FIPS(連邦情報処理標準)140-2 は、NIST(アメリカ国立標準技術研究所)によって開発された米国およびカナダの政府規格で、暗号化モジュールのセキュリティ標準を定義します。

FIPS 140-2 規格では、機密情報を保護するセキュリティ システム内のモジュールの暗号化要件と運用要件を指定および検証します。これらのモジュールは、暗号化アルゴリズム、キー サイズ、キー管理、認証技術など、NIST が承認したセキュリティ機能を採用します。

FIPS 140-2 準拠のアルゴリズムのリストについては、以下を参照してください。

FIPS 140-2 規格には 4 つのレベルのセキュリティがあり、各レベルにはツールの暗号化設計の設計と実装に関連するさまざまな領域があります。セキュリティのレベルは次のとおりです。

  • レベル 1:暗号化モジュールの基本的なセキュリティの標準を定義し、FIPS が承認した暗号を有効にします。

  • レベル 2:改ざん証拠の物理的セキュリティと暗号化モジュールのロール ベースの認証の標準を定義します。改ざん証拠の物理的セキュリティには、改ざん明示のコーティング、シール、またはこじ開け防止ロックが含まれます。

  • レベル 3:改ざん防止の物理的セキュリティと ID ベースの認証の標準を定義します。ハードウェア デバイスには、シールされたエポキシ カバーなどの改ざん防止機能を備えた内部 HSM が必要です。この機能を削除すると、デバイスが使用不能になり、キーにアクセスできなくなります。

  • レベル 4:デバイスの侵入を検出し、改ざんが発生した場合にデバイスのコンテンツを消去する改ざん検出回路が必要です。

VMware は、NSX Advanced Load Balancer コンポーネントで使用される OpenSSL FIPS オブジェクト モジュール v2.0.20-vmwFIPS 140-2 検証を特に取得しています。

OpenSSL FIPS オブジェクト モジュール v2.0.20-vmw は、FIPS が承認した暗号化機能およびサービスを VMware の製品およびコンポーネントに提供する汎用暗号化モジュールです。このモジュールは、FIPS 140-2 セキュリティ レベル 1 で検証され、CMVP によって証明書 #3550 が付与されました。

注:

セキュリティ レベル 2 ~ 4 は、次のようなさまざまなレベルの物理セキュリティに固有です。

  • 改ざん証拠の物理的セキュリティ:これには、改ざん明示のコーティング、シール、またはこじ開け防止ロックが含まれます。

  • 改ざん防止の物理的セキュリティ:これには、ハードウェア デバイスを保護するためのシールされたエポキシ カバーなどの機能を含くまれます。

これらのセキュリティ レベルは、ソフトウェア ソリューションの実行にハードウェアが使用されるソフトウェア ソリューションには適用されません。

詳細については、「VMware の FIPS ドキュメント」を参照してください。

NSX Advanced Load Balancer の FIPS コンプライアンス

NSX Advanced Load Balancer は、以下のようなシステム全体で FIPS モードをサポートします。

  • コントローラまたは Controller クラスタで構成される制御プレーン。

  • サービス エンジン (SE) で構成されるデータ プレーン。

NSX Advanced Load Balancer は、FIPS 140-2 レベル 1 暗号化に準拠した FIPS キャニスター 2.0.20-vmw を使用します。

サポートされている環境

FIPS は、次の場合にサポートされます。

  • Controller クラスタが VMware vSphere 環境に展開されています。

  • SE が、特に次のクラウド コネクタを使用して、VMware vSphere 環境に展開されています。

    • VMware vCenterNSX-T Cloud

    • VMware vSphere で実行されている Orchestrator なしのクラウド。

FIPS は、単一のコントローラ展開および Controller クラスタベースの展開でサポートされます。

FIPS モードの有効化 - 考慮事項

NSX Advanced Load Balancer の FIPS モードを有効にする場合は、次の点を考慮してください。

  • FIPS モードは、サービス エンジンが存在しない展開でのみ有効にできます。

  • FIPS モードは、システム全体(コントローラ、またはクラスタの場合はすべてのノード)で有効になります。FIPS は、すべての SE でも有効になります。

  • 特定のコンポーネントに対して(つまり、コントローラ、サービス エンジン、または特定の SE グループに対してのみ)FIPS を選択的に有効にするオプションはありません。

  • NSX Advanced Load Balancer システムが FIPS モードになると、FIPS モードを無効にできません。

単一のコントローラ展開での FIPS モードの有効化

単一のコントローラ展開で FIPS モードを有効にする手順は次のとおりです。

  1. コントローラにサービス エンジンが展開されていないことを確認します。すべての仮想サービスを無効にし、既存の SE を削除することをお勧めします。

  2. FIPS を有効にする前に、Controller クラスタを作成します。

  3. 同じコントローラの基本バージョンの controller.pkg ファイル(アップグレード パッケージ)をコントローラ ノードにアップロードします。たとえば、使用しているコントローラのバージョンが 20.1.5 の場合は、コントローラに 20.1.5 controller.pkg をアップロードします。

    アップロード方法の詳細な手順については、『VMware NSX Advanced Load Balancer 管理ガイド』の「NSX Advanced Load Balancer の柔軟なアップグレード」を参照してください。

  4. CLI を使用して FIPS モードを有効にします。

    [admin:avi-cntrl]: > system compliancemode fips_mode
 +----------------------+------------------------------------------+
 | Field                | Value                                    |
 +----------------------+------------------------------------------+
 | fips_mode            | True                                     |
 | common_criteria_mode | False                                    |
 | force                | False                                    |
 | details[1]           | 'Compliance mode transition started. Use 'show upgrade status' to check the stat                            |
 |                      | us.'                                     |
 +----------------------+------------------------------------------+

コントローラが再起動し、FIPS モードでオンラインに戻ります。

Controller クラスタ展開での FIPS モードの有効化

  1. コントローラにサービス エンジンが展開されていないことを確認します。すべての仮想サービスを無効にし、使用可能なすべての SE を削除することをお勧めします。

  2. FIPS を有効にする前に、Controller クラスタを作成します。

  3. 同じコントローラの基本バージョンの controller.pkg ファイル(アップグレード パッケージ)をリーダー ノードにアップロードします。たとえば、使用しているコントローラのバージョンが 20.1.5 の場合は、リーダーに 20.1.5 バージョンの controller.pkg をアップロードします。

    アップロード方法の詳細な手順については、『VMware NSX Advanced Load Balancer 管理ガイド』の「NSX Advanced Load Balancer の柔軟なアップグレード」を参照してください。

  4. CLI を使用して FIPS モードを有効にします。

    > system compliancemode fips_mode
+----------------------+-------------------------------------------+
| Field                | Value                                     |
+----------------------+-------------------------------------------+
| fips_mode            | True                                      |
| common_criteria_mode | False                                     |
| force                | False                                     |
| details[1]           | 'Compliance mode transition started. Use 'show upgrade status' to check the stat                            |
|                      | us.'                                      |
+----------------------+-------------------------------------------+

コントローラ ノードが再起動し、FIPS モードでオンラインに戻ります。

FIPS モードの確認

次のコマンドを使用して、FIPS モードが正常に有効になったかどうかを確認できます。

[admin:avi-cntrl]: > show version controller
+-----------------+--------------------------------------+-------+------+
| Controller Name | Version                              | Patch | Fips |
+-----------------+--------------------------------------+-------+------+
| 100.65.32.101   | 20.1.5(5000) 2021-04-15 09:36:00 UTC | -     | True |
+-----------------+--------------------------------------+-------+------+
[admin:admin-ctrl-write]: > show version serviceengine
No results.
[admin:avi-cntrl]: > show version serviceengine
+--------------+--------------------------------------+-------+------+
| SE Name      | Version                              | Patch | Fips |
+--------------+--------------------------------------+-------+------+
| Avi-se-rencf | 20.1.5(5000) 2021-04-15 09:36:00 UTC | -     | True |
| Avi-se-nvlwj | 20.1.5(5000) 2021-04-15 09:36:00 UTC | -     | True |
+--------------+--------------------------------------+-------+------+

ディザスタ リカバリに関する考慮事項

新しい Controller クラスタへの構成のリストア:

FIPS 対応の展開からの NSX Advanced Load Balancer 構成のリストアは、FIPS モードが有効になっているコントローラでのみ実行できます。構成のインポートを実行する前に、宛先のコントローラまたは Controller クラスタで FIPS が有効になっていることを確認します。

クラスタへの新しいコントローラ ノードの追加:

Controller クラスタでは、すべてのノードの FIPS を有効にする必要があります。コントローラ ノードを新しいコントローラ ノードに置き換える必要がある場合は、Controller クラスタに追加する前に、新しいノードで FIPS が有効になっていることを確認します。

FIPS モードを有効にした展開のアップグレード:

FIPS モードでのアップグレードおよびパッチ アップグレードは、非 FIPS 展開と同じプロセスに従います。FIPS 展開には特別な考慮事項はありません。

FIPS モードの無効化:

有効にすると、FIPS コンプライアンス モードの無効化はサポートされません。

FIPS 準拠モードで使用できない機能

NSX Advanced Load Balancer で FIPS コンプライアンスを有効にすると、FIPS 準拠の暗号化アルゴリズムのみが使用されます。FIPS 140-2 規格に準拠するために、次の非準拠モジュールは使用できなくなります。

  • RADIUS 健全性モニター。

    注:

    L4 アプリケーションとして RADIUS がサポートされています。

  • BGP での、ピアの md5_secret の設定。

  • TLS v1.3 および 0-RTT(SSL プロファイルの enable_early_data オプション)。

  • Safenet や CloudHSM などのハードウェア セキュリティ モジュール(HSM デバイス)。

  • 1024 RSA キー

  • VMware の OpenSSL FIPS オブジェクト モジュールでサポートされていない楕円曲線 (EC) のセット。

  • 非同期 SSL(これは、SE グループの下の機能で、HSM 構成と連携します。この機能は、HSM が許可されていない場合は関係しません)。

  • L7 サイドバンド

  • NTML 認証を使用する HTTP(S) 健全性モニター。

  • HTTP Cookie パーシステンス キーのローテーション。

  • コントローラのリカバリ シナリオでの flushdb.sh の使用はサポートされていません。clean_cluster.py を使用することをお勧めします。これらのスクリプトは両方とも、NSX Advanced Load Balancer サポート チームの監視下で使用する必要があります。

注:

FIPS 準拠モードでは、次の機能を使用できます。

  • Safenet や CloudHSM などのハードウェア セキュリティ モジュール(HSM デバイス)

  • 非同期 SSL(これは、SE グループの下の機能で、HSM 構成と連携します。この機能は、HSM が許可されていない場合は関係しません。)