Sie können die VMware Cloud Director-Appliance so konfigurieren, dass FIPS 140-2-validierte kryptografische Module verwendet werden und sie im FIPS-konformen Modus ausgeführt wird.

FIPS 140-2 (Federal Information Processing Standard ) ist ein US- und kanadischer Behördenstandard, der Sicherheitsanforderungen für kryptografische Module spezifiziert. Das NIST Cryptographic Module Validation Program (CMVP) überprüft die kryptografischen Module, die mit den FIPS 140-2-Standards konform sind.

Mit VMware Cloud Director FIPS-Unterstützung sollen Konformitäts- und Sicherheitsaktivitäten in verschiedenen regulierten Umgebungen erleichtert werden. Weitere Informationen über die Unterstützung für FIPS 140-2 in VMware-Produkten finden Sie unter https://www.vmware.com/security/certifications/fips.html.

In VMware Cloud Director ist FIPS-validierte Kryptografie standardmäßig deaktiviert. Durch Aktivierung des FIPS-Modus konfigurieren Sie die VMware Cloud Director-Appliance so, dass FIPS 140-2-validierte kryptografische Module verwendet und im FIPS-konformen Modus ausgeführt werden.

Wichtig: Wenn Sie den FIPS-Modus aktivieren, funktioniert die Integration in VMware Aria Automation Orchestrator nicht.

VMware Cloud Director verwendet die folgenden FIPS 140-2-validierten kryptografischen Module:

  • VMware BC-FJA (Bouncy Castle FIPS Java API), Version 1.0.2.3: Zertifikat Nr. 3673 (unter NIST-Überprüfung für 1.0.2.3. Genehmigt für Version 1.0.2.1. Entsprechendes Bouncy Castle FIPS-Modul, das für Version 1.0.2.3 pro Zertifikat Nr. 3514) genehmigt wurde
  • VMware OpenSSL FIPS Object Module Version 2.0.20-vmw: Zertifikat #3857
Bei Verwendung der VMware Cloud Director-Appliance müssen Sie sowohl den FIPS-Modus der Appliance als auch den FIPS-Modus der Zelle verwalten, um die Appliance im FIPS-konformen Modus auszuführen.
  • Beim FIPS-Modus der Appliance handelt es sich um den Modus des zugrunde liegenden Betriebssystems, der eingebetteten Datenbank und verschiedener Systembibliotheken.
  • Beim FIPS-Modus der Zelle handelt es sich um den Modus der VMware Cloud Director-Zelle, die auf jeder Appliance ausgeführt wird.

Informationen zum Aktivieren und Deaktivieren des FIPS-Modus auf VMware Cloud Director unter Linux finden Sie unter Aktivieren des FIPS-Modus für die Zellen in der Servergruppe.

Voraussetzungen

  • Wenn die Metrikerfassung aktiviert ist, stellen Sie sicher, dass die Cassandra-Zertifikate dem X.509 v3-Zertifikatstandard entsprechen und alle erforderlichen Erweiterungen enthalten. Sie müssen Cassandra mit denselben Verschlüsselungssammlungen konfigurieren, die von VMware Cloud Director verwendet werden. Informationen zu den zulässigen SSL-Verschlüsselungen finden Sie unter Verwalten der Liste der zulässigen SSL-Verschlüsselungen.
  • Wenn Sie die SAML-Verschlüsselung verwenden möchten, müssen Sie eines der Schlüsselpaare für die vorhandenen Organisationen neu generieren und die SAML-Metadaten erneut austauschen. Organisationen, die mit VMware Cloud Director 10.2.x und früher erstellt wurden, verfügen über zwei identische Schlüsselpaare, und Sie müssen eines der Schlüsselpaare neu generieren. Organisationen, die mit VMware Cloud Director 10.3 und höher erstellt wurden, verfügen über zwei unterschiedliche Schlüsselpaare, und Sie müssen keines davon neu generieren.

Prozedur

  1. Wählen Sie in der oberen Navigationsleiste des Service Provider Admin Portal Administration aus.
  2. Klicken Sie im linken Bereich unter Einstellungen auf SSL.
  3. Aktivieren oder deaktivieren Sie den FIPS-Modus für die Zellen in der Servergruppe.
    Option Beschreibung
    Aktivieren
    1. Klicken Sie auf Aktivieren.
    2. Bestätigen Sie, dass Ihr System alle FIPS-Anforderungen erfüllt und Sie den Vorgang starten möchten, und klicken Sie auf Aktivieren.
    Deaktivieren
    1. Klicken Sie auf Deaktivieren.
    2. Bestätigen Sie, dass Sie verstanden haben, dass Sie die Zellen neu starten müssen, um den FIPS-Modus zu deaktivieren, und klicken Sie auf Disable.

    Nach Abschluss der Konfiguration zeigt VMware Cloud Director eine Meldung vom Typ Aktivieren läuft (Auf Neustart der Zellen wird gewartet) oder Deaktivieren läuft (Auf Neustart der Zellen wird gewartet) an, und Sie können mit Schritt 4 fortfahren. Wenn Sie den FIPS-Modus über die Verwaltungsschnittstelle der Appliance aktivieren oder deaktivieren, startet die VMware Cloud Director-Appliance die Zellen automatisch neu.

  4. Melden Sie sich als root bei der Verwaltungsschnittstelle der Appliance unter https://appliance_eth1_IP_address:5480 an.
  5. Wählen Sie im linken Fensterbereich die Registerkarte Systemkonfiguration aus.
  6. Klicken Sie zum Aktivieren oder Deaktivieren des FIPS-Modus der Appliance auf die Schaltfläche Aktivieren oder Deaktivieren für den Knoten, bei dem Sie angemeldet sind.
    Sie können den FIPS-Modus der Appliance nur auf dem Knoten aktivieren oder deaktivieren, bei dem Sie angemeldet sind.
  7. Bestätigen Sie die Aktion und stellen Sie sicher, dass der FIPS-Modus erfolgreich aktiviert oder deaktiviert wurde.
  8. Wiederholen Sie Schritt 4 bis 7 für jede Appliance, wie z. B. primäre Appliance, Standby-Appliance und Anwendungstypen.

Nächste Maßnahme

  • Informationen zum Bestätigen des Status der Zellen finden Sie unter Anzeigen des FIPS-Modus der VMware Cloud Director-Appliance.
  • Um Schwachstellen beim Einfügen von Host-Kopfzeilen zu vermeiden, aktivieren Sie die Host-Kopfzeilenüberprüfung.
    1. Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der VMware Cloud Director-Konsole als root an.
    2. Aktivieren Sie die Host-Kopfzeilenüberprüfung mithilfe des Zellenverwaltungstools.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

Anzeigen des FIPS-Modus der VMware Cloud Director-Appliance

Sie können die Verwaltungsoberfläche der VMware Cloud Director-Appliance verwenden, um den FIPS-Modus Ihrer Appliance anzuzeigen.

Bei Verwendung der VMware Cloud Director-Appliance müssen Sie sowohl den FIPS-Modus der Appliance als auch den FIPS-Modus der Zelle verwalten, um die VMware Cloud Director-Appliance im FIPS-konformen Modus auszuführen.

  • Beim FIPS-Modus der Appliance handelt es sich um den Modus des zugrunde liegenden Betriebssystems, der eingebetteten Datenbank und verschiedener Systembibliotheken.
  • Beim FIPS-Modus der Zelle handelt es sich um den Modus der VMware Cloud Director-Zelle, die auf jeder Appliance ausgeführt wird.
Auf der Registerkarte „Systemkonfiguration“ der Verwaltungsoberfläche der VMware Cloud Director-Appliance finden Sie Informationen zum FIPS-Modus.
Tabelle 1. Status des FIPS-Modus
Gesundheit Beschreibung
Grünes Häkchen Die FIPS-Modi der Appliance und Zelle sind identisch. Beide Modi sind entweder ein- oder ausgeschaltet.
Gelbes Ausrufezeichen Der FIPS-Modus der Zelle befindet sich im Status Ausstehender Neustart. Verwenden Sie die Appliance-API, um den FIPS-Modus der Appliance zu aktivieren oder zu deaktivieren. Durch Ändern des FIPS-Modus der Appliance wird der Dienst der VMware Cloud Director-Zelle automatisch neu gestartet.
Rotes Ausrufezeichen Die VMware Cloud Director-Appliance kann den FIPS-Modus der Zelle nicht bestimmen. Wenn der VMware Cloud Director-Dienst auf der Appliance fehlschlägt, kann der FIPS-Modus der Zelle nicht bestimmt werden.

Voraussetzungen

Aktivieren oder Deaktivieren des FIPS-Modus auf der VMware Cloud Director-Appliance

Prozedur

  1. Melden Sie sich als root bei der Verwaltungsschnittstelle der Appliance unter https://primary_eth1_ip_address:5480 an.
  2. Wählen Sie Systemkonfiguration im linken Fensterbereich aus.
  3. Zeigen Sie den Status des FIPS-Modus der Appliance und der Zelle auf jedem Knoten an.