Le mode FIPS active les suites de chiffrement conformes aux FIPS. Toutes les communications sécurisées en provenance ou à destination du dispositif NSX Edge utilisent alors des protocoles ou des algorithmes cryptographiques qui sont autorisés par FIPS.

Attention : La modification du mode FIPS entraîne le redémarrage du dispositif NSX Edge avec une interruption de trafic temporaire. Cela est valable que la haute disponibilité soit activée ou non.

Selon vos besoins, vous pouvez activer FIPS sur tout ou partie de vos dispositifs NSX Edge. Les dispositifs NSX Edge avec FIPS peuvent communiquer avec les dispositifs NSX Edge sans FIPS.

Si un routeur logique (distribué) est déployé sans dispositif NSX Edge, vous ne pouvez pas modifier le mode FIPS. Le routeur logique prend automatiquement le mode FIPS comme le cluster NSX Controller. Sur les clusters NSX Controller avec NSX 6.3.0 ou ultérieure, FIPS est activé.

Pour modifier le mode FIPS sur un routeur logique universel (distribué) dans un environnement cross-vCenter NSX avec plusieurs dispositifs NSX Edge déployés sur les instances principale et secondaire de NSX Manager, vous devez modifier le mode FIPS sur tous les dispositifs NSX Edge associés au routeur logique universel (distribué) sur l'instance principale de NSX Manager.

Si vous modifiez le mode FIPS sur des dispositifs NSX Edge haute disponibilité, FIPS sera activé sur tous les dispositifs qui seront redémarrés l'un après l'autre.

Pour changer le mode FIPS sur un dispositif Edge autonome, exécutez la commande fips enable ou fips disable. Pour plus d'informations, consultez la Référence de l'interface de ligne de commandes de NSX.

Conditions préalables

  • Vérifiez que des solutions de partenaire sont certifiées pour le mode FIPS. Reportez-vous au Guide de compatibilité de VMware à l'adresse http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.
  • Si vous avez procédé à une mise à niveau d'une version antérieure de NSX, n'activez pas le mode FIPS avant la fin de la mise à niveau vers NSX 6.3.0. Consultez la rubrique relative au mode FIPS et à la mise à niveau de NSX dans le guide Guide de mise à niveau de NSX.
  • La version de NSX Manager doit être NSX 6.3.0 ou une version ultérieure.
  • La version du cluster NSX Controller doit être NSX 6.3.0 ou une version ultérieure.
  • Tous les clusters d'hôtes qui utilisent des charges de travail NSX doivent être préparés pour NSX 6.3.0 ou une version ultérieure.
  • Vérifiez que la version de tous les dispositifs NSX Edge sur lesquels vous voulez activer FIPS est la version 6.3.0 ou ultérieure.
  • Vérifiez que le statut de l'infrastructure de messagerie est VERT. Utilisez la méthode API GET /api/2.0/nwfabric/status?resource={resourceId}, avec resourceId comme MOID vCenter d'un hôte ou d'un cluster. Cherchez le statut correspondant à l'identifiant featureId de com.vmware.vshield.vsm.messagingInfra dans le texte de la réponse :
    <nwFabricFeatureStatus>
                <featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
                <updateAvailable>false</updateAvailable>
                <status>GREEN</status>
                <installed>true</installed>
                <enabled>true</enabled>
                <allowConfiguration>false</allowConfiguration>
            </nwFabricFeatureStatus>

Procédure

  1. Connectez-vous à vSphere Web Client.
  2. Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
  3. Sélectionnez le dispositif Edge ou le routeur adéquat, cliquez sur Actions (Actions) () et sélectionnez Modifier le mode FIPS (Change FIPS mode).
    La boîte de dialogue Modifier le mode FIPS (Change FIPS mode) s'affiche.

  4. Cochez ou décochez la case Activer FIPS (Enable FIPS). Cliquez sur OK.
    Le dispositif NSX Edge redémarre et FIPS est activé.

Que faire ensuite

Vous pouvez éventuellement Modifier le mode FIPS et les paramètres TLS sur NSX Manager.