可以将 Linux 上的 VMware Cloud Director 配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。
联邦信息处理标准 (FIPS) 140-2 是一项美国和加拿大政府标准,指定了加密模块的安全要求。NIST 加密模块验证计划 (CMVP) 验证符合 FIPS 140-2 标准的加密模块。
VMware Cloud Director FIPS 支持的目标是简化各种监管环境的合规性和安全性活动。要进一步了解 VMware 产品中对 FIPS 140-2 的支持,请参见 https://www.vmware.com/security/certifications/fips.html。
在 VMware Cloud Director 中,FIPS 验证的加密默认情况下处于停用状态。通过激活 FIPS 模式,可以将 VMware Cloud Director 配置为使用经 FIPS 140-2 验证的加密模块,并在 FIPS 合规模式下运行。
重要说明: 激活 FIPS 模式时,与
VMware Aria Automation Orchestrator 的集成不起作用。
VMware Cloud Director 使用以下经 FIPS 140-2 验证的加密模块:
- VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:证书 #3673(1.0.2.3 正在接受 NIST 审查。版本 1.0.2.1 已获批准。根据证书 #3514,版本 1.0.2.3 的相应 Bouncy Castle FIPS 模块已获批准)
- VMware OpenSSL FIPS Object Module 版本 2.0.20-vmw:证书 #3857
有关在 VMware Cloud Director 设备上激活 FIPS 模式的信息,请参见在 VMware Cloud Director 设备上激活或停用 FIPS 模式。
前提条件
- 安装并激活
rng-tools
实用程序集。请参见https://wiki.archlinux.org/index.php/Rng-tools。 - 如果已激活衡量指标收集,请确认 Cassandra 证书遵循 X.509 v3 证书标准并包含所有必要的扩展。您必须为 Cassandra 配置 VMware Cloud Director 所用的相同密码套件。有关允许的 SSL 密码的信息,请参见管理允许的 SSL 密码列表。
- 如果要使用 SAML 加密,则必须为现有组织重新生成密钥对之一,然后重新交换 SAML 元数据。使用 VMware Cloud Director 10.2.x 及更低版本创建的组织具有两个完全相同的密钥对,您必须重新生成密钥对之一。使用 VMware Cloud Director 10.3 及更高版本创建的组织具有两个不同的密钥对,无需重新生成密钥对。
过程
下一步做什么
- 通过单击禁用,停用 FIPS 模式,并在 VMware Cloud Director 指示配置完成后,重新启动单元。
- 可以使用 fips-mode CMT 命令查看活动 VMware Cloud Director 单元的 FIPS 状态。请参见《VMware Cloud Director 安装、配置和升级指南》中的查看所有活动单元的 FIPS 状态。
- 要避免主机标头注入漏洞,请激活主机标头验证。
- 以 root 身份直接或通过 SSH 客户端登录到 VMware Cloud Director 控制台。
- 使用单元管理工具激活主机标头验证。
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true