Puede configurar el dispositivo de VMware Cloud Director para que use módulos criptográficos validados por FIPS 140-2 y para que se ejecute en modo conforme con FIPS.

El Estándar federal de procesamiento de información (FIPS) 140-2 es un estándar de los gobiernos de EE. UU. y Canadá que especifica los requisitos de seguridad para módulos criptográficos. El Programa de validación de módulos criptográficos (CMVP) de NIST valida los módulos criptográficos conformes con el estándar FIPS 140-2.

La conformidad con FIPS de VMware Cloud Director tiene como objetivo facilitar las actividades de cumplimiento y seguridad en varios entornos regulados. Para obtener más información sobre la conformidad con FIPS 140-2 de los productos de VMware, consulte https://www.vmware.com/security/certifications/fips.html.

La criptografía validada por FIPS en VMware Cloud Director está desactivada de forma predeterminada. Al activar el modo FIPS, se configura VMware Cloud Director para que use módulos criptográficos validados por FIPS 140-2 y se ejecute en modo conforme con FIPS.

Importante: Cuando se activa el modo FIPS, la integración con VMware Aria Automation Orchestrator no funciona.

VMware Cloud Director usa los siguientes módulos criptográficos validados por FIPS 140-2:

  • BC-FJA (Bouncy Castle FIPS Java API) de VMware, versión 1.0.2.3: Certificado #3673 (bajo revisión de NIST para 1.0.2.3. Aprobado para la versión 1.0.2.1. Módulo Bouncy Castle FIPS correspondiente aprobado para la versión 1.0.2.3 según Certificado #3514)
  • VMware OpenSSL FIPS Object Module, versión 2.0.20-vmw: certificado #3857
Cuando se utiliza el dispositivo de VMware Cloud Director, para configurarlo para que se ejecute en modo conforme con FIPS, debe administrar tanto el modo FIPS del dispositivo como el modo FIPS de las celdas.
  • El modo FIPS del dispositivo es el modo del sistema operativo subyacente del dispositivo, de la base de datos integrada y de varias bibliotecas del sistema.
  • El modo FIPS de celdas es el modo de las celdas de VMware Cloud Director que se ejecuta en cada dispositivo.

Para activar y desactivar el modo FIPS en VMware Cloud Director en Linux, consulte Habilitar el modo FIPS en las celdas del grupo de servidores.

Requisitos previos

  • Si la recopilación de métricas está activada, compruebe que los certificados de Cassandra sigan el estándar de certificados X.509 v3 e incluyan todas las extensiones necesarias. Debe configurar Cassandra con los mismos conjuntos de claves de cifrado que utiliza VMware Cloud Director. Para obtener información sobre los cifrados SSL permitidos, consulte Administrar la lista de cifrados SSL permitidos.
  • Si desea utilizar el cifrado SAML, debe volver a generar uno de los pares de claves para las organizaciones existentes y volver a intercambiar los metadatos SAML. Las organizaciones creadas con VMware Cloud Director 10.2.x y versiones anteriores tienen dos pares de claves idénticos, y se debe volver a generar uno de los pares de claves. Las organizaciones creadas con VMware Cloud Director 10.3 y versiones posteriores tienen dos pares de claves distintos, y no es necesario volver a generar ninguno de ellos.

Procedimiento

  1. En la barra de navegación superior de Service Provider Admin Portal, seleccione Administración.
  2. En el panel izquierdo, en Configuración, seleccione SSL.
  3. Active o desactive el modo FIPS en las celdas del grupo de servidores.
    Opción Descripción
    Activar
    1. Haga clic en Habilitar.
    2. Confirme que el sistema cumple todos los requisitos de FIPS, que desea iniciar el proceso y haga clic en Habilitar.
    Desactivar
    1. Haga clic en Deshabilitar.
    2. Confirme que entiende que debe reiniciar las celdas para desactivar el modo FIPS y haga clic en Deshabilitar.

    Cuando finaliza la configuración, VMware Cloud Director muestra un mensaje Habilitación en curso (esperando el reinicio de las celdas) o Deshabilitación en curso (esperando el reinicio de las celdas) y puede continuar con el paso 4. Cuando se activa o desactiva el modo FIPS desde la interfaz de usuario de administración de dispositivos, el dispositivo de VMware Cloud Director reinicia automáticamente las celdas.

  4. Inicie sesión como usuario raíz en la interfaz de usuario de administración de dispositivos en https://appliance_eth1_IP_address:5480.
  5. En el panel izquierdo, seleccione la pestaña Configuración del sistema.
  6. Para activar o desactivar el modo FIPS del dispositivo, haga clic en el botón Habilitar o Deshabilitar del nodo en el que ha iniciado sesión.
    Puede activar o desactivar el modo FIPS del dispositivo solo en el nodo en el que ha iniciado sesión.
  7. Confirme la acción y compruebe que el modo FIPS esté activado o desactivado correctamente.
  8. Repita los pasos 4 a 7 para cada dispositivo, por ejemplo, para los tipos principal, en espera y aplicación.

Qué hacer a continuación

  • Para confirmar el estado de las celdas, consulte Ver el modo FIPS del dispositivo de VMware Cloud Director.
  • Para evitar vulnerabilidades de inserción de encabezados de host, active la verificación de encabezados de host.
    1. Inicie sesión directamente o utilice un cliente SSH en la consola de VMware Cloud Director como raíz.
    2. Active la verificación de encabezados de host mediante la herramienta de administración de celdas.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

Ver el modo FIPS del dispositivo de VMware Cloud Director

Puede utilizar la interfaz de usuario de administración de dispositivos de VMware Cloud Director para ver el modo FIPS de su dispositivo.

Cuando se utiliza el dispositivo de VMware Cloud Director, para configurar el dispositivo de VMware Cloud Director para que se ejecute en modo conforme con FIPS, debe administrar tanto el modo FIPS del dispositivo como el modo FIPS de las celdas.

  • El modo FIPS del dispositivo es el modo del sistema operativo subyacente del dispositivo, de la base de datos integrada y de varias bibliotecas del sistema.
  • El modo FIPS de celdas es el modo de las celdas de VMware Cloud Director que se ejecuta en cada dispositivo.
En la pestaña Configuración del sistema de la interfaz de usuario de administración de dispositivos de VMware Cloud Director, encontrará la información del modo FIPS.
Tabla 1. Estado del modo FIPS
Estado Descripción
Marca de verificación verde Los modos FIPS del dispositivo y de las celdas coinciden. Ambos modos están activados o desactivados.
Signo de exclamación amarillo El modo FIPS de las celdas está en estado Pending restart. Utilice la API del dispositivo para activar o desactivar el modo FIPS del dispositivo. Al cambiar el modo FIPS del dispositivo, se reinicia automáticamente el servicio de celdas de VMware Cloud Director.
Signo de exclamación rojo El dispositivo VMware Cloud Director no puede determinar el modo FIPS de las celdas. El servicio de VMware Cloud Director con errores en el dispositivo puede provocar que el modo FIPS de las celdas sea indeterminado.

Requisitos previos

Activar o desactivar el modo FIPS en un dispositivo de VMware Cloud Director

Procedimiento

  1. Inicie sesión como usuario raíz en la interfaz de usuario de administración de dispositivos en https://primary_eth1_ip_address:5480.
  2. En el panel de la izquierda, seleccione Configuración del sistema.
  3. Vea el estado del modo FIPS del dispositivo y de las celdas en cada nodo.