È possibile configurare VMware Cloud Director in Linux per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.

Lo standard FIPS (Federal Information Processing Standard) 140-2 è uno standard governativo di USA e Canada che definisce i requisiti di sicurezza per i moduli crittografici. Il programma CMVP (Cryptographic Module Validation Program) NIST convalida i moduli crittografici conformi agli standard FIPS 140-2.

L'obiettivo del supporto FIPS di VMware Cloud Director è facilitare le attività di conformità e sicurezza in diversi ambienti regolamentati. Per ulteriori informazioni sul supporto per FIPS 140-2 nei prodotti VMware, vedere https://www.vmware.com/security/certifications/fips.html.

In VMware Cloud Director, la crittografia con convalida FIPS è disattivata per impostazione predefinita. Attivando la modalità FIPS, si configura VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.

Importante: Quando si attiva la modalità FIPS, l'integrazione con VMware Aria Automation Orchestrator non funziona.

VMware Cloud Director utilizza i seguenti moduli crittografici convalidati FIPS 140-2:

  • VMware BC-FJA (Bouncy Castle FIPS Java API), versione 1.0.2.3: certificato n. 3673 (nella revisione NIST per 1.0.2.3. Approvato per la versione 1.0.2.1. Modulo FIPS Bouncy Castle corrispondente approvato per la versione 1.0.2.3 per il certificato n. 3514)
  • VMware OpenSSL FIPS Object Module, versione 2.0.20-vmw: certificato n. 3857

Per informazioni sull'attivazione della modalità FIPS nell'appliance di VMware Cloud Director, vedere Attivazione o disattivazione della modalità FIPS nell'appliance di VMware Cloud Director.

Prerequisiti

  • Installare e attivare il set di utilità rng-tools. Vedere https://wiki.archlinux.org/index.php/Rng-tools.
  • Se la raccolta delle metriche è attivata, verificare che i certificati di Cassandra seguano lo standard di certificato X.509 v3 e includano tutte le estensioni necessarie. È necessario configurare Cassandra con le stesse suite di crittografia utilizzate da VMware Cloud Director. Per informazioni sulle crittografie SSL consentite, vedere Gestione dell'elenco di crittografie SSL consentite.
  • Se si desidera utilizzare la crittografia SAML, è necessario rigenerare una delle coppie di chiavi per le organizzazioni esistenti e scambiare nuovamente i metadati SAML. Le organizzazioni create con VMware Cloud Director 10.2.x e versioni precedenti hanno due coppie di chiavi identiche ed è necessario rigenerare una delle coppie di chiavi. Le organizzazioni create con VMware Cloud Director 10.3 e versioni successive hanno due coppie di chiavi distinte e non è necessario rigenerarle.

Procedura

  1. Nel riquadro di navigazione principale a sinistra, selezionare Amministrazione.
  2. Nel pannello sinistro, in Impostazioni selezionare SSL.
  3. Fare clic su Abilita.
  4. Verificare che l'ambiente soddisfi tutti i prerequisiti per l'attivazione della modalità FIPS.
    Se l'ambiente non soddisfa tutti i prerequisiti prima di iniziare la configurazione della modalità FIPS, VMware Cloud Director potrebbe diventare inaccessibile.
  5. Per confermare che si desidera avviare il processo, fare clic su Abilita.
    Al termine della configurazione, in VMware Cloud Director viene visualizzato un messaggio che chiede di riavviare le celle cloud.
  6. Quando in VMware Cloud Director viene visualizzato il messaggio per il riavvio delle celle cloud, riavviare tutte le celle nel gruppo di server di VMware Cloud Director.

Operazioni successive

  • Disattivare la modalità FIPS facendo clic su Disabilita. Quando VMware Cloud Director indica che la configurazione è pronta, riavviare le celle.
  • È possibile visualizzare lo stato FIPS delle celle di VMware Cloud Director attive utilizzando il comando CMT fips-mode. Vedere Visualizzazione dello stato FIPS di tutte le celle attive in Guida all'installazione, alla configurazione e all'aggiornamento di VMware Cloud Director.
  • Per evitare vulnerabilità di inserimento dell'intestazione host, attivare la verifica dell'intestazione dell'host.
    1. Accedere alla console di VMware Cloud Director come root direttamente o utilizzando un client SSH.
    2. Attivare la verifica dell'intestazione dell'host utilizzando lo strumento di gestione delle celle.
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true