Você pode configurar o VMware Cloud Director no Linux para usar módulos criptográficos validados para FIPS 140-2 e executar no modo compatível com FIPS.

O Federal Information Processing Standard (FIPS) 140-2 é um padrão federal dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos. O Programa de Validação de Módulos Criptográficos (CMVP) do NIST valida os módulos criptográficos em conformidade com os padrões FIPS 140-2.

O objetivo do suporte ao FIPS do VMware Cloud Director é facilitar as atividades de conformidade e a segurança em vários ambientes regulamentados. Para saber mais sobre o suporte para FIPS 140-2 em produtos da VMware, consulte https://www.vmware.com/security/certifications/fips.html.

No VMware Cloud Director, a criptografia validada para FIPS está desativada por padrão. Ao ativar o modo FIPS, você configura o VMware Cloud Director para usar módulos criptográficos validados para FIPS 140-2 e executados no modo compatível com FIPS.

Importante: Quando você ativa o modo FIPS, a integração ao VMware Aria Automation Orchestrator não funciona.

O VMware Cloud Director usa os seguintes módulos criptográficos validados para FIPS 140-2:

  • BC-FJA (Bouncy Castle API Java FIPS) da VMware, versão 1.0.2.3: Certificado #3673 (sob revisão do NIST para 1.0.2.3. Aprovado para a versão 1.0.2.1. Módulo FIPS Bouncy Castle correspondente aprovado para a versão 1.0.2.3 por Certificado #3514)
  • Módulo de objeto OpenSSL FIPS da VMware, versão 2.0.20-vmw: Certificado #3857

Para obter informações sobre como ativar o modo FIPS no dispositivo VMware Cloud Director, consulte Ativar ou desativar o modo FIPS no dispositivo VMware Cloud Director.

Pré-requisitos

  • Instale e ative o conjunto de utilitários rng-tools. Consulte https://wiki.archlinux.org/index.php/Rng-tools.
  • Se a coleta de métricas estiver ativada, verifique se os certificados Cassandra seguem o padrão de certificado X.509 v3 e incluem todas as extensões necessárias. Você deve configurar o Cassandra com os mesmos conjunto de codificações usados pelo VMware Cloud Director. Para obter informações sobre as codificações SSL permitidas, consulte Gerenciando a lista de codificações SSL permitidas.
  • Se quiser usar a criptografia SAML, você deverá gerar novamente um dos pares de chaves para organizações existentes e repetir o intercâmbio dos metadados SAML. As organizações criadas com o VMware Cloud Director 10.2.x e versões anteriores têm dois pares de chaves idênticos, e você deve gerar novamente um desses pares de chaves. As organizações criadas com o VMware Cloud Director 10.3 e versões posteriores têm dois pares de chaves distintos, e você não precisa gerar novamente nenhum deles.

Procedimento

  1. No painel de navegação esquerdo primário, selecione Administração.
  2. No painel esquerdo, em Configurações, selecione SSL.
  3. Clique em Ativar.
  4. Confirme se o seu ambiente atende a todos os pré-requisitos para ativar o modo FIPS.
    Se o seu ambiente não atender a todos os pré-requisitos antes de iniciar a configuração do modo FIPS, é possível que o VMware Cloud Director se torne inacessível.
  5. Para confirmar que você deseja iniciar o processo, clique em Ativar.
    Quando a configuração terminar, o VMware Cloud Director exibirá uma mensagem para reiniciar as células da nuvem.
  6. Depois que o VMware Cloud Director exibir uma mensagem para reiniciar suas células de nuvem, reinicie todas as células no grupo de servidores do VMware Cloud Director.

O que Fazer Depois

  • Desative o modo FIPS clicando em Desativar e, depois que o VMware Cloud Director indicar que a configuração está pronta, reinicie as células.
  • Você pode visualizar o status FIPS das células VMware Cloud Director ativas usando o comando da CMT fips-mode. Consulte Visualizar o status FIPS de todas as células ativas no Guia de instalação, configuração e upgrade do VMware Cloud Director.
  • Para evitar vulnerabilidades de injeção de cabeçalho do host, ative a verificação do cabeçalho do host.
    1. Faça login diretamente ou usando um cliente SSH no console do VMware Cloud Director como raiz.
    2. Ative a verificação do cabeçalho do host usando a ferramenta de gerenciamento de célula.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true