A partire dalla versione 10.2.2, è possibile configurare l'appliance di VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.
Lo standard FIPS (Federal Information Processing Standard) 140-2 è uno standard governativo di USA e Canada che definisce i requisiti di sicurezza per i moduli crittografici. Il programma CMVP (Cryptographic Module Validation Program) NIST convalida i moduli crittografici conformi agli standard FIPS 140-2.
L'obiettivo del supporto FIPS di VMware Cloud Director è facilitare le attività di conformità e sicurezza in diversi ambienti regolamentati. Per ulteriori informazioni sul supporto per FIPS 140-2 nei prodotti VMware, vedere https://www.vmware.com/security/certifications/fips.html.
La crittografia con convalida FIPS di VMware Cloud Director è disattivata per impostazione predefinita. Attivando la modalità FIPS, si configura VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.
VMware Cloud Director utilizza i seguenti moduli crittografici convalidati FIPS 140-2:
- VMware BC-FJA (Bouncy Castle FIPS Java API), versione 1.0.2.1: certificato n. 3673
- VMware OpenSSL FIPS Object Module, versione 2.0.20-vmw: certificato n. 3857
- La modalità FIPS dell'appliance è la modalità del sistema operativo dell'appliance sottostante, del database incorporato e di varie librerie di sistema.
- La modalità FIPS della cella è la modalità della cella di VMware Cloud Director in esecuzione in ogni appliance.
Per attivare e disattivare la modalità FIPS di VMware Cloud Director in Linux, vedere Abilitazione della modalità FIPS nelle celle del gruppo di server.
Prerequisiti
- Se la raccolta delle metriche è attivata, verificare che i certificati di Cassandra seguano lo standard di certificato X.509 v3 e includano tutte le estensioni necessarie. È necessario configurare Cassandra con le stesse suite di crittografia utilizzate da VMware Cloud Director. Per informazioni sulle crittografie SSL consentite, vedere Gestione dell'elenco di crittografie SSL consentite.
- Se si desidera utilizzare la crittografia SAML, è necessario rigenerare una delle coppie di chiavi per le organizzazioni esistenti e scambiare nuovamente i metadati SAML. Le organizzazioni create con VMware Cloud Director 10.2.x e versioni precedenti hanno due coppie di chiavi identiche ed è necessario rigenerare una delle coppie di chiavi. Le organizzazioni create con VMware Cloud Director 10.3 e versioni successive hanno due coppie di chiavi distinte e non è necessario rigenerarle.