Você pode configurar o VMware Cloud Director no Linux para usar módulos criptográficos validados para FIPS 140-2 e executar no modo compatível com FIPS.
O Federal Information Processing Standard (FIPS) 140-2 é um padrão federal dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos. O Programa de Validação de Módulos Criptográficos (CMVP) do NIST valida os módulos criptográficos em conformidade com os padrões FIPS 140-2.
O objetivo do suporte ao FIPS do VMware Cloud Director é facilitar as atividades de conformidade e a segurança em vários ambientes regulamentados. Para saber mais sobre o suporte para FIPS 140-2 em produtos da VMware, consulte https://www.vmware.com/security/certifications/fips.html.
No VMware Cloud Director, a criptografia validada para FIPS está desativada por padrão. Ao ativar o modo FIPS, você configura o VMware Cloud Director para usar módulos criptográficos validados para FIPS 140-2 e executados no modo compatível com FIPS.
O VMware Cloud Director usa os seguintes módulos criptográficos validados para FIPS 140-2:
- BC-FJA (Bouncy Castle API Java FIPS) da VMware, versão 1.0.2.3: Certificado #3673 (sob revisão do NIST para 1.0.2.3. Aprovado para a versão 1.0.2.1. Módulo FIPS Bouncy Castle correspondente aprovado para a versão 1.0.2.3 por Certificado #3514)
- Módulo de objeto OpenSSL FIPS da VMware, versão 2.0.20-vmw: Certificado #3857
Para obter informações sobre como ativar o modo FIPS no dispositivo VMware Cloud Director, consulte Ativar ou desativar o modo FIPS no dispositivo VMware Cloud Director.
Pré-requisitos
- Instale e ative o conjunto de utilitários
rng-tools
. Consulte https://wiki.archlinux.org/index.php/Rng-tools. - Se a coleta de métricas estiver ativada, verifique se os certificados Cassandra seguem o padrão de certificado X.509 v3 e incluem todas as extensões necessárias. Você deve configurar o Cassandra com os mesmos conjunto de codificações usados pelo VMware Cloud Director. Para obter informações sobre as codificações SSL permitidas, consulte Gerenciando a lista de codificações SSL permitidas.
- Se quiser usar a criptografia SAML, você deverá gerar novamente um dos pares de chaves para organizações existentes e repetir o intercâmbio dos metadados SAML. As organizações criadas com o VMware Cloud Director 10.2.x e versões anteriores têm dois pares de chaves idênticos, e você deve gerar novamente um desses pares de chaves. As organizações criadas com o VMware Cloud Director 10.3 e versões posteriores têm dois pares de chaves distintos, e você não precisa gerar novamente nenhum deles.
Procedimento
O que Fazer Depois
- Desative o modo FIPS clicando em Desativar e, depois que o VMware Cloud Director indicar que a configuração está pronta, reinicie as células.
- Você pode visualizar o status FIPS das células VMware Cloud Director ativas usando o comando da CMT fips-mode. Consulte Visualizar o status FIPS de todas as células ativas no Guia de instalação, configuração e upgrade do VMware Cloud Director.
- Para evitar vulnerabilidades de injeção de cabeçalho do host, ative a verificação do cabeçalho do host.
- Faça login diretamente ou usando um cliente SSH no console do VMware Cloud Director como raiz.
- Ative a verificação do cabeçalho do host usando a ferramenta de gerenciamento de célula.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true