VMware Cloud Director アプライアンス バージョン 10.2.2 以降では、FIPS 140-2 認定の暗号化モジュールを使用して FIPS 対応モードで実行するように構成できます。

FIPS (Federal Information Processing Standard) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。NIST Cryptographic Module Validation Program (CMVP) は、FIPS 140-2 規格に準拠した暗号化モジュールを検証します。

VMware Cloud Director FIPS サポートは、規制の厳しいさまざまな環境でのコンプライアンスとセキュリティのアクティビティを容易にすることを目的としています。VMware 製品における FIPS 140-2 のサポートの詳細については、https://www.vmware.com/security/certifications/fips.htmlを参照してください。

VMware Cloud Director では、FIPS 認定の暗号化はデフォルトで無効になっています。FIPS モードを有効にすることで、FIPS 140-2 認定の暗号化モジュールを使用し、FIPS 準拠モードで実行するように VMware Cloud Director が構成されます。

注: FIPS モードを有効にすると、ホスト名の逆引きも有効になります。
重要: FIPS モードを有効にした場合、 vRealize Orchestrator との統合は動作しません。

VMware Cloud Director 10.2.2 で FIPS モードを有効にした場合は、SAML アサーションを暗号化できません。FIPS モードでない場合は、アサーション暗号化に制限はありません。

VMware Cloud Director は、次の FIPS 140-2 認定の暗号化モジュールを使用します。

  • VMware の BC-FJA (Bouncy Castle FIPS Java API)、バージョン 1.0.2.1: Certificate #3673
  • VMware の OpenSSL FIPS オブジェクト モジュール、バージョン 2.0.20-vmw:Certificate #3857

VMware Cloud Director はセル管理ツール (CMT) に付属のバンドルに含まれています。ただし、セル管理ツールは FIPS に準拠していません。

VMware Cloud Director アプライアンスを使用している場合に、アプライアンスを FIPS 準拠モードで実行するには、アプライアンス FIPS モードとセル FIPS モードの両方を管理する必要があります。
  • アプライアンス FIPS モードは、基盤となるアプライアンス OS、組み込みデータベース、およびさまざまなシステム ライブラリのモードです。
  • セル FIPS モードは、各アプライアンスで実行されている VMware Cloud Director セルのモードです。

Linux 上の VMware Cloud Director で FIPS モードを有効または無効にする方法については、サーバ グループのセルでの FIPS モードの有効化を参照してください。

前提条件

  • メトリックの収集が有効になっている場合は、Cassandra 証明書が X.509 v3 証明書の標準に従っていて、必要なすべての拡張機能が含まれていることを確認します。Cassandra は、VMware Cloud Director が使用するのと同じ暗号化スイートを使用して構成する必要があります。許可された SSL 暗号の詳細については、許可された SSL 暗号のリストの管理を参照してください。
  • VMware Cloud DirectorvCenter Lookup Service から登録解除します。「VMware Cloud Director Service Provider Admin Portal Guide」のvSphere サーボス構成を参照してください。

手順

  1. Service Provider Admin Portal の上部ナビゲーション バーで [管理] を選択します。
  2. 左側のパネルの [設定] で、[SSL] を選択します。
  3. [有効化] をクリックします。
  4. プロセスの開始を確定するには、[有効化] をクリックします。

    構成が完了すると、VMware Cloud Director に「有効化が進行中 (セルの再起動を待機中)」というメッセージが表示され、手順 5 に進むことができます。手順 5 で API コマンドを実行すると、VMware Cloud Director アプライアンスによってセルは自動的に再起動されます。

  5. アプライアンス FIPS モードをオンまたはオフにするには、VMware Cloud Director アプライアンス API を使用して fips/{node_name} の URL に PUT 要求を送信します。VMware Cloud Director アプライアンス APIを参照してください。
    注: PUT 要求を処理するマシンの {node_name} を使用する必要があります。
    例:FIPS モードの有効化

    要求:

    PUT https://vcloud.example.com:5480/api/1.0.0/fips/{node_name}
Content-Type: application/json
...
{
    "applianceFips": "ON"
}
  6. 各アプライアンス(プライマリ、スタンバイなど)およびアプリケーションのタイプに、手順 5 を繰り返します。

次のタスク

セルの状態を確認するには、 VMware Cloud Director アプライアンス管理ユーザー インターフェイスを使用します。 VMware Cloud Director アプライアンス FIPS モードの表示を参照してください。