Vous pouvez configurer votre dispositif VMware Cloud Director pour utiliser les modules de chiffrement validés FIPS 140-2 et pour qu'ils s'exécutent en mode compatible FIPS.

La norme fédérale de traitement de l'information (FIPS, Federal Information Processing Standard) 140-2 est une norme gouvernementale des États-Unis et du Canada qui spécifie les exigences de sécurité des modules de chiffrement. Le programme de validation des modules de chiffrement (CMVP) NIST valide les modules de chiffrement conformes aux normes FIPS 140-2.

L'objectif de la prise en charge de VMware Cloud Director FIPS est de faciliter les activités de conformité et de sécurité dans divers environnements régulés. Pour en savoir plus sur la prise en charge de la norme FIPS 140- 2 dans les produits VMware, consultez https://www.vmware.com/security/certifications/fips.html.

Par défaut, le chiffrement validé par FIPS de VMware Cloud Director est désactivé. En activant le mode FIPS, vous configurez VMware Cloud Director pour utiliser les modules de chiffrement validés FIPS 140- 2 et pour qu'il s'exécute en mode compatible FIPS.

Important : Lorsque vous activez le mode FIPS, l'intégration à VMware Aria Automation Orchestrator ne fonctionne pas.

VMware Cloud Director utilise les modules de chiffrement validés FIPS 140-2 suivants :

  • VMware BC-FJA (Bouncy Castle FIPS Java API), version 1.0.2.3 : Certificate #3673 (en cours de vérification par le NIST pour la version 1.0.2.3. Approuvé pour la version 1.0.2.1. Module FIPS Bouncy Castle correspondant approuvé pour la version 1.0.2.3 par Certificate #3514)
  • VMware OpenSSL FIPS Object Module, version 2.0.20-vmw : Certificate #3857
Lorsque vous utilisez le dispositif VMware Cloud Director, pour configurer le dispositif pour qu'il s'exécute en mode compatible FIPS, vous devez gérer le mode FIPS du dispositif et le mode FIPS de la cellule.
  • Le mode FIPS du dispositif est le mode du système d'exploitation du dispositif sous-jacent, de la base de données intégrée et de diverses bibliothèques système.
  • Le mode FIPS de la cellule est le mode de la cellule VMware Cloud Director s'exécutant sur chaque dispositif.

Pour activer et désactiver le mode FIPS sur VMware Cloud Director sous Linux, consultez Activer le mode FIPS sur les cellules du groupe de serveurs.

Conditions préalables

  • Si la collecte de mesures est activée, vérifiez que les certificats Cassandra suivent la norme de certificat X.509 v3 et incluent toutes les extensions nécessaires. Vous devez configurer Cassandra avec les suites de chiffrement utilisées par VMware Cloud Director. Pour plus d'informations sur les chiffrements SSL autorisés, consultez Gestion de la liste des chiffrements SSL autorisés.
  • Si vous souhaitez utiliser le chiffrement SAML, vous devez générer à nouveau l'une des paires de clés pour les organisations existantes et échanger à nouveau les métadonnées SAML. Les organisations créées avec VMware Cloud Director 10.2.x et versions ultérieures ont deux paires de clés identiques, et vous devez générer à nouveau l'une de celles-ci. Les organisations créées avec VMware Cloud Director 10.3 et versions ultérieures ont deux paires de clés distinctes et vous n'avez pas besoin de les générer à nouveau.

Procédure

  1. Dans la barre de navigation supérieure du Service Provider Admin Portal, sélectionnez Administration.
  2. Dans le panneau de gauche, sous Paramètres, sélectionnez SSL.
  3. Activez ou désactivez le mode FIPS sur les cellules du groupe de serveurs.
    Option Description
    Activer
    1. Cliquez sur Activer.
    2. Vérifiez que votre système répond à toutes les exigences FIPS et confirmez que vous souhaitez démarrer le processus, puis cliquez sur Activer.
    Désactiver
    1. Cliquez sur Désactiver.
    2. Confirmez que vous comprenez que vous devez redémarrer les cellules pour désactiver le mode FIPS, puis cliquez sur Désactiver.

    Lorsque la configuration se termine, VMware Cloud Director affiche le message Activation en cours (en attente de redémarrage des cellules) ou Désactivation en cours (en attente du redémarrage des cellules) et vous pouvez passer à l'étape 4. Lorsque vous activez ou désactivez le mode FIPS à partir de l'interface utilisateur de gestion du dispositif, le dispositif VMware Cloud Director redémarre automatiquement les cellules.

  4. Connectez-vous en tant qu'utilisateur racine à l'interface utilisateur de gestion de dispositif à l'adresse https://appliance_eth1_IP_address:5480.
  5. Dans le panneau de gauche, sélectionnez l'onglet Configuration du système.
  6. Pour activer ou désactiver le mode FIPS du dispositif, cliquez sur le bouton Activer ou Désactiver du nœud auquel vous êtes connecté.
    Vous pouvez activer ou désactiver le mode FIPS du dispositif uniquement sur le nœud sur lequel vous êtes connecté.
  7. Confirmez l'action et vérifiez que le mode FIPS est activé ou désactivé.
  8. Répétez les étapes 4 à 7 pour chaque dispositif, par exemple, les types principal, en veille et d'application.

Que faire ensuite

  • Pour confirmer l'état des cellules, consultez Afficher le mode FIPS de votre dispositif VMware Cloud Director.
  • Pour éviter les vulnérabilités d'injection d'en-tête d'hôte, activez la vérification de l'en-tête de l'hôte.
    1. Connectez-vous directement ou à l'aide d'un client SSH à la console de VMware Cloud Director en tant qu'utilisateur racine.
    2. Activez la vérification de l'en-tête de l'hôte à l'aide de l'outil de gestion des cellules.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

Afficher le mode FIPS de votre dispositif VMware Cloud Director

Vous pouvez utiliser l'interface utilisateur de gestion du dispositif VMware Cloud Director pour afficher le mode FIPS de votre dispositif.

Lors de l'utilisation du dispositif VMware Cloud Director, pour configurer le dispositif VMware Cloud Director pour qu'il s'exécute en mode compatible FIPS, vous devez gérer le mode FIPS du dispositif et le mode FIPS de la cellule.

  • Le mode FIPS du dispositif est le mode du système d'exploitation du dispositif sous-jacent, de la base de données intégrée et de diverses bibliothèques système.
  • Le mode FIPS de la cellule est le mode de la cellule VMware Cloud Director en cours d'exécution sur chaque dispositif.
Dans l'onglet Configuration système de l'interface utilisateur de gestion du dispositif VMware Cloud Director, vous trouverez des informations sur le mode FIPS.
Tableau 1. État du mode FIPS
Santé Description
Coche verte Les modes FIPS du dispositif et de la cellule correspondent. Les deux modes sont activés ou désactivés.
Point d'exclamation jaune Le mode FIPS de la cellule est dans un état Redémarrage en attente. Utilisez l'API du dispositif pour activer ou désactiver le mode FIPS du dispositif. La modification du mode FIPS du dispositif redémarre automatiquement le service de cellule VMware Cloud Director.
Point d'exclamation rouge Le dispositif VMware Cloud Director ne peut pas déterminer le mode FIPS de la cellule. Le service VMware Cloud Director en échec sur le dispositif peut entraîner la non-détermination du mode FIPS de la cellule.

Conditions préalables

Activer ou désactiver le mode FIPS sur votre dispositif VMware Cloud Director

Procédure

  1. Connectez-vous en tant qu'utilisateur racine à l'interface utilisateur de gestion de dispositif à l'adresse https://primary_eth1_ip_address:5480.
  2. Sur le panneau de gauche, sélectionnez Configuration système.
  3. Affichez l'état du dispositif et du mode FIPS des cellules sur chaque nœud.