Linux에서 FIPS 140-2 검증 암호화 모듈을 사용하고 FIPS 준수 모드에서 실행되도록 VMware Cloud Director를 구성할 수 있습니다.
FIPS(Federal Information Processing Standard) 140-2는 암호화 모듈에 대한 보안 요구 사항을 규정하는 미국 및 캐나다 정부 표준입니다. NIST CMVP(암호화 모듈 검증 프로그램)는 FIPS 140-2 표준을 준수하는 암호화 모듈을 검증합니다.
VMware Cloud Director FIPS 지원의 목표는 다양한 규제 환경에서 규정 준수 및 보안 활동을 용이하게 하는 것입니다. VMware 제품의 FIPS 140-2 지원에 대해 자세히 알려면 https://www.vmware.com/security/certifications/fips.html을 참조하십시오.
VMware Cloud Director에서 FIPS 검증 암호화는 기본적으로 비활성화됩니다. FIPS 모드를 활성화하면 FIPS 140-2 검증 암호화 모듈을 사용하고 FIPS 준수 모드에서 실행되도록 VMware Cloud Director를 구성할 수 있습니다.
중요: FIPS 모드를 활성화하면
vRealize Orchestrator와의 통합이 작동하지 않습니다.
VMware Cloud Director는 다음과 같은 FIPS 140-2 검증 암호화 모듈을 사용합니다.
- VMware의 BC-FJA(Bouncy Castle FIPS Java API), 버전 1.0.2.3: Certificate #3673(1.0.2.3에 대한 NIST 검토 중. 버전 1.0.2.1에 대해 승인됨. 해당 Bouncy Castle FIPS 모듈이 Certificate #3514에 따라 버전 1.0.2.3에 대해 승인됨)
- VMware의 OpenSSL FIPS 개체 모듈, 버전 2.0.20-vmw: Certificate #3857
VMware Cloud Director 장치에서 FIPS 모드를 활성화하는 방법에 대한 자세한 내용은 VMware Cloud Director 장치에서 FIPS 모드 활성화 또는 비활성화를 참조하십시오.
사전 요구 사항
rng-tools유틸리티 집합을 설치하고 활성화합니다. https://wiki.archlinux.org/index.php/Rng-tools의 내용을 참조하십시오.- 메트릭 수집을 활성화한 경우 Cassandra 인증서가 X.509 v3 인증서 표준을 따르고 필요한 모든 확장을 포함하는지 확인합니다. Cassandra는 VMware Cloud Director가 사용하는 것과 동일한 암호 그룹으로 구성해야 합니다. 허용되는 SSL 암호에 대한 자세한 내용은 허용되는 SSL 암호화 목록 관리를 참조하십시오.
- SAML 암호화를 사용하려면 기존 조직에 대한 키 쌍 중 하나를 재생성하고 SAML 메타데이터를 다시 교환해야 합니다. VMware Cloud Director 10.2.x 이전 버전으로 생성된 조직에는 두 개의 동일한 키 쌍이 있으며, 이러한 키 쌍 중 하나를 재생성해야 합니다. VMware Cloud Director 10.3 이상으로 생성된 조직에는 두 개의 고유한 키 쌍이 있으며 이들 중 어느 것도 재생성할 필요가 없습니다.
프로시저
다음에 수행할 작업
- 사용 안 함을 클릭하여 FIPS 모드를 비활성화하고 구성이 준비되었다고 VMware Cloud Director에 표시되면 셀을 다시 시작합니다.
- fips-mode CMT 명령을 사용하여 활성 VMware Cloud Director 셀의 FIPS 상태를 볼 수 있습니다. "VMware Cloud Director 설치, 구성 및 업그레이드 가이드" 에서 모든 활성 셀의 FIPS 상태 보기를 참조하십시오.
