È possibile configurare VMware Cloud Director in Linux per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.
Lo standard FIPS (Federal Information Processing Standard) 140-2 è uno standard governativo di USA e Canada che definisce i requisiti di sicurezza per i moduli crittografici. Il programma CMVP (Cryptographic Module Validation Program) NIST convalida i moduli crittografici conformi agli standard FIPS 140-2.
L'obiettivo del supporto FIPS di VMware Cloud Director è facilitare le attività di conformità e sicurezza in diversi ambienti regolamentati. Per ulteriori informazioni sul supporto per FIPS 140-2 nei prodotti VMware, vedere https://www.vmware.com/security/certifications/fips.html.
In VMware Cloud Director, la crittografia con convalida FIPS è disattivata per impostazione predefinita. Attivando la modalità FIPS, si configura VMware Cloud Director per l'utilizzo di moduli crittografici convalidati FIPS 140-2 e l'esecuzione in modalità conforme a FIPS.
VMware Cloud Director utilizza i seguenti moduli crittografici convalidati FIPS 140-2:
- VMware BC-FJA (Bouncy Castle FIPS Java API), versione 1.0.2.3: certificato n. 3673 (nella revisione NIST per 1.0.2.3. Approvato per la versione 1.0.2.1. Modulo FIPS Bouncy Castle corrispondente approvato per la versione 1.0.2.3 per il certificato n. 3514)
- VMware OpenSSL FIPS Object Module, versione 2.0.20-vmw: certificato n. 3857
Per informazioni sull'attivazione della modalità FIPS nell'appliance di VMware Cloud Director, vedere Attivazione o disattivazione della modalità FIPS nell'appliance di VMware Cloud Director.
Prerequisiti
- Installare e attivare il set di utilità
rng-tools
. Vedere https://wiki.archlinux.org/index.php/Rng-tools. - Se la raccolta delle metriche è attivata, verificare che i certificati di Cassandra seguano lo standard di certificato X.509 v3 e includano tutte le estensioni necessarie. È necessario configurare Cassandra con le stesse suite di crittografia utilizzate da VMware Cloud Director. Per informazioni sulle crittografie SSL consentite, vedere Gestione dell'elenco di crittografie SSL consentite.
- Se si desidera utilizzare la crittografia SAML, è necessario rigenerare una delle coppie di chiavi per le organizzazioni esistenti e scambiare nuovamente i metadati SAML. Le organizzazioni create con VMware Cloud Director 10.2.x e versioni precedenti hanno due coppie di chiavi identiche ed è necessario rigenerare una delle coppie di chiavi. Le organizzazioni create con VMware Cloud Director 10.3 e versioni successive hanno due coppie di chiavi distinte e non è necessario rigenerarle.
Procedura
Operazioni successive
- Disattivare la modalità FIPS facendo clic su Disabilita. Quando VMware Cloud Director indica che la configurazione è pronta, riavviare le celle.
- È possibile visualizzare lo stato FIPS delle celle di VMware Cloud Director attive utilizzando il comando CMT fips-mode. Vedere Visualizzazione dello stato FIPS di tutte le celle attive in Guida all'installazione, alla configurazione e all'aggiornamento di VMware Cloud Director.
- Per evitare vulnerabilità di inserimento dell'intestazione host, attivare la verifica dell'intestazione dell'host.
- Accedere alla console di VMware Cloud Director come root direttamente o utilizzando un client SSH.
- Attivare la verifica dell'intestazione dell'host utilizzando lo strumento di gestione delle celle.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true