Linux で、FIPS 140-2 認定の暗号化モジュールを使用して FIPS 対応モードで実行するように VMware Cloud Director を構成することができます。
FIPS (Federal Information Processing Standard) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。NIST Cryptographic Module Validation Program (CMVP) は、FIPS 140-2 規格に準拠した暗号化モジュールを検証します。
VMware Cloud Director FIPS サポートは、規制の厳しいさまざまな環境でのコンプライアンスとセキュリティのアクティビティを容易にすることを目的としています。VMware 製品における FIPS 140-2 のサポートの詳細については、https://www.vmware.com/security/certifications/fips.htmlを参照してください。
VMware Cloud Director では、FIPS 認定の暗号化はデフォルトで無効になっています。FIPS モードを有効にすることで、FIPS 140-2 認定の暗号化モジュールを使用し、FIPS 準拠モードで実行するように VMware Cloud Director が構成されます。
VMware Cloud Director は、次の FIPS 140-2 認定の暗号化モジュールを使用します。
- VMware の BC-FJA (Bouncy Castle FIPS Java API)、バージョン 1.0.2.3:Certificate #3673(1.0.2.3 に対しては NIST がレビュー中。バージョン 1.0.2.1 に対しては承認済み。対応する Bouncy Castle FIPS モジュールはバージョン 1.0.2.3 に対して Certificate #3514 によって承認済み)
- VMware の OpenSSL FIPS オブジェクト モジュール、バージョン 2.0.20-vmw:Certificate #3857。
VMware Cloud Director アプライアンスで FIPS モードを有効にする方法については、VMware Cloud Director アプライアンスでの FIPS モードの有効化または無効化を参照してください。
前提条件
- ユーティリティの
rng-toolsセットをインストールして、有効にします。https://wiki.archlinux.org/index.php/Rng-toolsを参照してください。 - メトリックの収集が有効になっている場合は、Cassandra 証明書が X.509 v3 証明書の標準に従っていて、必要なすべての拡張機能が含まれていることを確認します。Cassandra は、VMware Cloud Director が使用するのと同じ暗号化スイートを使用して構成する必要があります。許可された SSL 暗号の詳細については、許可された SSL 暗号のリストの管理を参照してください。
- SAML 暗号化を使用する場合は、既存の組織のキー ペアのいずれかを再生成し、SAML メタデータを再交換する必要があります。VMware Cloud Director 10.2.x 以前で作成された組織には、同一のキー ペアが 2 つあり、いずれかのキー ペアを再生成する必要があります。VMware Cloud Director 10.3 以降で作成された組織には 2 つの異なるキー ペアがあります。これらを再生成する必要はありません。
手順
次のタスク
- [無効化] をクリックして FIPS モードを無効にします。構成の準備が完了したことが VMware Cloud Director に示されたら、セルを再起動します。
- fips-mode CMT コマンドを使用して、アクティブな VMware Cloud Director セルの FIPS ステータスを表示します。VMware Cloud Director インストール、構成、およびアップグレード ガイドの「すべてのアクティブ セルの FIPS ステータスの表示」を参照してください。
