FIPS 140-2 認定の暗号化モジュールを使用して FIPS 対応モードで実行するように VMware Cloud Director アプライアンスを構成することができます。
FIPS (Federal Information Processing Standard) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。NIST Cryptographic Module Validation Program (CMVP) は、FIPS 140-2 規格に準拠した暗号化モジュールを検証します。
VMware Cloud Director FIPS サポートは、規制の厳しいさまざまな環境でのコンプライアンスとセキュリティのアクティビティを容易にすることを目的としています。VMware 製品における FIPS 140-2 のサポートの詳細については、https://www.vmware.com/security/certifications/fips.htmlを参照してください。
VMware Cloud Director では、FIPS 認定の暗号化はデフォルトで無効になっています。FIPS モードを有効にすることで、FIPS 140-2 認定の暗号化モジュールを使用し、FIPS 準拠モードで実行するように VMware Cloud Director が構成されます。
VMware Cloud Director は、次の FIPS 140-2 認定の暗号化モジュールを使用します。
- VMware の BC-FJA (Bouncy Castle FIPS Java API)、バージョン 1.0.2.3:Certificate #3673(1.0.2.3 に対しては NIST がレビュー中。バージョン 1.0.2.1 に対しては承認済み。対応する Bouncy Castle FIPS モジュールはバージョン 1.0.2.3 に対して Certificate #3514 によって承認済み)
- VMware の OpenSSL FIPS オブジェクト モジュール、バージョン 2.0.20-vmw:Certificate #3857。
- アプライアンス FIPS モードは、基盤となるアプライアンス OS、組み込みデータベース、およびさまざまなシステム ライブラリのモードです。
- セル FIPS モードは、各アプライアンスで実行されている VMware Cloud Director セルのモードです。
Linux 上の VMware Cloud Director で FIPS モードを有効または無効にする方法については、サーバ グループのセルでの FIPS モードの有効化を参照してください。
前提条件
- メトリックの収集が有効になっている場合は、Cassandra 証明書が X.509 v3 証明書の標準に従っていて、必要なすべての拡張機能が含まれていることを確認します。Cassandra は、VMware Cloud Director が使用するのと同じ暗号化スイートを使用して構成する必要があります。許可された SSL 暗号の詳細については、許可された SSL 暗号のリストの管理を参照してください。
- SAML 暗号化を使用する場合は、既存の組織のキー ペアのいずれかを再生成し、SAML メタデータを再交換する必要があります。VMware Cloud Director 10.2.x 以前で作成された組織には、同一のキー ペアが 2 つあり、いずれかのキー ペアを再生成する必要があります。VMware Cloud Director 10.3 以降で作成された組織には 2 つの異なるキー ペアがあります。これらを再生成する必要はありません。