Data Domain - Configuration et pratiques d’excellence FIPS
Summary: Le système de fichiers DD, SMS, le service HTTP Apache, le client LDAP et le processus SSH utilisent des algorithmes conformes à la norme FIPS 140-2 lorsque la norme FIPS est activée.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Pour vous connecter avec FIPS activé sur un système de protection ou une instance DDVE à l’aide de SSH, la version SSH minimale prise en charge est OpenSSH v5.9p1.
Activation de l’autorisation de sécurité
Vous pouvez utiliser l’interface de ligne de commande pour activer et désactiver la politique d’autorisation de sécurité.
À propos de cette tâche
Remarque : la licence DD Retention Lock Compliance doit être installée. Vous n’êtes pas autorisé à désactiver la politique d’autorisation sur les systèmes DD Retention Lock Compliance.
Étapes
1. Connectez-vous à la CLI à l’aide d’un nom d’utilisateur et d’un mot de passe de responsable de la sécurité.
2. Pour activer la politique d’autorisation du responsable de la sécurité, saisissez : N°
Les commandes suivantes nécessitent toujours l’autorisation du responsable de la sécurité :
Le bouton de mode FIPS vous permet d’activer ou de désactiver le mode de conformité FIPS 140-2.
Étapes
1. Sélectionnez Administration > Paramètres.
2. Cliquez sur Mode FIPS pour activer ou désactiver le mode de conformité FIPS 140-2.
Résultats
Après l’activation du mode de conformité FIPS 140-2, DDOS :
● Force la modification du mot de passe pour le compte sysadmin et un compte de responsable de la sécurité (si le responsable de la sécurité est activé).
● Redémarre, provoquant une interruption de l’accès au système de fichiers.
● Autorise uniquement les applications avec des clients compatibles FIPS à accéder au système de fichiers une fois le redémarrage terminé.
Configuration de FIPS
Référence rapide relative aux services et à la conformité à la norme FIPS après l’activation de FIPS sur le système.
NIS
Si le mode FIPS est activé, assurez-vous que le serveur NIS est configuré à l’aide de SHA512 pour le hachage du mot de passe utilisateur. Cela s’applique aux utilisateurs NIS existants et aux nouveaux utilisateurs ajoutés au serveur NIS. Si le serveur NIS est déjà configuré, il se peut que les utilisateurs NIS précédemment pris en charge ne puissent pas se connecter. Tous les mots de passe utilisateur doivent être de nouveau hachés à l’aide de SHA512.
LDAP
Si le service SNMP n’est pas requis, désactivez-le.
Si le service SNMP est requis et activé, vous trouverez ci-dessous une liste des configurations SNMP nécessaires avant d’activer le
mode FIPS.
● SNMP doit être configuré avec SNMP V3.
● Le protocole SNMP d’authentification des utilisateurs doit être configuré sur SHA256.
● Le protocole SNMP de confidentialité des utilisateurs doit être configuré sur AES.
Les protocoles SNMP v2/SNMP v1 ne mettent pas en œuvre la sécurité cryptographique et seuls SNMP v3 doivent être utilisés lorsque
FIPS est activé sur le système.
Mode FIPS sur le système d’exploitation exécutant un client DD Boost
Le mode FIPS peut être activé sur le système d’exploitation exécutant une application qui utilise le client DD Boost pour se connecter à un système
DD sans connaître l’application et sans activer le mode FIPS sur le système DD. Dans un tel scénario, l’une des configurations suivantes doit être effectuée :
Activation de l’autorisation de sécurité
Vous pouvez utiliser l’interface de ligne de commande pour activer et désactiver la politique d’autorisation de sécurité.
À propos de cette tâche
Remarque : la licence DD Retention Lock Compliance doit être installée. Vous n’êtes pas autorisé à désactiver la politique d’autorisation sur les systèmes DD Retention Lock Compliance.
Étapes
1. Connectez-vous à la CLI à l’aide d’un nom d’utilisateur et d’un mot de passe de responsable de la sécurité.
2. Pour activer la politique d’autorisation du responsable de la sécurité, saisissez : N°
authorization policy set security-officer enabled
Les commandes suivantes nécessitent toujours l’autorisation du responsable de la sécurité :
# system fips-mode disable # system fips-mode enable
Activation du mode FIPS
Le bouton de mode FIPS vous permet d’activer ou de désactiver le mode de conformité FIPS 140-2.
Étapes
1. Sélectionnez Administration > Paramètres.
2. Cliquez sur Mode FIPS pour activer ou désactiver le mode de conformité FIPS 140-2.
Résultats
Après l’activation du mode de conformité FIPS 140-2, DDOS :
● Force la modification du mot de passe pour le compte sysadmin et un compte de responsable de la sécurité (si le responsable de la sécurité est activé).
● Redémarre, provoquant une interruption de l’accès au système de fichiers.
● Autorise uniquement les applications avec des clients compatibles FIPS à accéder au système de fichiers une fois le redémarrage terminé.
Configuration de FIPS
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Référence rapide relative aux services et à la conformité à la norme FIPS après l’activation de FIPS sur le système.
| Service | Prise en charge de FIPS | Remarque sur la configuration |
| SSH | Oui | Conformité après l’activation de FIPS |
| HTTPS | Oui | Conformité après l’activation de FIPS |
| Telnet | Aucune | Désactivé par défaut ; ne pas activer pour FIPS |
| FTP/FTPS | Aucune | Désactivé par défaut ; ne pas activer pour FIPS |
| SMS | Oui | Conformité après l’activation de FIPS |
| Chiffrement des données | Oui | Conformité après l’activation de FIPS |
| Réplication des données | Oui | Utiliser l’authentification bidirectionnelle |
| NIS | Oui | Utiliser SHA512 pour le hachage du mot de passe utilisateur |
| LDAP | Oui | Utiliser l’authentification TLS |
| SNMP | Oui | Utiliser SNMPv3 |
| DD Boost | Oui | Le client DD Boost doit être à la version 7.3 ou supérieure |
| Active Directory | Aucune | Non conforme à la norme FIPS |
| CIFS | Aucune | Indépendant du réglage du mode FIPS |
| NFS | Aucune | Non conforme à la norme FIPS |
| Services à distance sécurisés | Aucune | Désactivé par défaut |
Chiffrements SSH, adresses MAC et algorithmes d’échange de clés
Lorsque FIPS est activé :
● Seuls les chiffrements SSH et les adresses MAC certifiés FIPS 140-2 peuvent être définis. Les utilisateurs disposant du rôle admin ou limited-admin peuvent définir les chiffrements et les
adresses MAC, qu’il est possible de configurer en utilisant la commande suivante : adminaccess ssh option set ciphers.
● La liste de chiffrements, la liste d’adresses MAC et la liste d’algorithmes KEX (algorithmes d’échange de clés) dans le fichier de configuration SSHD sont définies sur une liste par défaut de
chiffrements, d’adresses MAC et d’algorithmes KEX conformes à la norme FIPS. Les anciens paramètres sont perdus.
Lorsque le mode de conformité FIPS est désactivé, la liste de chiffrements, la liste d’adresses MAC et la liste d’algorithmes KEX (algorithmes d’échange de clés) du
fichier de configuration SSHD sont définies sur la liste de chiffrements, d’adresses MAC et d’algorithmes KEX par défaut du système. Les anciens paramètres sont perdus.
Les chiffrements suivants sont pris en charge sur les systèmes, ou DDVE exécutant DDOS avec FIPS activé :
Chiffrements, adresses MAC et algorithmes d’échange de clés
| Chiffrements | ● aes128-ctr ● aes192-ctr ● aes256-ctr |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| Algorithmes d’échange de clés (KEX) | ● ecdh-sha2-nistp256 ● ecdh-sha2-nistp384 ● ecdh-sha2-nistp521 ● diffie-hellman-group16-sha512 ● diffie-hellman-group18-sha512 ● diffie-hellman-group14-sha256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
Le service HTTPS Apache utilise la même liste de chiffrements que SMS.
Chiffrement des données au repos
Si le chiffrement des données au repos est activé, il est conforme à la norme FIPS par défaut.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Application | Liste de chiffrements TLS par défaut |
| Les suites de chiffrements par défaut pour la configuration de la réplication et les API REST sont les suivantes : | ● ECDHE-RSA-AES256-GCM-SHA384 |
| Les suites de chiffrements par défaut pour l’interface utilisateur sont les suivantes : | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Si le mode FIPS est activé, assurez-vous que le serveur NIS est configuré à l’aide de SHA512 pour le hachage du mot de passe utilisateur. Cela s’applique aux utilisateurs NIS existants et aux nouveaux utilisateurs ajoutés au serveur NIS. Si le serveur NIS est déjà configuré, il se peut que les utilisateurs NIS précédemment pris en charge ne puissent pas se connecter. Tous les mots de passe utilisateur doivent être de nouveau hachés à l’aide de SHA512.
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Si le service SNMP n’est pas requis, désactivez-le.
Si le service SNMP est requis et activé, vous trouverez ci-dessous une liste des configurations SNMP nécessaires avant d’activer le
mode FIPS.
● SNMP doit être configuré avec SNMP V3.
● Le protocole SNMP d’authentification des utilisateurs doit être configuré sur SHA256.
● Le protocole SNMP de confidentialité des utilisateurs doit être configuré sur AES.
Les protocoles SNMP v2/SNMP v1 ne mettent pas en œuvre la sécurité cryptographique et seuls SNMP v3 doivent être utilisés lorsque
FIPS est activé sur le système.
Mode FIPS sur le système d’exploitation exécutant un client DD Boost
Le mode FIPS peut être activé sur le système d’exploitation exécutant une application qui utilise le client DD Boost pour se connecter à un système
DD sans connaître l’application et sans activer le mode FIPS sur le système DD. Dans un tel scénario, l’une des configurations suivantes doit être effectuée :
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Si le mode FIPS est activé sur le système d’exploitation sans l’une des configurations ci-dessus, toutes les connexions de ce client à n’importe quel système DD échoueront.
Client DD Boost avec mode FIPS activé
Lorsque le mode FIPS est activé sur le système, les applications accédant au système à l’aide du protocole DD Boost doivent utiliser la version 7.3 des bibliothèques du client DD Boost. Cela garantit que les opérations sont conformes à la norme FIPS et utilisent des algorithmes conformes à la norme FIPS. Il est parfois possible que l’application active le mode FIPS sur les bibliothèques du client DD Boost si l’application est conforme à la norme FIPS et a été mise à jour pour passer en mode FIPS dans la bibliothèque du client. Dans ce cas, non seulement les algorithmes conformes à la norme FIPS seront utilisés, mais les implémentations de ces algorithmes utiliseront également des bibliothèques certifiées FIPS.
Lorsque le mode FIPS est activé, les mots de passe définis sur le système utilisé par DD Boost pour accéder au système doivent avoir des valeurs de hachage SHA512. Un utilisateur avec un mot de passe comportant un hachage MD5 ne peut pas se connecter à un système compatible FIPS.
Remarque : la bibliothèque du client Boost utilisée par une application doit avoir une version >=7.1 pour que l’application puisse se connecter correctement à un système DD exécutant une version DDOS >=7.1 avec le mode FIPS activé. La version de la bibliothèque du client DD Boost fournie avec une application est déterminée par le fournisseur de l’application. La liste de tous les clients Boost qui se sont connectés au système DD au cours des dernières 24 heures peut être obtenue à partir de la commande CLI ddboost show connections. La colonne de la version du plug-in doit s’afficher pour pouvoir déterminer si un client doté d’un plug-in Boost antérieur à la version 7.1.x.x se connecte actuellement à ce système DD. Tous ces clients ne pourront pas se connecter pas une fois le mode FIPS activé sur le système DD et devront être mis à niveau. Consultez le fournisseur de l’application pour déterminer la version de la bibliothèque du client DD Boost utilisée par une version spécifique de l’application afin de déterminer si l’application peut être utilisée avec un système DD avec le mode FIPS activé.
Telnet
Telnet n’est pas conforme à la norme FIPS et est désactivé par défaut.
FTP/FTPS
FTP/FTPS n’est pas conforme à la norme FIPS et est désactivé par défaut.
Active Directory
Active Directory n’est pas conforme à la norme FIPS.
Active Directory continue de fonctionner lorsqu’il est configuré et que FIPS est activé.
CIFS
Le serveur CIFS sur DDOS est indépendant du paramètre du mode FIPS. Même si le client active le mode FIPS, CIFS continue de fonctionner en
mode non conforme à la norme FIPS.
Pour désactiver ou empêcher CIFS d’accepter des connexions à partir des clients : sysadmin@localhost#
cifs disable
NFS
NFS n’est pas conforme à la norme FIPS.
● NFS continue de fonctionner dans un mode non conforme à la norme FIPS.
● NFS peut être désactivé à l’aide de la commande nfs disable.
Secure Connect Gateway (SCG)
SCG est une connexion bidirectionnelle sécurisée entre les produits Dell EMC et le support client Dell EMC. SCG est désactivé par défaut et continue de fonctionner en mode non conforme à la norme FIPS.
Normes DISA STIG
| Activez le chiffrement certifié FIPS 140-2. | DD prend uniquement en charge l’utilisation de chiffrements certifiés FIPS 140-2 pour les connexions sécurisées. DD recommande d’utiliser l’interface utilisateur ou la CLI pour activer le mode FIPS : • Interface utilisateur : Administration > Paramètres > Mode FIPS ● CLI : system fips-mode enable |
| Utilisation du serveur d’authentification pour authentifier les utilisateurs avant d’accorder un accès administrateur. | DD prend en charge plusieurs protocoles de serveurs de noms, tels que LDAP, NIS et AD. DD recommande d’utiliser OpenLDAP avec la norme FIPS activée. DD gère uniquement les comptes locaux. DD recommande d’utiliser l’interface utilisateur ou la CLI pour configurer LDAP. • Interface utilisateur : Administration > Accès > Authentification ● CLI : Des commandes LDAP d’authentification Active Directory peuvent également être configurées pour les connexions utilisateur avec la norme FIPS activée. Toutefois, l’accès aux données CIFS avec des utilisateurs AD n’est plus pris en charge avec cette configuration. |
| Le périphérique réseau doit authentifier les points de terminaison SNMP de gestion réseau avant d’établir une connexion locale, distante ou réseau à l’aide d’une authentification bidirectionnelle basée sur un chiffrement. | DD prend en charge SNMPv3 conforme à la norme FIPS. DD recommande d’utiliser l’interface utilisateur ou la CLI pour configurer SNMPV3. • Interface utilisateur : Administration > Paramètres > SNMP ● CLI : Commandes SNMP |
| Utilisez un algorithme de hachage cryptographique certifié FIPS 140-2. | Le système doit utiliser un algorithme de hachage cryptographique certifié FIPS 140-2 pour générer des hachages de mot de passe de compte. Les systèmes doivent utiliser des hachages cryptographiques pour les mots de passe utilisant la famille d’algorithmes SHA-2 ou des successeurs certifiés FIPS 140-2. L’utilisation d’algorithmes non certifiés peut entraîner des hachages de mots de passe faibles plus vulnérables aux compromis. Remarque : le guide de référence des commandes DDOS explique comment utiliser la commande adminaccess option set password-hash {md5 | sha512} pour activer le hachage cryptographique certifié FIPS 140-2 sur le système. La modification de l’algorithme de hachage ne modifie pas la valeur de hachage des mots de passe existants. Tous les mots de passe existants qui ont été hachés avec md5 disposent toujours de valeurs de hachage md5 après avoir remplacé l’algorithme de hachage de mot de passe par sha512. Ces mots de passe doivent être réinitialisés afin que soit calculée une nouvelle valeur de hachage sha512. |
Additional Information
Certificats signés en externe
L’autorité de certification est au format de certificat public (PEM) pour établir une connexion fiable entre l’entité externe et chaque système.
Si le système utilise le gestionnaire de clés externe, il nécessite un certificat d’hôte PKCS12 et un certificat d’autorité de certification au format PEM (clé publique) pour établir une connexion fiable entre le serveur du gestionnaire de clés externe et chaque système qu’il gère.
La signature du certificat nécessite le format PKCS10. La clé de certificat public peut avoir le format PKCS12 (clé publique plus clé privée) ou PEM. Le format PEM du certificat d’hôte est utilisé uniquement avec la fonction de demande de signature de certificat (CSR).
Les certificats d’hôte individuels peuvent être importés pour HTTPS et communiquer avec le gestionnaire de clés externe.
L’importation du certificat d’hôte au format PKCS12 est prise en charge. S’il existe une CSR sur le système, vous pouvez importer le certificat d’hôte au format PEM après que la CSR a été signée par une autorité de certification.
Remarque : La phrase secrète système est requise pour importer le certificat.
Sur un système DD compatible FIPS, le fichier PKCS12 doit être conforme à la norme FIPS. Lors du chiffrement du fichier PKCS12, des algorithmes de chiffrement compatibles doivent être utilisés. Nous vous recommandons d’utiliser « PBE-SHA1-3DES » pour chiffrer la clé et le certificat dans le fichier PKCS12.
DD Encryption fournit un chiffrement à la volée, ce qui signifie que lorsque les données sont reçues, le flux est dédupliqué, compressé et chiffré à l’aide d’une clé de chiffrement avant d’être écrit dans le groupe RAID. Le logiciel DD Encryption utilise des bibliothèques RSA BSAFE conformes aux normes FIPS 140-2.
Secure Connect Gateway (SCG)
Secure Connect Gateway est une solution de support à distance et de connexion à domicile automatisée basée sur IP. Elle crée à la fois une architecture unifiée et un point d’accès commun pour les activités de support à distance effectuées sur le produit. La solution SCG IP
effectue les opérations suivantes :
● Assure la surveillance, le diagnostic et la réparation en continu des problèmes matériels mineurs.
● Utilise le chiffrement, l’authentification, l’audit et l’autorisation les plus avancés pour un support à distance ultra-sécurisé.
● Respecte les réglementations de l’entreprise et gouvernementales en fournissant des journaux de tous les accès effectués.
● Facilite l’intégration et la configuration avec le réseau de gestion du stockage et les pare-feu.
● Protège l’infrastructure d’informations au maximum. Les sessions IP permettent un transfert et une résolution rapides des informations.
● Consolide le support à distance relatif aux informations avec le client SCG.
● Fournit un accès distant au site de reprise après sinistre et facilite la récupération en cas d’événements imprévus.
● Protège les informations en transit ou au repos. Le chiffrement AES 256 pendant le transfert des informations protège les informations.
● Réduit les coûts et l’encombrement du datacenter, et accélère le délai de résolution. L’élimination des coûts de modem/ligne téléphonique se traduit par une réduction des coûts.
Remarque : SCG n’est pas conforme à la norme FIPS.
Remarque : l’utilisation d’un FTP ou d’une messagerie non sécurisée lors de la connexion à SCG peut représenter un risque pour la sécurité.
Ajout d’une unité Cloud pour Amazon Web Services S3
AWS offre une gamme de classes de stockage. La matrice de compatibilité des fournisseurs de Cloud, disponible sur E-Lab Navigator, fournit des informations à jour sur les classes de stockage prises en charge.
À propos de cette tâche
Pour plus de sécurité, la fonctionnalité de niveau Cloud utilise la version 4 de la signature pour toutes les demandes AWS. La signature version 4 est activée par défaut.
Les points de terminaison suivants sont utilisés par le fournisseur de Cloud AWS, en fonction de la classe de stockage et de la région. Assurez-vous que DNS est en mesure de résoudre ces noms d’hôte avant de configurer les unités Cloud.
Des points de terminaison conformes à la norme FIPS sont disponibles pour AWS Government Cloud.
À partir de DDOS 7.8, la région us-east-1 ne prend plus en charge l’ancien point de terminaison s3.amazonaws.com. La région us-east-1 nécessite désormais le point de terminaison s3.us-east-1.amazonaws.com. Vérifiez que le pare-feu est ouvert pour atteindre le nouveau point de terminaison avant de procéder à la mise à niveau vers DDOS 7.8.
s3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.