FIPS 140-2 認定の暗号化モジュールを使用して FIPS 対応モードで実行するように VMware Cloud Director アプライアンスを構成することができます。

FIPS (Federal Information Processing Standard) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。NIST Cryptographic Module Validation Program (CMVP) は、FIPS 140-2 規格に準拠した暗号化モジュールを検証します。

VMware Cloud Director FIPS サポートは、規制の厳しいさまざまな環境でのコンプライアンスとセキュリティのアクティビティを容易にすることを目的としています。VMware 製品における FIPS 140-2 のサポートの詳細については、https://www.vmware.com/security/certifications/fips.htmlを参照してください。

VMware Cloud Director では、FIPS 認定の暗号化はデフォルトで無効になっています。FIPS モードを有効にすることで、FIPS 140-2 認定の暗号化モジュールを使用し、FIPS 準拠モードで実行するように VMware Cloud Director が構成されます。

重要: FIPS モードを有効にした場合、 vRealize Orchestrator との統合は動作しません。

VMware Cloud Director は、次の FIPS 140-2 認定の暗号化モジュールを使用します。

  • VMware の BC-FJA (Bouncy Castle FIPS Java API)、バージョン 1.0.2.3:Certificate #3673(1.0.2.3 に対しては NIST がレビュー中。バージョン 1.0.2.1 に対しては承認済み。対応する Bouncy Castle FIPS モジュールはバージョン 1.0.2.3 に対して Certificate #3514 によって承認済み)
  • VMware の OpenSSL FIPS オブジェクト モジュール、バージョン 2.0.20-vmw:Certificate #3857
VMware Cloud Director アプライアンスを使用している場合に、アプライアンスを FIPS 準拠モードで実行するには、アプライアンス FIPS モードとセル FIPS モードの両方を管理する必要があります。
  • アプライアンス FIPS モードは、基盤となるアプライアンス OS、組み込みデータベース、およびさまざまなシステム ライブラリのモードです。
  • セル FIPS モードは、各アプライアンスで実行されている VMware Cloud Director セルのモードです。

Linux 上の VMware Cloud Director で FIPS モードを有効または無効にする方法については、サーバ グループのセルでの FIPS モードの有効化を参照してください。

前提条件

  • メトリックの収集が有効になっている場合は、Cassandra 証明書が X.509 v3 証明書の標準に従っていて、必要なすべての拡張機能が含まれていることを確認します。Cassandra は、VMware Cloud Director が使用するのと同じ暗号化スイートを使用して構成する必要があります。許可された SSL 暗号の詳細については、許可された SSL 暗号のリストの管理を参照してください。
  • SAML 暗号化を使用する場合は、既存の組織のキー ペアのいずれかを再生成し、SAML メタデータを再交換する必要があります。VMware Cloud Director 10.2.x 以前で作成された組織には、同一のキー ペアが 2 つあり、いずれかのキー ペアを再生成する必要があります。VMware Cloud Director 10.3 以降で作成された組織には 2 つの異なるキー ペアがあります。これらを再生成する必要はありません。

手順

  1. Service Provider Admin Portal の上部ナビゲーション バーで [管理] を選択します。
  2. 左側のパネルの [設定] で、[SSL] を選択します。
  3. サーバ グループのセルに対する FIPS モードを有効または無効にします。
    オプション 説明
    有効化
    1. [有効化] をクリックします。
    2. システムがすべての FIPS 要件を満たしており、プロセスを開始することを確認して、[有効化] をクリックします。
    無効化
    1. [無効化] をクリックします。
    2. FIPS モードを無効にするにはセルを再起動する必要があることを理解しているかどうかを確認して、[無効化] をクリックします。

    構成が完了すると、VMware Cloud Director に「有効化の進行中 (セルの再起動を待機中)」または「無効化の進行中 (セルの再起動を待機中)」というメッセージが表示され、手順 4 に進むことができます。アプライアンス管理ユーザー インターフェイスで FIPS モードを有効または無効にすると、VMware Cloud Director によってセルが自動的に再起動されます。

  4. https://appliance_eth1_IP_address:5480 でアプライアンス管理ユーザー インターフェイスに root としてログインします。
  5. 左側のパネルで、[システム構成] タブを選択します。
  6. アプライアンスの FIPS モードを有効/無効にするには、ログインしているノードの [有効化]/[無効化] ボタンをクリックします。
    アプライアンスの FIPS モードは、ログインしているノードでのみオンまたはオフにできます。
  7. アクションを確定し、FIPS モードが正常に有効または無効になっていることを確認します。
  8. 各アプライアンス(プライマリ、スタンバイなど)およびアプリケーションのタイプに、手順 4 ~ 7 を繰り返します。

次のタスク

セルの状態を確認するには、 VMware Cloud Director アプライアンスの FIPS モードの表示を参照してください。