È possibile configurare l'appliance VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.

Lo standard FIPS (Federal Information Processing Standard) 140-2 è uno standard governativo di USA e Canada che definisce i requisiti di sicurezza per i moduli crittografici. Il programma CMVP (Cryptographic Module Validation Program) NIST convalida i moduli crittografici conformi agli standard FIPS 140-2.

L'obiettivo del supporto FIPS di VMware Cloud Director è facilitare le attività di conformità e sicurezza in diversi ambienti regolamentati. Per ulteriori informazioni sul supporto per FIPS 140-2 nei prodotti VMware, vedere https://www.vmware.com/security/certifications/fips.html.

La crittografia con convalida FIPS di VMware Cloud Director è disattivata per impostazione predefinita. Attivando la modalità FIPS, si configura VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.

Importante: Quando si attiva la modalità FIPS, l'integrazione con VMware Aria Automation Orchestrator non funziona.

VMware Cloud Director utilizza i seguenti moduli crittografici convalidati FIPS 140-2:

  • VMware BC-FJA (Bouncy Castle FIPS Java API), versione 1.0.2.3: certificato n. 3673 (nella revisione NIST per 1.0.2.3. Approvato per la versione 1.0.2.1. Modulo FIPS Bouncy Castle corrispondente approvato per la versione 1.0.2.3 per il certificato n. 3514)
  • VMware OpenSSL FIPS Object Module, versione 2.0.20-vmw: certificato n. 3857
Quando si utilizza l'appliance di VMware Cloud Director, per configurare l'appliance per l'esecuzione in modalità conforme a FIPS, è necessario gestire sia la modalità FIPS dell'appliance sia la modalità FIPS della cella.
  • La modalità FIPS dell'appliance è la modalità del sistema operativo dell'appliance sottostante, del database incorporato e di varie librerie di sistema.
  • La modalità FIPS della cella è la modalità della cella di VMware Cloud Director in esecuzione in ogni appliance.

Per attivare e disattivare la modalità FIPS di VMware Cloud Director in Linux, vedere Abilitazione della modalità FIPS nelle celle del gruppo di server.

Prerequisiti

  • Se la raccolta delle metriche è attivata, verificare che i certificati di Cassandra seguano lo standard di certificato X.509 v3 e includano tutte le estensioni necessarie. È necessario configurare Cassandra con le stesse suite di crittografia utilizzate da VMware Cloud Director. Per informazioni sulle crittografie SSL consentite, vedere Gestione dell'elenco di crittografie SSL consentite.
  • Se si desidera utilizzare la crittografia SAML, è necessario rigenerare una delle coppie di chiavi per le organizzazioni esistenti e scambiare nuovamente i metadati SAML. Le organizzazioni create con VMware Cloud Director 10.2.x e versioni precedenti hanno due coppie di chiavi identiche ed è necessario rigenerare una delle coppie di chiavi. Le organizzazioni create con VMware Cloud Director 10.3 e versioni successive hanno due coppie di chiavi distinte e non è necessario rigenerarle.

Procedura

  1. Nella barra di navigazione superiore del Service Provider Admin Portal, selezionare Amministrazione.
  2. Nel pannello sinistro, in Impostazioni selezionare SSL.
  3. Attivare o disattivare la modalità FIPS nelle celle del gruppo di server.
    Opzione Descrizione
    Attiva
    1. Fare clic su Abilita.
    2. Verificare che il sistema soddisfi tutti i requisiti FIPS e fare clic su Abilita per avviare il processo.
    Disattiva
    1. Fare clic su Disabilita.
    2. Verificare di aver compreso che è necessario riavviare le celle per disattivare la modalità FIPS e fare clic su Disabilita.

    Al termine della configurazione, in VMware Cloud Director viene visualizzato il messaggio Abilitazione in corso (in attesa del riavvio delle celle) o Disabilitazione in corso (in attesa del riavvio delle celle) ed è possibile continuare con il passaggio 4. Quando si attiva o si disattiva la modalità FIPS dall'interfaccia utente di gestione dell'appliance, l'appliance di VMware Cloud Director riavvia automaticamente le celle.

  4. Accedere come root all'interfaccia utente di gestione dell'appliance all'indirizzo https://appliance_eth1_IP_address:5480.
  5. Nel pannello a sinistra, selezionare la scheda Configurazione di sistema.
  6. Per attivare o disattivare la modalità FIPS dell'appliance, fare clic sul pulsante Abilita o Disabilita per il nodo a cui si è connessi.
    È possibile attivare o disattivare la modalità FIPS dell'appliance solo nel nodo a cui si è connessi.
  7. Confermare l'azione e verificare che la modalità FIPS sia attivata o disattivata correttamente.
  8. Ripetere i passaggi da 4 a 7 per ogni appliance, ad esempio per i tipi primaria, standby e applicazione.

Operazioni successive

  • Per verificare lo stato delle celle, vedere Visualizzazione della modalità FIPS dell'appliance di VMware Cloud Director.
  • Per evitare vulnerabilità di inserimento dell'intestazione host, attivare la verifica dell'intestazione dell'host.
    1. Accedere alla console di VMware Cloud Director come root direttamente o utilizzando un client SSH.
    2. Attivare la verifica dell'intestazione dell'host utilizzando lo strumento di gestione delle celle.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

Visualizzazione della modalità FIPS dell'appliance di VMware Cloud Director

È possibile utilizzare l'interfaccia utente di gestione dell'appliance di VMware Cloud Director per visualizzare la modalità FIPS dell'appliance.

Quando si utilizza l'appliance di VMware Cloud Director, per configurare l'appliance di VMware Cloud Director in modo che venga eseguita in modalità conforme a FIPS, è necessario gestire sia la modalità FIPS dell'appliance sia la modalità FIPS della cella.

  • La modalità FIPS dell'appliance è la modalità del sistema operativo dell'appliance sottostante, del database incorporato e di varie librerie di sistema.
  • La modalità FIPS della cella è la modalità della cella di VMware Cloud Director in esecuzione in ogni appliance.
La scheda Configurazione di sistema dell'interfaccia utente di gestione dell'appliance di VMware Cloud Director include informazioni sulla modalità FIPS.
Tabella 1. Stato della modalità FIPS
Integrità Descrizione
Segno di spunta verde Le modalità FIPS dell'appliance e della cella corrispondono. Entrambe le modalità sono attivate o disattivate.
Punto esclamativo giallo La modalità FIPS della cella ha stato Pending restart. Utilizzare l'API dell'appliance per attivare o disattivare la modalità FIPS dell'appliance. Se si modifica la modalità FIPS dell'appliance, il servizio della cella di VMware Cloud Director viene riavviato automaticamente.
Punto esclamativo rosso L'appliance di VMware Cloud Director non è in grado di determinare la modalità FIPS della cella. Se il servizio di VMware Cloud Director non riesce nell'appliance, la modalità FIPS della cella può essere indeterminata.

Prerequisiti

Attivazione o disattivazione della modalità FIPS nell'appliance VMware Cloud Director

Procedura

  1. Accedere come root all'interfaccia utente di gestione dell'appliance all'indirizzo https://primary_eth1_ip_address:5480.
  2. Nel riquadro sinistro, selezionare Configurazione di sistema.
  3. Visualizzare lo stato della modalità FIPS dell'appliance e della cella in ciascun nodo.