VMware Cloud Director アプライアンスでの FIPS モードの有効化または無効化

FIPS 140-2 認定の暗号化モジュールを使用して FIPS 対応モードで実行するように VMware Cloud Director アプライアンスを構成することができます。

FIPS (Federal Information Processing Standard) 140-2 は、暗号化モジュールのセキュリティ要件を指定する、米国およびカナダの政府規格です。NIST Cryptographic Module Validation Program (CMVP) は、FIPS 140-2 規格に準拠した暗号化モジュールを検証します。

VMware Cloud Director FIPS サポートは、規制の厳しいさまざまな環境でのコンプライアンスとセキュリティのアクティビティを容易にすることを目的としています。VMware 製品における FIPS 140-2 のサポートの詳細については、https://www.vmware.com/security/certifications/fips.htmlを参照してください。

VMware Cloud Director では、FIPS 認定の暗号化はデフォルトで無効になっています。FIPS モードを有効にすることで、FIPS 140-2 認定の暗号化モジュールを使用し、FIPS 準拠モードで実行するように VMware Cloud Director が構成されます。

重要： FIPS モードを有効にした場合、 VMware Aria Automation Orchestrator との統合は動作しません。

VMware Cloud Director は、次の FIPS 140-2 認定の暗号化モジュールを使用します。

VMware の BC-FJA (Bouncy Castle FIPS Java API)、バージョン 1.0.2.3：Certificate #3673（1.0.2.3 に対しては NIST がレビュー中。バージョン 1.0.2.1 に対しては承認済み。対応する Bouncy Castle FIPS モジュールはバージョン 1.0.2.3 に対して Certificate #3514 によって承認済み）
VMware の OpenSSL FIPS オブジェクトモジュール、バージョン 2.0.20-vmw：Certificate #3857。

VMware Cloud Director アプライアンスを使用している場合に、アプライアンスを FIPS 準拠モードで実行するには、アプライアンス FIPS モードとセル FIPS モードの両方を管理する必要があります。

アプライアンス FIPS モードは、基盤となるアプライアンス OS、組み込みデータベース、およびさまざまなシステムライブラリのモードです。
セル FIPS モードは、各アプライアンスで実行されている VMware Cloud Director セルのモードです。

Linux 上の VMware Cloud Director で FIPS モードを有効または無効にする方法については、サーバグループのセルでの FIPS モードの有効化を参照してください。

前提条件

メトリックの収集が有効になっている場合は、Cassandra 証明書が X.509 v3 証明書の標準に従っていて、必要なすべての拡張機能が含まれていることを確認します。Cassandra は、VMware Cloud Director が使用するのと同じ暗号化スイートを使用して構成する必要があります。許可された SSL 暗号の詳細については、許可された SSL 暗号のリストの管理を参照してください。
SAML 暗号化を使用する場合は、既存の組織のキーペアのいずれかを再生成し、SAML メタデータを再交換する必要があります。VMware Cloud Director 10.2.x 以前で作成された組織には、同一のキーペアが 2 つあり、いずれかのキーペアを再生成する必要があります。VMware Cloud Director 10.3 以降で作成された組織には 2 つの異なるキーペアがあります。これらを再生成する必要はありません。

手順

Service Provider Admin Portal の上部ナビゲーションバーで [管理] を選択します。
左側のパネルの [設定] で、[SSL] を選択します。

サーバグループのセルに対する FIPS モードを有効または無効にします。

オプション	説明
有効化	[有効化] をクリックします。システムがすべての FIPS 要件を満たしており、プロセスを開始することを確認して、[有効化] をクリックします。
無効化	[無効化] をクリックします。 FIPS モードを無効にするにはセルを再起動する必要があることを理解しているかどうかを確認して、[無効化] をクリックします。

構成が完了すると、VMware Cloud Director に「有効化の進行中 (セルの再起動を待機中)」または「無効化の進行中 (セルの再起動を待機中)」というメッセージが表示され、手順 4 に進むことができます。アプライアンス管理ユーザーインターフェイスで FIPS モードを有効または無効にすると、VMware Cloud Director によってセルが自動的に再起動されます。

https://appliance_eth1_IP_address:5480 でアプライアンス管理ユーザーインターフェイスに root としてログインします。
左側のパネルで、[システム構成] タブを選択します。
アプライアンスの FIPS モードを有効/無効にするには、ログインしているノードの [有効化]/[無効化] ボタンをクリックします。
アプライアンスの FIPS モードは、ログインしているノードでのみオンまたはオフにできます。
アクションを確定し、FIPS モードが正常に有効または無効になっていることを確認します。
各アプライアンス（プライマリ、スタンバイなど）およびアプリケーションのタイプに、手順 4 ～ 7 を繰り返します。

次のタスク

セルの状態を確認するには、VMware Cloud Director アプライアンスの FIPS モードの表示を参照してください。
Host ヘッダーインジェクションの脆弱性を回避するには、Host ヘッダーの検証を有効にします。
1. VMware Cloud Director コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
2. セル管理ツールを使用して Host ヘッダーの検証を有効にします。
```
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true
```

VMware Cloud Director アプライアンスの FIPS モードの表示

VMware Cloud Director アプライアンス管理ユーザーインターフェイスを使用して、アプライアンスの FIPS モードを表示できます。

VMware Cloud Director アプライアンスを使用している場合に、VMware Cloud Director アプライアンスを FIPS 準拠モードで実行するには、アプライアンス FIPS モードとセル FIPS モードの両方を管理する必要があります。

アプライアンス FIPS モードは、基盤となるアプライアンス OS、組み込みデータベース、およびさまざまなシステムライブラリのモードです。
セル FIPS モードは、各アプライアンスで実行されている VMware Cloud Director セルのモードです。

VMware Cloud Director のアプライアンス管理ユーザーインターフェイスの [システム構成] タブで、FIPS モードの情報を確認できます。

表 1. FIPS モードの状態
健全性	説明
	アプライアンスとセルの FIPS モードが一致します。どちらのモードもオンまたはオフです。
	セルの FIPS モードは、`Pending restart` の状態です。アプライアンス API を使用して、アプライアンスの FIPS モードを有効または無効にします。アプライアンスの FIPS モードを変更すると、VMware Cloud Director のセルサービスも自動的に再起動されます。
	VMware Cloud Director アプライアンスはセル FIPS モードを特定できません。アプライアンスで停止している VMware Cloud Director サービスがあると、セル FIPS モードが不確定になることがあります。

前提条件

VMware Cloud Director アプライアンスでの FIPS モードの有効化または無効化

手順

https://primary_eth1_ip_address:5480 でアプライアンス管理ユーザーインターフェイスに root としてログインします。
左側のパネルで [システム構成] を選択します。
各ノードのアプライアンスおよびセル FIPS モードのステータスを表示します。