可以將 Linux 上的 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。
聯邦資訊處理標準 (FIPS) 140-2 是美國和加拿大政府標準,用於指定密碼編譯模組的安全性需求。NIST 密碼編譯模組驗證計劃 (CMVP) 會驗證符合 FIPS 140-2 標準的密碼編譯模組。
VMware Cloud Director FIPS 支援的目的是簡化各種規範環境下的合規性和安全性活動。若要瞭解有關 VMware 產品中的 FIPS 140-2 支援的詳細資訊,請參閱 https://www.vmware.com/security/certifications/fips.html。
在 VMware Cloud Director 中,FIPS 驗證的加密預設為停用狀態。啟用 FIPS 模式後,可以將 VMware Cloud Director 設定為使用 FIPS 140-2 驗證的密碼編譯模組,並且在 FIPS 相容模式下執行。
重要: 啟用 FIPS 模式時,與
VMware Aria Automation Orchestrator 的整合無法運作。
VMware Cloud Director 使用以下 FIPS 140-2 驗證的密碼編譯模組:
- VMware BC-FJA (Bouncy Castle FIPS Java API) 版本 1.0.2.3:憑證 #3673 (1.0.2.3 正在接受 NIST 審查。版本 1.0.2.1 已獲核准。根據憑證 #3514,版本 1.0.2.3 的相應 Bouncy Castle FIPS 模組已獲核准)
- VMware OpenSSL FIPS 物件模組版本 2.0.20-vmw:憑證 #3857
如需在 VMware Cloud Director 應用裝置上啟用 FIPS 模式的相關資訊,請參閱〈在 VMware Cloud Director 應用裝置上啟用或停用 FIPS 模式〉。
必要條件
- 安裝並啟用
rng-tools
公用程式集。請參閱https://wiki.archlinux.org/index.php/Rng-tools。 - 如果已啟用度量收集,請確認 Cassandra 憑證是否遵循 X.509 v3 憑證標準且包括所有必要延伸。必須透過 VMware Cloud Director 使用的相同加密套件來設定 Cassandra。如需允許的 SSL 加密的相關資訊,請參閱〈管理允許的 SSL 加密清單〉。
- 如果您想要使用 SAML 加密,必須為現有組織重新產生其中一個金鑰配對,然後重新交換 SAML 中繼資料。使用 VMware Cloud Director 10.2.x 及更早版本建立的組織具有兩個相同的金鑰配對,您必須重新產生其中一個金鑰配對。使用 VMware Cloud Director10.3 及更新版本建立的組織具有兩個不同的金鑰配對,因此無需重新產生任何金鑰配對。
程序
下一步
- 按一下停用以停用 FIPS 模式,當 VMware Cloud Director 指示設定準備就緒後,請重新啟動儲存格。
- 可以使用 fips-mode CMT 命令檢視作用中 VMware Cloud Director 儲存格的 FIPS 狀態。請參閱 《VMware Cloud Director 安裝、設定與升級指南》中的〈檢視所有作用中儲存格的 FIPS 狀態〉。
- 若要避免主機標頭插入漏洞,請啟用主機標頭驗證。
- 以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 主控台。
- 使用儲存格管理工具啟用主機標頭驗證。
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true