未解決
5 Practitioner
•
274.2K メッセージ
0
527
VxRAIL iDRACのFIPSモード有効化運用について
以下バージョン構成で導入予定のVxRAIL E560環境がございます。
お客様要件によりiDRACのFIPSモード有効化が検討されており、これに関して確認させて頂けますでしょうか。
【VxRailバージョン 4.5.420】
-----------------------------------------------------------------------------
・VxRail Manager 4.5.420 build 15404558
・vCenter 6.5 ※Embedded
・ESXi 6.5
・vSAN 6.6.1
・iDRAC 3.36.36.37v3
・SRS VE v3.38 or v3.42 ※VxRAIL外に統合型Gatewayを導入予定
-----------------------------------------------------------------------------
Q1. iDRAC9のFIPSモード有効化はVxRAIL(vSphere)の稼働には影響しないものと認識しておりますが相違ないでしょうか。
Q2. iDARC9のマニュアル上、FIPSモードの有効化に関しては以下明記がございました。
・有効化の再、iDRACのリセットが発生する。
設定復元の際は構成プロファイルのバックアップと復元の手続きが必要。
・iDRACファームウェアアップグレード時、FIPSモードは無効となる。
一方で、VxRAILのワンクリックアップグレード機能において
iDRAC9のアップグレードが発生するパッケージもあるかと存じます。
VxRAILのiDRAC9にてFIPSモード有効化の運用とするためには、
以下のような手動オペレーションの実施が必要になってきますでしょうか?
・VxRAILアップグレード前にiDRACの構成ファイルをバックアップ
・VxRAILアップグレードの実施(iDRAC v-upが発生した場合、FIPSモードが無効化状態となる)
・iDRACのFIPSモードを再度有効化・証明書インストール (iDRAC構成がリセットされる)
・iDRACの構成バックアップファイルを復元
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
2
2020年5月13日 18:00
ayasさんの回答と同じですが、いちおう準備していたものを投稿しておきます。
以下の資料を見てみました。
Dell EMC VxRail: Security Technical Implementation Guide (STIG) on VxRail
https://support.emc.com/kb/538590
https://support.emc.com/docu98298_VxRail-Appliance-STIG-Hardening-Guide.pdf
https://support.emc.com/docu88405_VxRail-Appliance-Software-4.5.x-and-4.7.x-Security-Configuration-Guide.pdf?language=en_US
https://support.emc.com/docu95173_VxRail-Documentation-Quick-Reference-List.pdf?language=en_US
https://www.dellemc.com/resources/ja-jp/asset/white-papers/products/converged-infrastructure/VxRail_Comprehensive_Security_by_Design.pdf
https://www.dellemc.com/resources/ja-jp/auth/asset/presentations/products/converged-infrastructure/vxrail_security_presentation.pptx.external
https://www.dellemc.com/en-us/collaterals/unauth/white-papers/products/converged-infrastructure/vxrail-comprehensive-security-design.pdf
https://downloads.dell.com/solutions/dell-management-solution-resources/Security%20Whitepaper%20-%2014G%20PowerEdge%20servers%20%28Jan%202018%29.pdf
https://infohub.delltechnologies.com/l/dell-emc-vxrail-appliances-comprehensive-security-by-design/data-security
VxRail: iDRAC settings that can not be changed
https://support.emc.com/kb/498837
VxRail: Resetting iDRAC to default settings breaks hardware monitoring functionality
https://support.emc.com/kb/498835
VxRail向けに提供されているSTIGガイドに従えば、USの国防総省でも利用可能なSecurity要件を満たすことができますが、STIGの対象にはiDRACは含まれておらず、iDRACのFIPSモードについても記載がありませんでした。
iDRACのFIPSモードを有効化することにより、vSphere 部分への影響はないと思われますが、VxRailが独自に実装するハードウェ監視機構に影響が出る可能性があります。
iDRACのガイドによればFIPSモードを有効化することにより、工場出荷状態に戻るとありますが、工場出荷状態にResetすることで問題が発生することを示すKBもありました。
お客様の要件でどうしてもiDRACでのFIPSモードの有効化が必要な場合は、RPQでDell EMCの正式な回答を得たほうが良いと思います。
ayas
Moderator
Moderator
•
6.7K メッセージ
1
2020年5月13日 18:00
tomoki.yatsuoさん
Vxrailの資料にはFIPSモード有効化を明示的には否定したものはないです。
しかし過去の対応履歴を確認すると同じような要望があり、その中ではiDRACとしてはEnableはOKだけれど
VxRail ではその実用実績がないのでお勧めはできない、というサポートエンジニアのコメントを見つけました。
そのため確実にするためには、その可否と運用方法も含め、RPQの申請をお勧めします。
(対応履歴の中でもおっしゃる通りバックアップは必要ということでした)
Anonymous
5 Practitioner
5 Practitioner
•
274.2K メッセージ
0
2020年5月14日 06:00
ayasさん、naoyuki_nakedaさん
ご返信ありがとうございます。
多くのご指南とナレッジ情報を共有頂け、大変助かりました。
本ケースに関しては、RPQを起案して実現性を評価頂くように致します。