플리케이션 아키텍처는 변경하지 않습니다. TLS 인프라는 애플리케이션 시스템과 관계없습니다. 따라서, 고객은 연결 성공 여부만 테스트하면 됩니다. 애플리케이션/데이터 아키텍처에는 전혀 위험이 없습니다.

Q: 고객이 TLS의 기존 버전을 비활성화해야 하나요?

A: 아니요. 고객 관점에서는 상관없습니다. TLS 1.2만 지원할 수 있으면 되고, 소프트웨어에서 이전 버전을 비활성화할 필요는 없습니다. Medidata 시스템을 제외한 기타 기존 버전과 호환성을 유지하지 않는 것이 좋습니다.

Q: 고객이 TLS 연결과 관련한 자세한 내용을 알 수 있나요?

A: 세션과 FTP 아키텍처를 암호화했기 때문에 자세한 로그 정보를 제공할 수 없습니다.

이러한 단계를 수행하면 문제가 해결됩니다. 문제가 해결되지 않으면 고객센터에 문의해 주세요.

팁: Medidata에서는 항상 제품의 성능을 향상하기 위해 노력하고 있습니다. 이 문서를 “팔로우”하면 새 솔루션이 게시될 때 알림 이메일을 받으실 수 있습니다.

Medidata Customer Success 센터를 이용해 주셔서 감사합니다.