Data Domain: configurazione FIPS e best practice

authorization policy set security-officer enabled

# system fips-mode disable
# system fips-mode enable

The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled.
To enable FIPS compliance mode, run the following command: system fips-mode enable.
NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities.
NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. 
The other local users require sysadmin to change their passwords for them by running user change password.
NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols.
DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K.
● Dell OpenSSL Cryptographic Library v2.5
● EMC Crypto-C Micro Edition 4.1.4 cryptographic module
To disable FIPS compliance mode, run the following command: system fips-mode disable.

Crittografie SSH, algoritmi MAC e di scambio chiavi

Quando si abilita FIPS:
● È possibile impostare solo crittografie SSH e algoritmi MAC approvati FIPS 140-2. I ruoli utente admin e limited-admin possono impostare le crittografie e
gli algoritmi MAC, che possono essere configurati utilizzando il seguente comando: adminaccess ssh option set ciphers
● L'elenco delle crittografie, degli algoritmi MAC e degli algoritmi KEX (algoritmi di scambio chiavi) nel file di configurazione SSHD viene impostato su un elenco predefinito di
crittografie, algoritmi MAC e KEX conformi a FIPS. Le impostazioni precedenti vanno perse.
Quando si disabilita la modalità di conformità FIPS, l'elenco delle crittografie, l'elenco degli algoritmi MAC e l'elenco degli algoritmi KEX (algoritmi di scambio chiavi) nel
file di configurazione SSHD viene impostato sull'elenco predefinito di crittografie, algoritmi MAC e KEX del sistema. Le impostazioni precedenti vanno perse.

Le seguenti crittografie sono supportate sui sistemi o su DDVE che eseguono DDOS con FIPS abilitato:
Crittografie, algoritmi MAC e di scambio chiavi

The cipher list can always be changed by running the adminaccess ssh options set ciphers command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. 
If non-FIPS compliant ciphers are used, user would see an error. 

The MAC list can always be changed by running the adminaccess ssh options set macs command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. 
If non-FIPS compliant macs are used, user would see an error.

HTTPS

Il servizio Apache HTTPS utilizza lo stesso elenco di crittografia di SMS.

Crittografia DARE

Se la crittografia DARE è abilitata, è conforme a FIPS per impostazione predefinita.

TLS cipher-list for management communications and replication control path
In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on
the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0.
When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command,
DDOS only uses FIPS-compliant ciphers for the following communication interfaces:
● For DDMC communications to managed DD-systems
● For Replication control path
● By the Data Domain System Management (GUI)
● For REST APIs
The cipher list can be configured with the adminaccess option set cipher-list command.

When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS.
# authentication ldap ssl enable method start_tls
Otherwise, enabling FIPS compliance mode fails.
On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set.
When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following:

● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES256-SHA384
● DHE-RSA-AES256-GCM-SHA384
● DHE-RSA-AES256-SHA256
● AES256-GCM-SHA384
● AES256-SHA256
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-RSA-AES128-SHA256
● DHE-RSA-AES128-GCM-SHA256
● DHE-RSA-AES128-SHA256
● AES128-GCM-SHA256
● AES128-SHA256

The configured cipher-list should be:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128-
SHA256
When FIPS is disabled, it is set to "", an empty string.

● The DD Boost client on that operating system must be version >=7.1.
● The password hash for users on all DD systems that this client connects to must be sha512. 
   This can be changed using the adminaccess option set password-hash sha512 CLI.

Se si abilita la modalità FIPS sul sistema operativo senza una delle configurazioni sopra descritte, tutte le connessioni da questo client a qualsiasi sistema DD avranno esito negativo.

Client DD Boost con modalità FIPS abilitata

Quando si abilita la modalità FIPS sul sistema, le applicazioni che accedono al sistema utilizzando il protocollo DD Boost devono utilizzare la versione 7.3 delle librerie client DD Boost. Ciò garantisce che le operazioni siano conformi a FIPS e utilizzino algoritmi conformi a FIPS. A volte, l'applicazione può causare l'attivazione della modalità FIPS per le librerie client DD Boost nel caso in cui l'applicazione riconosca FIPS e sia stata aggiornata per attivare la modalità FIPS nella libreria client. In tal caso, non solo verranno utilizzati algoritmi conformi a FIPS, ma le implementazioni di tali algoritmi utilizzeranno librerie certificate FIPS.

Quando si disabilita la modalità FIPS, le password impostate sul sistema utilizzate da DD Boost per accedere al sistema devono avere valori hash SHA512. Un utente con una password con hash MD5 non sarà in grado di connettersi a un sistema con FIPS abilitato.

NOTA: La versione della libreria client Boost utilizzata da un'applicazione deve essere >=7.1 affinché l'applicazione si connetta correttamente a un sistema DD che esegue una versione DDOS >7.1 con modalità FIPS abilitata. La versione della libreria client DD Boost fornita con un'applicazione è determinata dal provider dell'applicazione. È possibile ottenere un elenco di tutti i client Boost che si sono connessi al sistema DD nelle ultime 24 ore con il comando della CLI ddboost show connections. Per determinare se un client con un plug-in Boost precedente alla versione 7.1.x.x si sta attualmente connettendo a questo sistema DD, è necessario esaminare la colonna Plugin Version. Tutti questi client non riusciranno a connettersi dopo l'abilitazione della modalità FIPS sul sistema DD e dovranno essere aggiornati. Rivolgersi al fornitore dell'applicazione per determinare la versione della libreria client DD Boost utilizzata da una versione specifica dell'applicazione e verificare se l'applicazione può essere utilizzata con un sistema DD con modalità FIPS abilitata.

Telnet
Telnet non è conforme a FIPS ed è disabilitato per impostazione predefinita.

FTP/FTPS
FTP/FTPS non è conforme a FIPS ed è disabilitato per impostazione predefinita.

Active Directory
Active Directory non è conforme a FIPS.
Active Directory continua a funzionare quando è configurato e quando FIPS è abilitato.

CIFS
Il server CIFS su DDOS è indipendente dall'impostazione della modalità FIPS. Anche se il cliente abilita la modalità FIPS, CIFS continua a funzionare in
modalità non conforme a FIPS.
Per disabilitare o impedire a CIFS di accettare connessioni dai client: sysadmin@localhost#

cifs disable

NFS
NFS non è conforme a FIPS.
● NFS continua a funzionare in modalità non conforme a FIPS.
● NFS può essere disabilitato con il comando nfs disable.

Secure Connect Gateway (SCG)
SCG è una connessione bidirezionale sicura tra i prodotti Dell EMC e il supporto clienti Dell EMC. SCG è disabilitato per impostazione predefinita e continua a funzionare in modalità non conforme a FIPS.

Standard DISA STIG

Il sistema deve utilizzare un algoritmo di hashing crittografico approvato FIPS 140-2 per generare gli hash delle password degli account.
I sistemi devono utilizzare hash crittografici per le password utilizzando la famiglia di algoritmi SHA-2 o relativi successori approvati FIPS 140-2. L'uso di algoritmi non approvati può comportare hash delle password deboli, più vulnerabili a subire compromissione.

NOTA: la guida di riferimento ai comandi DDOS descrive come utilizzare il comando 

adminaccess option set password-hash {md5 | sha512}

per impostare l'hashing crittografico approvato FIPS 140-2 sul sistema. 

Il cambio dell'algoritmo hash non cambia il valore hash per le password esistenti. Le password esistenti che sono state sottoposte a hashing con md5 conservano i valori hash md5 anche dopo il cambio dell'algoritmo hash delle password a sha512. Queste password devono essere reimpostate in modo che venga calcolato un nuovo valore hash sha512.

Certificati firmati esternamente
Una CA emette un certificato in formato pubblico (PEM) per stabilire una connessione attendibile tra l'entità esterna e ciascun sistema.
Se il sistema utilizza il gestore delle chiavi esterno, richiede un certificato host PKCS12 e un certificato CA in formato PEM (chiave pubblica) per stabilire una connessione attendibile tra il server di gestione chiavi esterno e ogni sistema da esso gestito.
La firma del certificato richiede il formato PKCS10. La chiave del certificato pubblico può essere in formato PKCS12 (chiave pubblica più chiave privata) o PEM. Il formato PEM del certificato host viene utilizzato solo con la funzione CSR (Certificate Signing Request).
È possibile importare singoli certificati host per HTTPS e per la comunicazione con il gestore delle chiavi esterno.
È supportata l'importazione del certificato host in formato PKCS12. Se nel sistema è presente una CSR, è possibile importare il certificato host in formato PEM dopo che la CSR è stata firmata da una CA.
NOTA: per importare il certificato, è necessaria la passphrase di sistema.
In un sistema DD abilitato per FIPS, il file PKCS12 deve essere conforme a FIPS. Per la crittografia di un file PKCS12, è necessario utilizzare algoritmi di crittografia compatibili. Si consiglia di utilizzare "PBE-SHA1-3DES" per la crittografia della chiave e del certificato nel file PKCS12.

DD Encryption fornisce la crittografia in linea, il che significa che, quando i dati vengono acquisiti, il flusso viene deduplicato, compresso e crittografato mediante una chiave di crittografia prima di essere scritto nel gruppo RAID. Il software DD Encryption utilizza le librerie RSA BSAFE, che sono convalidate FIPS 140-2.

Secure Connect Gateway (SCG)
Secure Connect Gateway (SCG) è una soluzione di supporto remoto e Connect Home automatizzata basata su IP che crea un'architettura unificata e un punto di accesso comune per le attività di supporto remoto eseguite sul prodotto. La soluzione IP SCG
effettua le seguenti operazioni:
● Fornisce monitoraggio continuo, diagnosi e riparazione dei problemi hardware di minore entità.
● Utilizza le funzioni più avanzate di crittografia, autenticazione, audit e autorizzazione per un supporto remoto di elevatissima sicurezza.
● Garantisce la conformità alle normative aziendali e governative fornendo i registri di tutti gli eventi di accesso.
● Fornisce funzioni di semplice integrazione e configurazione con la rete di gestione dello storage e i firewall.
● Fornisce la massima protezione dell'infrastruttura informatica. Le sessioni basate su IP consentono rapidità nel trasferimento delle informazioni e nella risoluzione dei problemi.
● Consolida il supporto remoto per le informazioni con il client SCG.
● Fornisce l'accesso remoto al sito di ripristino di emergenza e semplifica il ripristino in caso di eventi non pianificati.
● Protegge sia i dati in transito che quelli inattivi. La crittografia AES 256 protegge le informazioni durante il loro trasferimento.
● Riduce i costi e l'ingombro del data center e velocizza il tempo di risoluzione dei problemi. L'eliminazione dei costi relativi a modem/linee telefoniche si traduce in una riduzione dei costi.
NOTA: SCG non è conforme a FIPS.
NOTA: l'utilizzo di FTP o di e-mail non sicure durante la connessione a SCG potrebbe costituire un rischio per la sicurezza.

Aggiunta di un'unità cloud per Amazon Web Services S3

AWS offre una serie di classi di storage. La matrice di compatibilità dei provider di cloud, disponibile in E-Lab Navigator, fornisce informazioni aggiornate sulle classi di storage supportate.

Informazioni su questa attività
Per una maggiore sicurezza, la funzione Cloud Tier utilizza Signature Version 4 per tutte le richieste AWS. La firma Signature Version 4 è abilitata per impostazione predefinita.
Il provider di cloud AWS utilizza i seguenti endpoint a seconda della classe di storage e della regione. Prima di configurare le unità cloud, assicurarsi che il DNS sia in grado di risolvere questi nomi host.

Per AWS Government Cloud sono disponibili endpoint conformi a FIPS.

A partire da DDOS 7.8, la regione us-east-1 non supporta più l'endpoint obsoleto s3.amazonaws.com. La regione us-east-1 richiede ora l'endpoint s3.us-east-1.amazonaws.com. Verificare che il firewall sia aperto per raggiungere il nuovo endpoint prima di eseguire l'aggiornamento a DDOS 7.8.

s3.fips.us-gov-west-1.amazonaws.com