Data Domain – konfigurace standardu FIPS a vzorové postupy
Summary: Systém souborů DD, SMS, služba Apache HTTP, klient LDAP a daemon SSH používají algoritmy kompatibilní se standardem FIPS 140-2, pokud je povolen standard FIPS 140-2
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Pokud se chcete přihlásit s povoleným standardem FIPS v systému ochrany nebo instanci systému DDVE pomocí SSH, minimální podporovaná verze SSH musí být OpenSSH v5.9p1.
Povolení bezpečnostního ověřování
Pomocí rozhraní příkazového řádku můžete povolit nebo zakázat zásady bezpečnostního ověřování.
O této úloze
POZNÁMKA: Musí být nainstalována licence DD Retention Lock Compliance. V systémech DD Retention Lock Compliance není povoleno zakázat zásady ověření.
Kroky
1. Přihlaste se do rozhraní příkazového řádku pomocí uživatelského jména a hesla bezpečnostního pracovníka.
2. Pokud chcete povolit zásady oprávnění bezpečnostního pracovníka, zadejte: #
Následující příkazy vždy vyžadují oprávnění bezpečnostního pracovníka:
Tlačítko režimu FIPS umožňuje povolit nebo zakázat režim souladu FIPS 140-2.
Kroky
1. Vyberte možnost Administration > Settings.
2. Kliknutím na možnost FIPS Mode povolíte nebo zakážete režim souladu FIPS 140-2.
Výsledky
Po povolení režimu souladu FIPS 140-2 systém DDOS:
● Vynutí změnu hesla pro účet sysadmin a jeden účet bezpečnostního pracovníka (pokud je bezpečnostní pracovník povolen).
● Restartuje se, což způsobí přerušení přístupu k systému souborů.
● Po dokončení restartu povolí přístup k systému souborů pouze aplikacím s klienty kompatibilními se standardem FIPS.
Konfigurace FIPS
Stručné reference týkající se služeb a standardů FIPS po povolení standardu FIPS v systému
NIS
Pokud je povolen režim FIPS, ujistěte se, že je server NIS nakonfigurován pomocí funkce SHA512 pro hashování hesla uživatele. To platí pro stávající uživatele služby NIS a nové uživatele přidané na server NIS. Pokud je server NIS již nakonfigurován, dříve podporovaným uživatelům NIS se nemusí dařit přihlásit. Všechna uživatelská hesla je nutné opět hashovat pomocí funkce SHA512.
LDAP
Pokud není služba SNMP vyžadována, zakažte ji.
Pokud je vyžadována a povolena služba SNMP, následuje seznam konfigurací SNMP, které jsou potřeba před povolením
režimu FIPS.
● Protokol SNMP musí být nakonfigurován s verzí SNMP V3.
● Ověřovací protokol uživatele SNMP musí být nakonfigurován jako SHA256.
● Protokol ochrany osobních údajů uživatele SNMP musí být nakonfigurován jako AES.
Protokoly SNMP v2/SNMP v1 neimplementují kryptografické zabezpečení a pokud má
systém povolen standard FIPS, měl by se používat pouze protokol SNMP v3.
Režim FIPS v operačním systému s klientem DD Boost
Režim FIPS lze povolit v operačním systému s aplikací, která používá klienta DD Boost pro připojení k systému DD
, bez vědomí aplikace a bez povolení režimu FIPS v systému DD. V takovém případě je nutné provést některou z následujících konfigurací:
Povolení bezpečnostního ověřování
Pomocí rozhraní příkazového řádku můžete povolit nebo zakázat zásady bezpečnostního ověřování.
O této úloze
POZNÁMKA: Musí být nainstalována licence DD Retention Lock Compliance. V systémech DD Retention Lock Compliance není povoleno zakázat zásady ověření.
Kroky
1. Přihlaste se do rozhraní příkazového řádku pomocí uživatelského jména a hesla bezpečnostního pracovníka.
2. Pokud chcete povolit zásady oprávnění bezpečnostního pracovníka, zadejte: #
authorization policy set security-officer enabled
Následující příkazy vždy vyžadují oprávnění bezpečnostního pracovníka:
# system fips-mode disable # system fips-mode enable
Povolení režimu FIPS
Tlačítko režimu FIPS umožňuje povolit nebo zakázat režim souladu FIPS 140-2.
Kroky
1. Vyberte možnost Administration > Settings.
2. Kliknutím na možnost FIPS Mode povolíte nebo zakážete režim souladu FIPS 140-2.
Výsledky
Po povolení režimu souladu FIPS 140-2 systém DDOS:
● Vynutí změnu hesla pro účet sysadmin a jeden účet bezpečnostního pracovníka (pokud je bezpečnostní pracovník povolen).
● Restartuje se, což způsobí přerušení přístupu k systému souborů.
● Po dokončení restartu povolí přístup k systému souborů pouze aplikacím s klienty kompatibilními se standardem FIPS.
Konfigurace FIPS
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Stručné reference týkající se služeb a standardů FIPS po povolení standardu FIPS v systému
| Služba | Podpora standardu FIPS | Poznámka ke konfiguraci |
| SSH | Ano | Soulad s povolením standardu FIPS |
| HTTPS | Ano | Soulad s povolením standardu FIPS |
| Telnet | Ne | Ve výchozím nastavení zakázáno; není povoleno pro standard FIPS |
| FTP/FTPS | Ne | Ve výchozím nastavení zakázáno; není povoleno pro standard FIPS |
| SMS | Ano | Soulad s povolením standardu FIPS |
| Šifrování dat | Ano | Soulad s povolením standardu FIPS |
| Replikace dat | Ano | Použití obousměrného ověřování |
| NIS | Ano | Použití funkce SHA512 pro hashování hesla uživatele |
| LDAP | Ano | Použití ověřování TLS |
| SNMP | Ano | Použití protokolu SNMPV3 |
| DD Boost | Ano | DD Boost Client musí mít verzi 7.3 a vyšší |
| Active Directory | Ne | Není kompatibilní se standardem FIPS |
| CIFS | Ne | Nezávislé na nastavení režimu FIPS |
| NFS | Ne | Není kompatibilní se standardem FIPS |
| Secure Remote Services | Ne | Zakázáno ve výchozím nastavení |
Šifry SSH, MAC a algoritmy výměny klíčů
Když je povolen standard FIPS:
● Lze nastavit pouze šifry SSH a MAC schválené standardem FIPS 140-2. Uživatelské role admin a limited-admin mohou nastavit šifry a adresy MAC,
které lze nakonfigurovat pomocí následujícího příkazu: adminaccess ssh option set ciphers
● Seznam šifer, seznam adres MAC a seznam algoritmů KEX (Key Exchange Algorithms) v konfiguračním souboru SSHD se nastaví na výchozí seznam šifer,
adres MAC a algoritmů KEX kompatibilních se standardem FIPS. Stará nastavení se ztratí.
Když je režim souladu FIPS zakázaný, seznam šifer, adres MAC a klíčů KEX (Key Exchange Algorithms) v konfiguračním souboru SSHD
se nastaví na výchozí seznam šifer, adres MAC a algoritmů KEX. Stará nastavení se ztratí.
Následující šifry jsou podporovány v systémech nebo zařízeních DDVE se systémem DDOS a s povoleným standardem FIPS:
šifry, adresy MAC a algoritmy výměny klíčů
| Šifry | ● aes128-ctr ● aes192-ctr ● aes256-ctr |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| Algoritmy KEX (Key Exchange Algorithm) | ● ecdh-sha2-nistp256 ● ecdh-sha2-nistp384 ● ecdh-sha2-nistp521 ● diffie-hellman-group16-sha512 ● diffie-hellman-group18-sha512 ● diffie-hellman-group14-sha256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
Služba HTTPS Apache používá stejný seznam šifer jako SMS.
Šifrování dat v klidu
Pokud je povoleno šifrování dat v klidu, je ve výchozím nastavení kompatibilní se standardem FIPS.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Aplikace | Výchozí seznam šifer TLS |
| Výchozí šifrovací sady pro nastavení replikace a rozhraní REST API: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| Výchozí šifrovací sady pro uživatelské rozhraní: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Pokud je povolen režim FIPS, ujistěte se, že je server NIS nakonfigurován pomocí funkce SHA512 pro hashování hesla uživatele. To platí pro stávající uživatele služby NIS a nové uživatele přidané na server NIS. Pokud je server NIS již nakonfigurován, dříve podporovaným uživatelům NIS se nemusí dařit přihlásit. Všechna uživatelská hesla je nutné opět hashovat pomocí funkce SHA512.
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Pokud není služba SNMP vyžadována, zakažte ji.
Pokud je vyžadována a povolena služba SNMP, následuje seznam konfigurací SNMP, které jsou potřeba před povolením
režimu FIPS.
● Protokol SNMP musí být nakonfigurován s verzí SNMP V3.
● Ověřovací protokol uživatele SNMP musí být nakonfigurován jako SHA256.
● Protokol ochrany osobních údajů uživatele SNMP musí být nakonfigurován jako AES.
Protokoly SNMP v2/SNMP v1 neimplementují kryptografické zabezpečení a pokud má
systém povolen standard FIPS, měl by se používat pouze protokol SNMP v3.
Režim FIPS v operačním systému s klientem DD Boost
Režim FIPS lze povolit v operačním systému s aplikací, která používá klienta DD Boost pro připojení k systému DD
, bez vědomí aplikace a bez povolení režimu FIPS v systému DD. V takovém případě je nutné provést některou z následujících konfigurací:
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Pokud je v operačním systému povolen režim FIPS bez některé z výše uvedených konfigurací, všechna připojení z tohoto klienta k libovolnému systému DD se nezdaří.
Klient DD Boost s povoleným režimem FIPS
Pokud je v systému povolen režim FIPS, měly by aplikace, které přistupují k systému pomocí protokolu DD Boost, používat klientské knihovny DD Boost verze 7.3. Tím je zaručeno, že operace budou kompatibilní se standardem FIPS a budou používat algoritmy kompatibilní se standardem FIPS. Někdy může aplikace způsobit, že klientské knihovny DD Boost přejdou do režimu FIPS, pokud aplikace podporuje standard FIPS a byla aktualizována tak, aby přešla do režimu FIPS v klientské knihovně. V takovém případě se použijí nejen algoritmy kompatibilní se standardem FIPS, ale implementace těchto algoritmů budou používat certifikované knihovny FIPS.
Když je povolen režim FIPS, hesla nastavená v systému, který DD Boost používá pro přístup k systému, musí mít hodnoty hashe SHA512. Uživatel s heslem s hashem MD5 se nebude moci připojit k systému s povoleným standardem FIPS.
POZNÁMKA: Klientská knihovna Boost, kterou aplikace používá, musí mít verzi >=7.1, aby se aplikace mohla úspěšně připojit k systému DD s verzí >DDOS =7.1 a povoleným režimem FIPS. Verzi klientské knihovny DD Boost, která se dodává s aplikací, určuje poskytovatel aplikace. Seznam všech klientů Boost, kteří se za posledních 24 hodin připojili k systému DD, lze získat z příkazového řádku pomocí příkazu „ddboost show connections“. Ve sloupci Plugin Version by bylo možné zjistit, zda se k tomuto systému DD aktuálně připojuje některý klient s doplňkem Boost starším než 7.1.x.x. Po aktivaci režimu FIPS v systému DD se nepodaří připojit žádného takového klienta a je nutné je upgradovat. Obraťte se na dodavatele aplikace a zjistěte, kterou verzi klientské knihovny DD Boost používá konkrétní verze aplikace, abyste zjistili, zda lze aplikaci použít se systémem DD s povoleným režimem FIPS.
Telnet
Telnet není kompatibilní se standardem FIPS a je ve výchozím nastavení zakázán.
FTP/FTPS
Protokol FTP/FTPS není kompatibilní se standardem FIPS a je ve výchozím nastavení zakázán.
Active Directory
Sužba Active Directory není kompatibilní se standardem FIPS.
Služba Active Directory bude dál fungovat, když je nakonfigurovan a povolen standard FIPS.
CIFS
Server CIFS v systému DDOS je nezávislý na nastavení režimu FIPS. I když zákazník povolí režim FIPS, protokol CIFS bude nadále fungovat v režimu,
který není kompatibilní se standardem FIPS.
Pokud chcete zakázat nebo zabránit protokolu CIFS v přijímání jakýchkoli připojení z clients:sysadmin@localhost#
cifs disable
NFS
NFS není kompatibilní se standardem FIPS.
● Systém NFS nadále funguje v režimu, který není kompatibilní se standardem FIPS.
● NFS lze zakázat pomocí příkazu „nfs disable“.
Secure Connect Gateway (SCG)
Brána SCG je zabezpečené obousměrné propojení mezi produkty Dell EMC a zákaznickou podporou Dell EMC. Brána SCG je ve výchozím nastavení zakázána a nadále funguje v režimu, který není kompatibilní se standardem FIPS.
Standardy DISA STIG
| Povolí šifrování schválené standardem FIPS 140-2. | Systém DD podporuje pro zabezpečená připojení pouze šifry schválené standardem FIPS 140-2. Systém DD doporučuje k povolení režimu FIPS použít uživatelské rozhraní nebo rozhraní příkazového řádku: ● Uživatelské rozhraní: Administration > Settings > FIPS Mode ● CLI: system fips-mode enable |
| Použití ověřovacího serveru k ověření uživatelů před udělením přístupu pro správu. | Systém DD podporuje více protokolů názvových serverů, například LDAP, NIS a AD. Systém DD doporučuje používat protokol OpenLDAP s povoleným standardem FIPS. Systém DD spravuje pouze místní účty. Systém DD doporučuje ke konfiguraci protokolu LDAP použít uživatelské rozhraní nebo rozhraní příkazového řádku. ● Uživatelské rozhraní: Administration > Access > Authentication ● CLI: Příkazy LDAP pro ověřování: Službu Active Directory je také možné nakonfigurovat pro přihlašování uživatelů s povoleným standardem FIPS. Tato konfigurace však již nepodporuje přístup k datům CIFS s uživateli AD. |
| Síťové zařízení musí ověřit koncové body SNMP správy sítě před navázáním místního, vzdáleného nebo síťového připojení pomocí obousměrného ověřování, které je kryptograficky ošetřené. | Systém DD podporuje protokol SNMPV3, který je kompatibilní se standardem FIPS. Systém DD doporučuje ke konfiguraci protokolu SNMPV3 použít uživatelské rozhraní nebo rozhraní příkazového řádku. ● Uživatelské rozhraní: Administration > Settings > SNMP ● CLI: Příkazy SNMP |
| Použijte kryptografický algoritmus hashování schválený standardem FIPS 140-2. | Systém musí používat kryptografický algoritmus hashování schválený standardem FIPS 140-2 ke generování hashů hesel účtů. Systémy musí pro hesla používat kryptografické hashe prostřednictvím rodiny algoritmů SHA-2 nebo algoritmů schválených následnými verzemi FIPS 140-2. Použití neschválených algoritmů může mít za následek slabší zabezpečení a větší zranitelnost. POZNÁMKA: Referenční příručka příkazů DDOS popisuje, jak používat příkaz adminaccess option set password-hash {md5 | sha512} k nastavení kryptografického hashování schváleného standardem FIPS 140-2 v systému. Změna algoritmu hashování nezmění hodnotu hashe pro všechna stávající hesla. Jakákoli stávající hesla, která byla hashována pomocí MD5, budou mít stále hodnoty hashování MD5 i po změně algoritmu hashování hesel na SHA512. Tato hesla je nutné resetovat, aby se vypočítala nová hodnota hashování SHA512. |
Additional Information
Externě podepsané certifikáty
Certifikační autorita (CA) je ve formátu veřejného certifikátu (PEM) a vytváří důvěryhodné připojení mezi externí entitou a každým systémem.
Pokud systém používá externího správce klíčů, vyžaduje hostitelský certifikát PKCS12 a certifikát certifikační autority ve formátu PEM (veřejný klíč) k navázání důvěryhodného připojení mezi serverem externího správce klíčů a každým systémem, který spravuje.
Podepisování certifikátu vyžaduje formát PKCS10. Veřejný klíč certifikátu může mít formát PKCS12 (veřejný a soukromý klíč) nebo PEM. Formát PEM hostitelského certifikátu se používá pouze s funkcí CSR (Certificate Signing Request).
Jednotlivé hostitelské certifikáty lze importovat pro protokol HTTPS a komunikaci s externím správcem klíčů.
Import hostitelského certifikátu ve formátu PKCS12 je podporován. Pokud je v systému požadavek CSR, můžete po podepsání požadavku CSR certifikační autoritou importovat hostitelský certifikát ve formátu PEM.
POZNÁMKA: K importu certifikátu je vyžadováno systémové heslo.
V systému DD s podporou standardu FIPS musí být soubor PKCS12 kompatibilní se standardem FIPS. Při šifrování souboru PKCS12 je nutné použít kompatibilní šifrovací algoritmy. Pro šifrování klíče a certifikátu v souboru PKCS12 doporučujeme použít „PBE-SHA1-3DES“.
Šifrování DD poskytuje možnost inline šifrování, což znamená, že při příjmu dat je datový proud před zápisem do skupiny RAID deduplikován, komprimován a šifrován pomocí šifrovacího klíče. Software DD Encryption používá knihovny RSA BSAFE ověřené standardem FIPS 140-2.
Secure Connect Gateway (SCG)
Secure Connect Gateway je automatické řešení Connect Home a řešení vzdálené podpory založené na protokolu IP, které vytváří jednotnou architekturu i společný přístupový bod pro aktivity vzdálené podpory prováděné na produktu. Řešení SCG IP
provádí následující:
● Poskytuje nepřetržité monitorování, diagnostiku a opravy drobných hardwarových problémů.
● Používá nejpokročilejší šifrování, ověřování, audit a autorizaci pro vzdálenou podporu s mimořádně vysokým zabezpečením.
● Řeší soulad s podnikovými a vládními nařízeními poskytováním protokolů všech přístupových událostí.
● Zajišťuje snadnou integraci a konfiguraci se sítí správy úložiště a branami firewall.
● Poskytuje maximální ochranu informační infrastruktury. Relace založené na IP adrese umožňují rychlý přenos a překlad informací.
● Konsoliduje vzdálenou podporu informací s klientem SCG.
● Poskytuje vzdálený přístup k pracovišti pro zotavení po havárii a zajišťuje bezproblémovou obnovu po neplánovaných událostech.
● Chrání informace v pohybu nebo v klidu. Šifrování AES 256 chrání informace během jejich přenosu.
● Snižuje náklady a nepořádek v datovém centru a urychluje dobu řešení. Eliminace nákladů na modem/telefonní linku se promítá do nižších nákladů.
POZNÁMKA: Brána SCG není kompatibilní se standardem FIPS.
POZNÁMKA: Použití protokolu FTP nebo nezabezpečeného e-mailu při připojování k bráně SCG může představovat bezpečnostní riziko.
Přidání cloudové jednotky pro službu Amazon Web Services S3
AWS nabízí celou řadu tříd úložišť. Matice kompatibility poskytovatelů cloudu, která je k dispozici na webu E-Lab Navigator, poskytuje aktuální informace o podporovaných třídách úložiště.
O této úloze
Pro zvýšení zabezpečení používá funkce Cloud Tier pro všechny požadavky AWS podpis verze 4. Podpis verze 4 je ve výchozím nastavení povolen.
Poskytovatel cloudu AWS používá následující koncové body v závislosti na třídě úložiště a oblasti. Před konfigurací cloudových jednotek se ujistěte, že server DNS dokáže tyto názvy hostitelů přeložit.
Koncové body kompatibilní se standardem FIPS jsou k dispozici pro cloud AWS pro státní správu.
Počínaje verzí DDOS 7.8 oblast us-east-1 již nepodporuje starší koncový bod s3.amazonaws.com. Oblast us-east-1 teď vyžaduje koncový bod s3.us-east-1.amazonaws.com. Před upgradem na systém DDOS 7.8 ověřte, zda je brána firewall otevřená pro přístup k novému koncovému bodu.
s3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.