可以將 VMware Cloud Director 應用裝置設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。
聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。NIST 密碼編譯模組驗證計劃 (CMVP) 會驗證符合 FIPS 140-2 標準的密碼編譯模組。
VMware Cloud Director FIPS 支援的目的是簡化各種規範環境下的合規性和安全性活動。若要瞭解有關 VMware 產品中的 FIPS 140-2 支援的詳細資訊,請參閱 https://www.vmware.com/security/certifications/fips.html。
依預設,VMware Cloud Director FIPS 驗證的加密處於停用狀態。啟用 FIPS 模式後,可以將 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。
重要: 啟用 FIPS 模式時,與
VMware Aria Automation Orchestrator 的整合無法運作。
VMware Cloud Director 使用以下 FIPS 140-2 驗證的密碼編譯模組:
- VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:憑證 #3673 (1.0.2.3 正在接受 NIST 審查。版本 1.0.2.1 已獲核准。根據憑證 #3514,版本 1.0.2.3 的相應 Bouncy Castle FIPS 模組已獲核准)
- VMware OpenSSL FIPS 物件模組版本 2.0.20-vmw:憑證 #3857
使用
VMware Cloud Director 應用裝置時,若要將應用裝置設定為在 FIPS 相容模式下執行,則必須同時管理應用裝置 FIPS 模式和儲存格 FIPS 模式。
- 應用裝置 FIPS 模式是基礎應用裝置作業系統、內嵌式資料庫和各種系統程式庫的模式。
- 儲存格 FIPS 模式是每個應用裝置上執行的 VMware Cloud Director 儲存格的模式。
有關在 Linux 上的 VMware Cloud Director 中啟用和停用 FIPS 模式的資訊,請參閱〈在伺服器群組中的儲存格上啟用 FIPS 模式〉。
必要條件
- 如果已啟用度量收集,請確認 Cassandra 憑證是否遵循 X.509 v3 憑證標準且包括所有必要延伸。必須透過 VMware Cloud Director 使用的相同加密套件來設定 Cassandra。如需允許的 SSL 加密的相關資訊,請參閱〈管理允許的 SSL 加密清單〉。
- 如果您想要使用 SAML 加密,必須為現有組織重新產生其中一個金鑰配對,然後重新交換 SAML 中繼資料。使用 VMware Cloud Director 10.2.x 及更早版本建立的組織具有兩個相同的金鑰配對,您必須重新產生其中一個金鑰配對。使用 VMware Cloud Director10.3 及更新版本建立的組織具有兩個不同的金鑰配對,因此無需重新產生任何金鑰配對。
程序
下一步
- 若要確認儲存格的狀態,請參閱檢視 VMware Cloud Director 應用裝置的 FIPS 模式。
- 若要避免主機標頭插入漏洞,請啟用主機標頭驗證。
- 以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 主控台。
- 使用儲存格管理工具啟用主機標頭驗證。
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true
檢視 VMware Cloud Director 應用裝置的 FIPS 模式
可以使用 VMware Cloud Director 應用裝置管理使用者介面來檢視應用裝置的 FIPS 模式。
使用 VMware Cloud Director 應用裝置時,若要將 VMware Cloud Director 應用裝置設定為在 FIPS 相容模式下執行,則必須同時管理應用裝置 FIPS 模式和儲存格 FIPS 模式。
- 應用裝置 FIPS 模式是基礎應用裝置作業系統、內嵌式資料庫和各種系統程式庫的模式。
- 儲存格 FIPS 模式是每個應用裝置上執行的 VMware Cloud Director 儲存格的模式。
健全狀況 | 描述 |
---|---|
應用裝置與儲存格 FIPS 模式相符。兩種模式均處於開啟或關閉狀態。 | |
儲存格 FIPS 模式處於正在等待重新啟動狀態。使用應用裝置 API 啟用或停用應用裝置 FIPS 模式。變更應用裝置 FIPS 模式會自動重新啟動 VMware Cloud Director 儲存格服務。 | |
VMware Cloud Director 應用裝置無法確定儲存格 FIPS 模式。應用裝置上的 VMware Cloud Director 服務失敗可能會導致儲存格 FIPS 模式不確定。 |
必要條件
程序
- 以 root 身分登入應用裝置管理使用者介面,網址為:https://primary_eth1_ip_address:5480。
- 從左面板中,選取系統組態。
- 檢視每個節點上應用裝置和儲存格 FIPS 模式的狀態。