可以将 VMware Cloud Director 设备配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。

联邦信息处理标准 (FIPS) 140-2 是一项美国和加拿大政府标准,指定了加密模块的安全要求。NIST 加密模块验证计划 (CMVP) 验证符合 FIPS 140-2 标准的加密模块。

VMware Cloud Director FIPS 支持的目标是简化各种监管环境的合规性和安全性活动。要进一步了解 VMware 产品中对 FIPS 140-2 的支持,请参见 https://www.vmware.com/security/certifications/fips.html

VMware Cloud Director FIPS 验证的加密默认情况下处于停用状态。通过激活 FIPS 模式,可以将 VMware Cloud Director 配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。

重要说明: 激活 FIPS 模式时,与 VMware Aria Automation Orchestrator 的集成不起作用。

VMware Cloud Director 使用以下经 FIPS 140-2 验证的加密模块:

  • VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:证书 #3673(1.0.2.3 正在接受 NIST 审查。版本 1.0.2.1 已获批准。根据证书 #3514,版本 1.0.2.3 的相应 Bouncy Castle FIPS 模块已获批准)
  • VMware OpenSSL FIPS Object Module 版本 2.0.20-vmw:证书 #3857
使用 VMware Cloud Director 设备时,要将设备配置为在 FIPS 合规模式下运行,必须同时管理设备 FIPS 模式和单元 FIPS 模式。
  • 设备 FIPS 模式是底层设备操作系统、嵌入式数据库和各种系统库的模式。
  • 单元 FIPS 模式是每个设备上运行的 VMware Cloud Director 单元的模式。

要在 Linux VMware Cloud Director 上激活和停用 FIPS 模式,请参见在服务器组中的单元上启用 FIPS 模式

前提条件

  • 如果已激活衡量指标收集,请确认 Cassandra 证书遵循 X.509 v3 证书标准并包含所有必要的扩展。您必须为 Cassandra 配置 VMware Cloud Director 所用的相同密码套件。有关允许的 SSL 密码的信息,请参见管理允许的 SSL 密码列表
  • 如果要使用 SAML 加密,则必须为现有组织重新生成密钥对之一,然后重新交换 SAML 元数据。使用 VMware Cloud Director 10.2.x 及更低版本创建的组织具有两个完全相同的密钥对,您必须重新生成密钥对之一。使用 VMware Cloud Director 10.3 及更高版本创建的组织具有两个不同的密钥对,无需重新生成密钥对。

过程

  1. Service Provider Admin Portal 顶部导航栏中,选择管理
  2. 在左侧面板中的设置下,选择 SSL
  3. 在服务器组中的单元上激活或停用 FIPS 模式。
    选项 描述
    激活
    1. 单击启用
    2. 确认系统满足所有 FIPS 要求,并且您希望启动此过程,然后单击启用
    停用
    1. 单击禁用
    2. 确认您了解必须重新启动单元才能停用 FIPS 模式,然后单击禁用

    配置完成后,VMware Cloud Director 会显示正在启用 (正在等待单元重新启动)正在禁用 (正在等待单元重新启动) 消息,您可以继续执行步骤 4。从设备管理 UI 激活或停用 FIPS 模式时,VMware Cloud Director 设备会自动重新启动单元。

  4. root 身份登录到设备管理 UI,网址为 https://appliance_eth1_IP_address:5480
  5. 在左侧面板中,选择系统配置选项卡。
  6. 要启用或禁用设备 FIPS 模式,请单击所登录节点对应的启用禁用按钮。
    只能在登录的节点上启用或禁用设备 FIPS 模式。
  7. 确认操作并验证 FIPS 模式是否已成功激活或停用。
  8. 对每个设备(例如,主类型、备用类型和应用程序类型)重复步骤 4 至步骤 7。

下一步做什么

  • 要确认单元的状态,请参见查看 VMware Cloud Director 设备的 FIPS 模式
  • 要避免主机标头注入漏洞,请激活主机标头验证。
    1. root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 控制台。
    2. 使用单元管理工具激活主机标头验证。
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

查看 VMware Cloud Director 设备的 FIPS 模式

可以使用 VMware Cloud Director 设备管理 UI 来查看设备的 FIPS 模式。

使用 VMware Cloud Director 设备时,要将 VMware Cloud Director 设备配置为在 FIPS 合规模式下运行,必须同时管理设备 FIPS 模式和单元 FIPS 模式。

  • 设备 FIPS 模式是适用于底层设备操作系统、嵌入式数据库和各种系统库的模式。
  • 单元 FIPS 模式是适用于在每个设备上运行的 VMware Cloud Director 单元的模式。
在 VMware Cloud Director 设备管理 UI 的“系统配置”选项卡上,可以找到 FIPS 模式信息。
表 1. FIPS 模式状态
运行状况 描述
绿色复选标记 设备 FIPS 模式与单元 FIPS 模式一致。这两种模式都启用或都禁用。
黄色感叹号 单元 FIPS 模式处于 Pending restart 状态。使用设备 API 激活或停用设备 FIPS 模式。更改设备 FIPS 模式会自动重新启动 VMware Cloud Director 单元服务。
红色感叹号 VMware Cloud Director 设备无法确定单元 FIPS 模式。设备上的 VMware Cloud Director 服务失败可能导致单元 FIPS 模式无法确定。

前提条件

在 VMware Cloud Director 设备上激活或停用 FIPS 模式

过程

  1. root 身份登录到设备管理 UI,网址为 https://primary_eth1_ip_address:5480
  2. 从左侧面板中,选择系统配置
  3. 查看每个节点上设备 FIPS 模式和单元 FIPS 模式的状态。