È possibile configurare l'appliance VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.

Lo standard FIPS (Federal Information Processing Standard) 140-2 è uno standard governativo di USA e Canada che definisce i requisiti di sicurezza per i moduli crittografici. Il programma CMVP (Cryptographic Module Validation Program) NIST convalida i moduli crittografici conformi agli standard FIPS 140-2.

L'obiettivo del supporto FIPS di VMware Cloud Director è facilitare le attività di conformità e sicurezza in diversi ambienti regolamentati. Per ulteriori informazioni sul supporto per FIPS 140-2 nei prodotti VMware, vedere https://www.vmware.com/security/certifications/fips.html.

La crittografia con convalida FIPS di VMware Cloud Director è disattivata per impostazione predefinita. Attivando la modalità FIPS, si configura VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.

Importante: Quando si attiva la modalità FIPS, l'integrazione con vRealize Orchestrator non funziona.

VMware Cloud Director utilizza i seguenti moduli crittografici convalidati FIPS 140-2:

  • VMware BC-FJA (Bouncy Castle FIPS Java API), versione 1.0.2.3: certificato n. 3673 (nella revisione NIST per 1.0.2.3. Approvato per la versione 1.0.2.1. Modulo FIPS Bouncy Castle corrispondente approvato per la versione 1.0.2.3 per il certificato n. 3514)
  • VMware OpenSSL FIPS Object Module, versione 2.0.20-vmw: certificato n. 3857
Quando si utilizza l'appliance di VMware Cloud Director, per configurare l'appliance per l'esecuzione in modalità conforme a FIPS, è necessario gestire sia la modalità FIPS dell'appliance sia la modalità FIPS della cella.
  • La modalità FIPS dell'appliance è la modalità del sistema operativo dell'appliance sottostante, del database incorporato e di varie librerie di sistema.
  • La modalità FIPS della cella è la modalità della cella di VMware Cloud Director in esecuzione in ogni appliance.

Per attivare e disattivare la modalità FIPS di VMware Cloud Director in Linux, vedere Abilitazione della modalità FIPS nelle celle del gruppo di server.

Prerequisiti

  • Se la raccolta delle metriche è attivata, verificare che i certificati di Cassandra seguano lo standard di certificato X.509 v3 e includano tutte le estensioni necessarie. È necessario configurare Cassandra con le stesse suite di crittografia utilizzate da VMware Cloud Director. Per informazioni sulle crittografie SSL consentite, vedere Gestione dell'elenco di crittografie SSL consentite.
  • Se si desidera utilizzare la crittografia SAML, è necessario rigenerare una delle coppie di chiavi per le organizzazioni esistenti e scambiare nuovamente i metadati SAML. Le organizzazioni create con VMware Cloud Director 10.2.x e versioni precedenti hanno due coppie di chiavi identiche ed è necessario rigenerare una delle coppie di chiavi. Le organizzazioni create con VMware Cloud Director 10.3 e versioni successive hanno due coppie di chiavi distinte e non è necessario rigenerarle.

Procedura

  1. Nella barra di navigazione superiore del Service Provider Admin Portal, selezionare Amministrazione.
  2. Nel pannello sinistro, in Impostazioni selezionare SSL.
  3. Attivare o disattivare la modalità FIPS nelle celle del gruppo di server.
    Opzione Descrizione
    Attiva
    1. Fare clic su Abilita.
    2. Verificare che il sistema soddisfi tutti i requisiti FIPS e fare clic su Abilita per avviare il processo.
    Disattiva
    1. Fare clic su Disabilita.
    2. Verificare di aver compreso che è necessario riavviare le celle per disattivare la modalità FIPS e fare clic su Disabilita.

    Al termine della configurazione, in VMware Cloud Director viene visualizzato il messaggio Abilitazione in corso (in attesa del riavvio delle celle) o Disabilitazione in corso (in attesa del riavvio delle celle) ed è possibile continuare con il passaggio 4. Quando si attiva o si disattiva la modalità FIPS dall'interfaccia utente di gestione dell'appliance, l'appliance di VMware Cloud Director riavvia automaticamente le celle.

  4. Accedere come root all'interfaccia utente di gestione dell'appliance all'indirizzo https://appliance_eth1_IP_address:5480.
  5. Nel pannello a sinistra, selezionare la scheda Configurazione di sistema.
  6. Per attivare o disattivare la modalità FIPS dell'appliance, fare clic sul pulsante Abilita o Disabilita per il nodo a cui si è connessi.
    È possibile attivare o disattivare la modalità FIPS dell'appliance solo nel nodo a cui si è connessi.
  7. Confermare l'azione e verificare che la modalità FIPS sia attivata o disattivata correttamente.
  8. Ripetere i passaggi da 4 a 7 per ogni appliance, ad esempio per i tipi primaria, standby e applicazione.

Operazioni successive

Per verificare lo stato delle celle, vedere Visualizzazione della modalità FIPS dell'appliance di VMware Cloud Director.