Vous pouvez configurer VMware Cloud Director sur Linux pour utiliser les modules de chiffrement validés FIPS 140- 2 et pour qu'ils s'exécutent en mode compatible FIPS.

La norme fédérale de traitement de l'information (FIPS, Federal Information Processing Standard) 140-2 est une norme gouvernementale des États-Unis et du Canada qui spécifie les exigences de sécurité des modules de chiffrement. Le programme de validation des modules de chiffrement (CMVP) NIST valide les modules de chiffrement conformes aux normes FIPS 140-2.

L'objectif de la prise en charge de VMware Cloud Director FIPS est de faciliter les activités de conformité et de sécurité dans divers environnements régulés. Pour en savoir plus sur la prise en charge de la norme FIPS 140- 2 dans les produits VMware, consultez https://www.vmware.com/security/certifications/fips.html.

Dans VMware Cloud Director, le chiffrement validé par FIPS est désactivé par défaut. En activant le mode FIPS, vous configurez VMware Cloud Director pour utiliser les modules de chiffrement validés FIPS 140- 2 et pour qu'il s'exécute en mode compatible FIPS.

Important : Lorsque vous activez le mode FIPS, l'intégration à VMware Aria Automation Orchestrator ne fonctionne pas.

VMware Cloud Director utilise les modules de chiffrement validés FIPS 140-2 suivants :

  • VMware BC-FJA (Bouncy Castle FIPS Java API), version 1.0.2.3 : Certificate #3673 (en cours de vérification par le NIST pour la version 1.0.2.3. Approuvé pour la version 1.0.2.1. Module FIPS Bouncy Castle correspondant approuvé pour la version 1.0.2.3 par Certificate #3514)
  • VMware OpenSSL FIPS Object Module, version 2.0.20-vmw : Certificate #3857

Pour plus d'informations sur l'activation du mode FIPS sur le dispositif VMware Cloud Director, reportez-vous à la section Activer ou désactiver le mode FIPS sur le dispositif VMware Cloud Director.

Conditions préalables

  • Installez et activez l'ensemble d'utilitaires rng-tools. Reportez-vous à la section https://wiki.archlinux.org/index.php/Rng-tools.
  • Si la collecte de mesures est activée, vérifiez que les certificats Cassandra suivent la norme de certificat X.509 v3 et incluent toutes les extensions nécessaires. Vous devez configurer Cassandra avec les suites de chiffrement utilisées par VMware Cloud Director. Pour plus d'informations sur les chiffrements SSL autorisés, consultez Gestion de la liste des chiffrements SSL autorisés.
  • Si vous souhaitez utiliser le chiffrement SAML, vous devez générer à nouveau l'une des paires de clés pour les organisations existantes et échanger à nouveau les métadonnées SAML. Les organisations créées avec VMware Cloud Director 10.2.x et versions ultérieures ont deux paires de clés identiques, et vous devez générer à nouveau l'une de celles-ci. Les organisations créées avec VMware Cloud Director 10.3 et versions ultérieures ont deux paires de clés distinctes et vous n'avez pas besoin de les générer à nouveau.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Administration.
  2. Dans le panneau de gauche, sous Paramètres, sélectionnez SSL.
  3. Cliquez sur Activer.
  4. Confirmez que votre environnement répond à toutes les conditions préalables à l'activation du mode FIPS.
    Si votre environnement ne répond pas à toutes les conditions préalables avant de démarrer la configuration du mode FIPS, VMware Cloud Director peut devenir inaccessible.
  5. Pour confirmer le démarrage du processus, cliquez sur Activer.
    Lorsque la configuration se termine, VMware Cloud Director affiche un message demandant de redémarrer vos cellules de cloud.
  6. Après que VMware Cloud Director a affiché un message demandant de redémarrer vos cellules de cloud, redémarrez chaque cellule du groupe de serveurs VMware Cloud Director.

Que faire ensuite

  • Désactivez le mode FIPS en cliquant sur Désactiver, puis, lorsque VMware Cloud Director indique que la configuration est prête, redémarrez les cellules.
  • Vous pouvez afficher l'état FIPS des cellules VMware Cloud Director actives à l'aide de la commande CMT de fips-mode. Consultez Afficher l'état FIPS de toutes les cellules actives dans le Guide d'installation, de configuration et de mise à niveau de VMware Cloud Director.
  • Pour éviter les vulnérabilités d'injection d'en-tête d'hôte, activez la vérification de l'en-tête de l'hôte.
    1. Connectez-vous directement ou à l'aide d'un client SSH à la console de VMware Cloud Director en tant qu'utilisateur racine.
    2. Activez la vérification de l'en-tête de l'hôte à l'aide de l'outil de gestion des cellules.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true