Você pode configurar seu dispositivo do VMware Cloud Director para usar módulos criptográficos validados para FIPS 140-2 e executar no modo compatível com FIPS.

O Federal Information Processing Standard (FIPS) 140-2 é um padrão federal dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos. O Programa de Validação de Módulos Criptográficos (CMVP) do NIST valida os módulos criptográficos em conformidade com os padrões FIPS 140-2.

O objetivo do suporte ao FIPS do VMware Cloud Director é facilitar as atividades de conformidade e a segurança em vários ambientes regulamentados. Para saber mais sobre o suporte para FIPS 140-2 em produtos da VMware, consulte https://www.vmware.com/security/certifications/fips.html.

A criptografia validada por FIPS do VMware Cloud Director está desativada por padrão. Ao ativar o modo FIPS, você configura o VMware Cloud Director para usar módulos criptográficos validados para FIPS 140-2 e executados no modo compatível com FIPS.

Importante: Quando você ativa o modo FIPS, a integração ao VMware Aria Automation Orchestrator não funciona.

O VMware Cloud Director usa os seguintes módulos criptográficos validados para FIPS 140-2:

  • BC-FJA (Bouncy Castle API Java FIPS) da VMware, versão 1.0.2.3: Certificado #3673 (sob revisão do NIST para 1.0.2.3. Aprovado para a versão 1.0.2.1. Módulo FIPS Bouncy Castle correspondente aprovado para a versão 1.0.2.3 por Certificado #3514)
  • Módulo de objeto OpenSSL FIPS da VMware, versão 2.0.20-vmw: Certificado #3857
Ao usar o dispositivo VMware Cloud Director para configurar o dispositivo para ser executado no modo compatível com FIPS, você deve gerenciar tanto o modo FIPS do dispositivo quanto o modo FIPS da célula.
  • O modo FIPS do dispositivo é o modo do SO do dispositivo subjacente, do banco de dados incorporado e de várias bibliotecas de sistema.
  • O modo FIPS da célula é o modo da célula do VMware Cloud Director em execução em cada dispositivo.

Para ativar e desativar o modo FIPS no VMware Cloud Director no Linux, consulte Ativar o modo FIPS nas células do grupo de servidores.

Pré-requisitos

  • Se a coleta de métricas estiver ativada, verifique se os certificados Cassandra seguem o padrão de certificado X.509 v3 e incluem todas as extensões necessárias. Você deve configurar o Cassandra com os mesmos conjunto de codificações usados pelo VMware Cloud Director. Para obter informações sobre as codificações SSL permitidas, consulte Gerenciando a lista de codificações SSL permitidas.
  • Se quiser usar a criptografia SAML, você deverá gerar novamente um dos pares de chaves para organizações existentes e repetir o intercâmbio dos metadados SAML. As organizações criadas com o VMware Cloud Director 10.2.x e versões anteriores têm dois pares de chaves idênticos, e você deve gerar novamente um desses pares de chaves. As organizações criadas com o VMware Cloud Director 10.3 e versões posteriores têm dois pares de chaves distintos, e você não precisa gerar novamente nenhum deles.

Procedimento

  1. Na barra de navegação superior do Service Provider Admin Portal, selecione Administração.
  2. No painel esquerdo, em Configurações, selecione SSL.
  3. Ative ou desative o modo FIPS nas células do grupo de servidores.
    Opção Descrição
    Ativar
    1. Clique em Ativar.
    2. Confirme se o seu sistema atende a todos os requisitos de FIPS e se você deseja iniciar o processo e clique em Habilitar.
    Desativar
    1. Clique em Desabilitar.
    2. Confirme que você entende que deve reiniciar as células para o modo FIPS a ser desativado e clique em Desabilitar.

    Quando a configuração terminar, o VMware Cloud Director exibirá uma mensagem Ativação em Andamento (Aguardando reinicialização das células) ou Desativação em Andamento (Aguardando reinicialização das células) e você poderá continuar para a etapa 4. Quando você ativa ou desativa o modo FIPS da UI de gerenciamento de dispositivo, o dispositivo do VMware Cloud Director reinicia automaticamente as células.

  4. Faça login como root na UI de gerenciamento do dispositivo em https://appliance_eth1_IP_address:5480.
  5. No painel esquerdo, selecione a guia Configuração do Sistema.
  6. Para ativar ou desativar o modo FIPS do dispositivo, clique no botão Ativar ou Desativar para o nó ao qual você está conectado.
    Somente é possível ativar ou desativar o modo FIPS do dispositivo no nó ao qual você está conectado.
  7. Confirme a ação e verifique se o modo FIPS foi ativado ou desativado com êxito.
  8. Repita as etapas de 4 a 7 para cada dispositivo, por exemplo, tipos primário, em espera e de aplicativo.

O que Fazer Depois

  • Para confirmar o estado das células, consulte Visualizar o modo FIPS do seu dispositivo do VMware Cloud Director.
  • Para evitar vulnerabilidades de injeção de cabeçalho do host, ative a verificação do cabeçalho do host.
    1. Faça login diretamente ou usando um cliente SSH no console do VMware Cloud Director como raiz.
    2. Ative a verificação do cabeçalho do host usando a ferramenta de gerenciamento de célula.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

Visualizar o modo FIPS do seu dispositivo do VMware Cloud Director

Você pode usar a UI de gerenciamento do dispositivo do VMware Cloud Director para exibir o modo FIPS do seu dispositivo.

Ao usar o dispositivo VMware Cloud Director, para configurar o dispositivo VMware Cloud Director para ser executado no modo compatível com FIPS, você deve gerenciar tanto o modo FIPS do dispositivo quanto o modo FIPS da célula.

  • O modo FIPS do dispositivo é o modo do SO do dispositivo subjacente, do banco de dados incorporado e de várias bibliotecas de sistema.
  • O modo FIPS da célula é o modo da célula do VMware Cloud Director em execução em cada dispositivo.
Na guia Configuração do Sistema da UI de gerenciamento de dispositivos do VMware Cloud Director, você pode encontrar as informações sobre o modo FIPS.
Tabela 1. Estado do modo FIPS
Integridade Descrição
Marca de seleção verde Os modos FIPS da célula e do dispositivo do são diferentes. Ambos os modos estão ativos ou desligados.
Ponto de exclamação amarelo O modo FIPS da célula está em estado de Reinicialização pendente. Use a API do dispositivo para ativar ou desativar o modo FIPS do dispositivo. Alterar o modo FIPS do dispositivo reinicia automaticamente o serviço de célula do VMware Cloud Director.
Ponto de exclamação vermelho O dispositivo VMware Cloud Director não pode determinar o modo FIPS da célula. Falhas no serviço do VMware Cloud Director no dispositivo do podem fazer com que o modo FIPS da célula seja indeterminado.

Pré-requisitos

Ativar ou desativar o modo FIPS no dispositivo do VMware Cloud Director

Procedimento

  1. Faça login como root na interface do usuário de gerenciamento do dispositivo em https://primary_eth1_ip_address:5480.
  2. No painel esquerdo, selecione Configuração do Sistema.
  3. Visualize o status do modo FIPS da célula e do dispositivo em cada nó.