Você pode configurar seu dispositivo do VMware Cloud Director para usar módulos criptográficos validados para FIPS 140-2 e executar no modo compatível com FIPS.

O Federal Information Processing Standard (FIPS) 140-2 é um padrão federal dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos. O Programa de Validação de Módulos Criptográficos (CMVP) do NIST valida os módulos criptográficos em conformidade com os padrões FIPS 140-2.

O objetivo do suporte ao FIPS do VMware Cloud Director é facilitar as atividades de conformidade e a segurança em vários ambientes regulamentados. Para saber mais sobre o suporte para FIPS 140-2 em produtos da VMware, consulte https://www.vmware.com/security/certifications/fips.html.

A criptografia validada por FIPS do VMware Cloud Director está desativada por padrão. Ao ativar o modo FIPS, você configura o VMware Cloud Director para usar módulos criptográficos validados para FIPS 140-2 e executados no modo compatível com FIPS.

Importante: Quando você ativa o modo FIPS, a integração ao vRealize Orchestrator não funciona.

O VMware Cloud Director usa os seguintes módulos criptográficos validados para FIPS 140-2:

  • BC-FJA (Bouncy Castle API Java FIPS) da VMware, versão 1.0.2.3: Certificado #3673 (sob revisão do NIST para 1.0.2.3. Aprovado para a versão 1.0.2.1. Módulo FIPS Bouncy Castle correspondente aprovado para a versão 1.0.2.3 por Certificado #3514)
  • Módulo de objeto OpenSSL FIPS da VMware, versão 2.0.20-vmw: Certificado #3857
Ao usar o dispositivo VMware Cloud Director para configurar o dispositivo para ser executado no modo compatível com FIPS, você deve gerenciar tanto o modo FIPS do dispositivo quanto o modo FIPS da célula.
  • O modo FIPS do dispositivo é o modo do SO do dispositivo subjacente, do banco de dados incorporado e de várias bibliotecas de sistema.
  • O modo FIPS da célula é o modo da célula do VMware Cloud Director em execução em cada dispositivo.

Para ativar e desativar o modo FIPS no VMware Cloud Director no Linux, consulte Ativar o modo FIPS nas células do grupo de servidores.

Pré-requisitos

  • Se a coleta de métricas estiver ativada, verifique se os certificados Cassandra seguem o padrão de certificado X.509 v3 e incluem todas as extensões necessárias. Você deve configurar o Cassandra com os mesmos conjunto de codificações usados pelo VMware Cloud Director. Para obter informações sobre as codificações SSL permitidas, consulte Gerenciando a lista de codificações SSL permitidas.
  • Se quiser usar a criptografia SAML, você deverá gerar novamente um dos pares de chaves para organizações existentes e repetir o intercâmbio dos metadados SAML. As organizações criadas com o VMware Cloud Director 10.2.x e versões anteriores têm dois pares de chaves idênticos, e você deve gerar novamente um desses pares de chaves. As organizações criadas com o VMware Cloud Director 10.3 e versões posteriores têm dois pares de chaves distintos, e você não precisa gerar novamente nenhum deles.

Procedimento

  1. Na barra de navegação superior do Service Provider Admin Portal, selecione Administração.
  2. No painel esquerdo, em Configurações, selecione SSL.
  3. Ative ou desative o modo FIPS nas células do grupo de servidores.
    Opção Descrição
    Ativar
    1. Clique em Ativar.
    2. Confirme se o seu sistema atende a todos os requisitos de FIPS e se você deseja iniciar o processo e clique em Habilitar.
    Desativar
    1. Clique em Desabilitar.
    2. Confirme que você entende que deve reiniciar as células para o modo FIPS a ser desativado e clique em Desabilitar.

    Quando a configuração terminar, o VMware Cloud Director exibirá uma mensagem Ativação em Andamento (Aguardando reinicialização das células) ou Desativação em Andamento (Aguardando reinicialização das células) e você poderá continuar para a etapa 4. Quando você ativa ou desativa o modo FIPS da UI de gerenciamento de dispositivo, o dispositivo do VMware Cloud Director reinicia automaticamente as células.

  4. Faça login como root na UI de gerenciamento do dispositivo em https://appliance_eth1_IP_address:5480.
  5. No painel esquerdo, selecione a guia Configuração do Sistema.
  6. Para ativar ou desativar o modo FIPS do dispositivo, clique no botão Ativar ou Desativar para o nó ao qual você está conectado.
    Somente é possível ativar ou desativar o modo FIPS do dispositivo no nó ao qual você está conectado.
  7. Confirme a ação e verifique se o modo FIPS foi ativado ou desativado com êxito.
  8. Repita as etapas de 4 a 7 para cada dispositivo, por exemplo, tipos primário, em espera e de aplicativo.

O que Fazer Depois

Para confirmar o estado das células, consulte Visualizar o modo FIPS do seu dispositivo do VMware Cloud Director.