Highlighted

VxRAIL iDRACのFIPSモード有効化運用について

以下バージョン構成で導入予定のVxRAIL E560環境がございます。
お客様要件によりiDRACのFIPSモード有効化が検討されており、これに関して確認させて頂けますでしょうか。

【VxRailバージョン 4.5.420】
-----------------------------------------------------------------------------
 ・VxRail Manager 4.5.420 build 15404558
 ・vCenter 6.5 ※Embedded
 ・ESXi  6.5
 ・vSAN  6.6.1
 ・iDRAC 3.36.36.37v3
 ・SRS VE v3.38 or v3.42 ※VxRAIL外に統合型Gatewayを導入予定
-----------------------------------------------------------------------------

Q1. iDRAC9のFIPSモード有効化はVxRAIL(vSphere)の稼働には影響しないものと認識しておりますが相違ないでしょうか。

Q2. iDARC9のマニュアル上、FIPSモードの有効化に関しては以下明記がございました。
   ・有効化の再、iDRACのリセットが発生する。
    設定復元の際は構成プロファイルのバックアップと復元の手続きが必要。
   ・iDRACファームウェアアップグレード時、FIPSモードは無効となる。

   https://www.dell.com/support/manuals/jp/ja/jpbsd1/idrac9-lifecycle-controller-v3.0-series/idrac_3.00...

   一方で、VxRAILのワンクリックアップグレード機能において
   iDRAC9のアップグレードが発生するパッケージもあるかと存じます。

   VxRAILのiDRAC9にてFIPSモード有効化の運用とするためには、
   以下のような手動オペレーションの実施が必要になってきますでしょうか?
 
   ・VxRAILアップグレード前にiDRACの構成ファイルをバックアップ
   ・VxRAILアップグレードの実施(iDRAC v-upが発生した場合、FIPSモードが無効化状態となる)
   ・iDRACのFIPSモードを再度有効化・証明書インストール (iDRAC構成がリセットされる)
   ・iDRACの構成バックアップファイルを復元

ラベル(3)
0 件の賞賛
3件の返信3
Highlighted
モデレーター
モデレーター

Re: VxRAIL iDRACのFIPSモード有効化運用について

tomoki.yatsuoさん

Vxrailの資料にはFIPSモード有効化を明示的には否定したものはないです。

しかし過去の対応履歴を確認すると同じような要望があり、その中ではiDRACとしてはEnableはOKだけれど

VxRail ではその実用実績がないのでお勧めはできない、というサポートエンジニアのコメントを見つけました。

そのため確実にするためには、その可否と運用方法も含め、RPQの申請をお勧めします。

 

(対応履歴の中でもおっしゃる通りバックアップは必要ということでした)

Highlighted
4 Tellurium

Re: VxRAIL iDRACのFIPSモード有効化運用について

ayasさんの回答と同じですが、いちおう準備していたものを投稿しておきます。

 

 

以下の資料を見てみました。

Dell EMC VxRail: Security Technical Implementation Guide (STIG) on VxRail

https://support.emc.com/kb/538590

 

https://support.emc.com/docu98298_VxRail-Appliance-STIG-Hardening-Guide.pdf

https://support.emc.com/docu88405_VxRail-Appliance-Software-4.5.x-and-4.7.x-Security-Configuration-G...

https://support.emc.com/docu95173_VxRail-Documentation-Quick-Reference-List.pdf?language=en_US

https://www.dellemc.com/resources/ja-jp/asset/white-papers/products/converged-infrastructure/VxRail_...

https://www.dellemc.com/resources/ja-jp/auth/asset/presentations/products/converged-infrastructure/v...

https://www.dellemc.com/en-us/collaterals/unauth/white-papers/products/converged-infrastructure/vxra...

https://downloads.dell.com/solutions/dell-management-solution-resources/Security%20Whitepaper%20-%20...

https://infohub.delltechnologies.com/l/dell-emc-vxrail-appliances-comprehensive-security-by-design/d...

VxRail: iDRAC settings that can not be changed

https://support.emc.com/kb/498837

VxRail: Resetting iDRAC to default settings breaks hardware monitoring functionality

https://support.emc.com/kb/498835

 

VxRail向けに提供されているSTIGガイドに従えば、USの国防総省でも利用可能なSecurity要件を満たすことができますが、STIGの対象にはiDRACは含まれておらず、iDRACのFIPSモードについても記載がありませんでした。

iDRACのFIPSモードを有効化することにより、vSphere 部分への影響はないと思われますが、VxRailが独自に実装するハードウェ監視機構に影響が出る可能性があります。

iDRACのガイドによればFIPSモードを有効化することにより、工場出荷状態に戻るとありますが、工場出荷状態にResetすることで問題が発生することを示すKBもありました。

お客様の要件でどうしてもiDRACでのFIPSモードの有効化が必要な場合は、RPQでDell EMCの正式な回答を得たほうが良いと思います。

 

 






==== 自動追記 ====
投稿内容はすべて筆者個人としての投稿であり所属団体とは無関係です。
仕様、不具合などに関する投稿内容は、明記の無い限り投稿時点の最新Vesrionを想定しています。
Highlighted

Re: VxRAIL iDRACのFIPSモード有効化運用について

ayasさん、naoyuki_nakedaさん

ご返信ありがとうございます。

多くのご指南とナレッジ情報を共有頂け、大変助かりました。

本ケースに関しては、RPQを起案して実現性を評価頂くように致します。

0 件の賞賛