可以將 VMware Cloud Director 應用裝置設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。

聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。NIST 密碼編譯模組驗證計劃 (CMVP) 會驗證符合 FIPS 140-2 標準的密碼編譯模組。

VMware Cloud Director FIPS 支援的目的是簡化各種規範環境下的合規性和安全性活動。若要瞭解有關 VMware 產品中的 FIPS 140-2 支援的詳細資訊,請參閱 https://www.vmware.com/security/certifications/fips.html

依預設,VMware Cloud Director FIPS 驗證的加密處於停用狀態。啟用 FIPS 模式後,可以將 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。

重要: 啟用 FIPS 模式時,與 VMware Aria Automation Orchestrator 的整合無法運作。

VMware Cloud Director 使用以下 FIPS 140-2 驗證的密碼編譯模組:

  • VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:憑證 #3673 (1.0.2.3 正在接受 NIST 審查。版本 1.0.2.1 已獲核准。根據憑證 #3514,版本 1.0.2.3 的相應 Bouncy Castle FIPS 模組已獲核准)
  • VMware OpenSSL FIPS 物件模組版本 2.0.20-vmw:憑證 #3857
使用 VMware Cloud Director 應用裝置時,若要將應用裝置設定為在 FIPS 相容模式下執行,則必須同時管理應用裝置 FIPS 模式和儲存格 FIPS 模式。
  • 應用裝置 FIPS 模式是基礎應用裝置作業系統、內嵌式資料庫和各種系統程式庫的模式。
  • 儲存格 FIPS 模式是每個應用裝置上執行的 VMware Cloud Director 儲存格的模式。

有關在 Linux 上的 VMware Cloud Director 中啟用和停用 FIPS 模式的資訊,請參閱〈在伺服器群組中的儲存格上啟用 FIPS 模式〉

必要條件

  • 如果已啟用度量收集,請確認 Cassandra 憑證是否遵循 X.509 v3 憑證標準且包括所有必要延伸。必須透過 VMware Cloud Director 使用的相同加密套件來設定 Cassandra。如需允許的 SSL 加密的相關資訊,請參閱〈管理允許的 SSL 加密清單〉
  • 如果您想要使用 SAML 加密,必須為現有組織重新產生其中一個金鑰配對,然後重新交換 SAML 中繼資料。使用 VMware Cloud Director 10.2.x 及更早版本建立的組織具有兩個相同的金鑰配對,您必須重新產生其中一個金鑰配對。使用 VMware Cloud Director10.3 及更新版本建立的組織具有兩個不同的金鑰配對,因此無需重新產生任何金鑰配對。

程序

  1. Service Provider Admin Portal 的頂部導覽列中,選取管理
  2. 在左面板中的設定下,選取 SSL
  3. 在伺服器群組中的儲存格上啟用或停用 FIPS 模式。
    選項 描述
    啟動
    1. 按一下啟用
    2. 確認系統滿足所有 FIPS 要求,並且您希望啟動此程序,然後按一下啟用
    停用
    1. 按一下停用
    2. 確認您瞭解必須重新啟動儲存格才能停用 FIPS 模式,然後按一下停用

    設定完成後,VMware Cloud Director 會顯示正在啟用 (正在等待儲存格重新啟動)正在停用 (正在等待儲存格重新啟動) 訊息,您可以繼續執行步驟 4。從應用裝置管理使用者介面啟用或停用 FIPS 模式時,VMware Cloud Director 應用裝置會自動重新啟動儲存格。

  4. root 身分登入應用裝置管理使用者介面,網址為:https://appliance_eth1_IP_address:5480
  5. 在左面板中,選取系統組態索引標籤。
  6. 若要開啟或關閉應用裝置 FIPS 模式,請按一下已登入節點的啟用停用按鈕。
    只能對已登入的節點開啟或關閉應用裝置 FIPS 模式。
  7. 確認動作,然後驗證 FIPS 模式是否成功啟用或停用。
  8. 針對每個應用裝置 (例如主要、待命和應用程式類型) 重複步驟 4 至步驟 7。

下一步

  • 若要確認儲存格的狀態,請參閱檢視 VMware Cloud Director 應用裝置的 FIPS 模式
  • 若要避免主機標頭插入漏洞,請啟用主機標頭驗證。
    1. root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 主控台。
    2. 使用儲存格管理工具啟用主機標頭驗證。
      /opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true

檢視 VMware Cloud Director 應用裝置的 FIPS 模式

可以使用 VMware Cloud Director 應用裝置管理使用者介面來檢視應用裝置的 FIPS 模式。

使用 VMware Cloud Director 應用裝置時,若要將 VMware Cloud Director 應用裝置設定為在 FIPS 相容模式下執行,則必須同時管理應用裝置 FIPS 模式和儲存格 FIPS 模式。

  • 應用裝置 FIPS 模式是基礎應用裝置作業系統、內嵌式資料庫和各種系統程式庫的模式。
  • 儲存格 FIPS 模式是每個應用裝置上執行的 VMware Cloud Director 儲存格的模式。
在 VMware Cloud Director 應用裝置管理使用者介面的 [系統組態] 索引標籤上,可以找到 FIPS 模式資訊。
表 1. FIPS 模式狀態
健全狀況 描述
綠色核取記號 應用裝置與儲存格 FIPS 模式相符。兩種模式均處於開啟或關閉狀態。
黃色驚嘆號 儲存格 FIPS 模式處於正在等待重新啟動狀態。使用應用裝置 API 啟用或停用應用裝置 FIPS 模式。變更應用裝置 FIPS 模式會自動重新啟動 VMware Cloud Director 儲存格服務。
紅色驚嘆號 VMware Cloud Director 應用裝置無法確定儲存格 FIPS 模式。應用裝置上的 VMware Cloud Director 服務失敗可能會導致儲存格 FIPS 模式不確定。

必要條件

在 VMware Cloud Director 應用裝置上啟用或停用 FIPS 模式

程序

  1. root 身分登入應用裝置管理使用者介面,網址為:https://primary_eth1_ip_address:5480
  2. 從左面板中,選取系統組態
  3. 檢視每個節點上應用裝置和儲存格 FIPS 模式的狀態。