Data Domain - FIPSの設定とベスト プラクティス
Summary: FIPSが有効な場合、DDファイル システム、SMS、Apache HTTPサービス、LDAPクライアント、SSHデーモンは、FIPS 140-2準拠のアルゴリズムを使用します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
FIPSが有効な状態で、SSHを使用して保護システムまたはDDVEインスタンスにログインする場合、サポートされるSSHの最小バージョンはOpenSSH v5.9p1です。
セキュリティ認証の有効化
CLIを使用して、セキュリティ認証ポリシーを有効または無効にすることができます。
このタスクについて
メモ:DD Retention LockのComplianceライセンスがインストールされている必要があります。DD Retention LockのComplianceシステムで認証ポリシーを無効にすることはできません。
手順
1.セキュリティ担当者のユーザー名とパスワードを使用して、CLIにログインします。
2.セキュリティ担当者の認証ポリシーを有効にするには、次のように入力します:#
次のコマンドには、常にセキュリティ担当者の承認が必要です。
FIPSモード ボタンを使用すると、FIPS 140-2コンプライアンス モードを有効または無効にできます。
手順
1.[Administration]>[Settings]を選択します。
2.[FIPS Mode]をクリックして、FIPS 140-2コンプライアンス モードを有効または無効にします。
結果
FIPS 140-2コンプライアンス モードを有効にした後、DDOSは:
● sysadminアカウントと1つのセキュリティ担当者アカウント(セキュリティ担当者が有効になっている場合)のパスワードの変更を強制します。
● 再起動して、ファイル システム アクセスが中断されます。
● 再起動完了後、FIPS対応クライアントを持つアプリケーションのみがファイル システムにアクセスできるようになります。
FIPS構成
システムでFIPSを有効にした後のサービスとFIPS準拠に関するクイック リファレンス:
NIS
FIPSモードが有効になっている場合は、ユーザー パスワードのハッシュ化にSHA512を使用してNISサーバーを構成する必要があります。これは、既存のNISユーザーと、NISサーバーに追加された新しいユーザーに適用されます。NISサーバーがすでに構成されている場合、以前にサポートされていたNISユーザーはログインできない場合があります。すべてのユーザー パスワードは、SHA512を使用して再ハッシュする必要があります。
LDAP
SNMPサービスが必要ない場合は、SNMPサービスを無効にします。
SNMPサービスが必要で有効になっている場合、
FIPSモードを有効にする前に必要なSNMP設定のリストを次に示します。
● SNMPはSNMP V3で設定する必要があります。
● SNMPユーザー認証プロトコルはSHA256として設定する必要があります。
● SNMPユーザーのプライバシー プロトコルをAESとして設定する必要があります。
SNMP v2/SNMP v1プロトコルは暗号化セキュリティを実装していないため、
システムでFIPSが有効になっている場合はSNMP v3のみを使用する必要があります。
DD Boostクライアントを実行しているオペレーティング システムのFIPSモード
FIPSモードは、DD Boostクライアントを使用してDDシステムに接続するアプリケーションを実行しているオペレーティング システムで有効にできます。
これは、アプリケーションの知識がなくても、DDシステムでFIPSモードを有効にしなくても可能です。このようなシナリオでは、次の構成を行う必要があります。
セキュリティ認証の有効化
CLIを使用して、セキュリティ認証ポリシーを有効または無効にすることができます。
このタスクについて
メモ:DD Retention LockのComplianceライセンスがインストールされている必要があります。DD Retention LockのComplianceシステムで認証ポリシーを無効にすることはできません。
手順
1.セキュリティ担当者のユーザー名とパスワードを使用して、CLIにログインします。
2.セキュリティ担当者の認証ポリシーを有効にするには、次のように入力します:#
authorization policy set security-officer enabled
次のコマンドには、常にセキュリティ担当者の承認が必要です。
# system fips-mode disable # system fips-mode enable
FIPSモードの有効化
FIPSモード ボタンを使用すると、FIPS 140-2コンプライアンス モードを有効または無効にできます。
手順
1.[Administration]>[Settings]を選択します。
2.[FIPS Mode]をクリックして、FIPS 140-2コンプライアンス モードを有効または無効にします。
結果
FIPS 140-2コンプライアンス モードを有効にした後、DDOSは:
● sysadminアカウントと1つのセキュリティ担当者アカウント(セキュリティ担当者が有効になっている場合)のパスワードの変更を強制します。
● 再起動して、ファイル システム アクセスが中断されます。
● 再起動完了後、FIPS対応クライアントを持つアプリケーションのみがファイル システムにアクセスできるようになります。
FIPS構成
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
システムでFIPSを有効にした後のサービスとFIPS準拠に関するクイック リファレンス:
| サービス | FIPS準拠 | 構成メモ |
| SSH | はい | FIPSを有効にすることで準拠 |
| HTTPS | はい | FIPSを有効にすることで準拠 |
| Telnet | No | デフォルトでは無効/FIPSに対して有効にしない |
| FTP/FTPS | No | デフォルトでは無効/FIPSに対して有効にしない |
| SMS | はい | FIPSを有効にすることで準拠 |
| データ暗号化 | はい | FIPSを有効にすることで準拠 |
| データ レプリケーション | はい | 双方向認証を使用する |
| NIS | はい | ユーザー パスワードのハッシュ化にSHA512を使用する |
| LDAP | はい | TLS認証を使用する |
| SNMP | はい | SNMPV3を使用する |
| DD Boost | はい | DD Boostクライアントはバージョン7.3以降である必要がある |
| Active Directory | No | FIPS非準拠 |
| CIFS | No | FIPSモード設定に依存しない |
| NFS | No | FIPS非準拠 |
| セキュア リモート サービス | No | デフォルトで無効 |
SSH暗号、MAC、および鍵交換アルゴリズム
FIPSが有効になっている場合:
● FIPS 140-2承認済みのSSH暗号とMACのみを設定できます。ユーザー ロール「admin」および「limited-admin」は、次のコマンドを使用して暗号およびMACを設定できます:
adminaccess ssh option set ciphers
● SSHD設定ファイルの暗号リスト、MACリスト、およびKEX(鍵交換アルゴリズム)のリストは、
FIPS準拠の暗号、MAC、およびKEXのデフォルト リストに設定されます。古い設定は失われます。
FIPSコンプライアンス モードが無効になっている場合、SSHD設定ファイルの
暗号リスト、MACリスト、およびKEX(鍵交換アルゴリズム)のリストは、システムのデフォルト リストに設定されます。古い設定は失われます。
次の暗号は、FIPSが有効になっているシステムまたはDDOSを実行しているDDVEでサポートされています。
暗号、MAC、鍵交換アルゴリズム
| 暗号 | ● aes128-ctr ● aes192-ctr ● aes256-ctr |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| 鍵交換アルゴリズム(KEX) | ● ecdh-sha2-nistp256 ● ecdh-sha2-nistp384 ● ecdh-sha2-nistp521 ● diffie-hellman-group16-sha512 ● diffie-hellman-group18-sha512 ● diffie-hellman-group14-sha256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
HTTPS Apacheサービスは、SMSと同じ暗号リストを使用します。
静止データ暗号化
静止データ暗号化が有効になっている場合は、デフォルトでFIPSに準拠しています。
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| アプリケーション | デフォルトTLS暗号リスト |
| レプリケーション セットアップとREST APIのデフォルトの暗号スイート: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| UIのデフォルトの暗号スイート: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
FIPSモードが有効になっている場合は、ユーザー パスワードのハッシュ化にSHA512を使用してNISサーバーを構成する必要があります。これは、既存のNISユーザーと、NISサーバーに追加された新しいユーザーに適用されます。NISサーバーがすでに構成されている場合、以前にサポートされていたNISユーザーはログインできない場合があります。すべてのユーザー パスワードは、SHA512を使用して再ハッシュする必要があります。
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
SNMPサービスが必要ない場合は、SNMPサービスを無効にします。
SNMPサービスが必要で有効になっている場合、
FIPSモードを有効にする前に必要なSNMP設定のリストを次に示します。
● SNMPはSNMP V3で設定する必要があります。
● SNMPユーザー認証プロトコルはSHA256として設定する必要があります。
● SNMPユーザーのプライバシー プロトコルをAESとして設定する必要があります。
SNMP v2/SNMP v1プロトコルは暗号化セキュリティを実装していないため、
システムでFIPSが有効になっている場合はSNMP v3のみを使用する必要があります。
DD Boostクライアントを実行しているオペレーティング システムのFIPSモード
FIPSモードは、DD Boostクライアントを使用してDDシステムに接続するアプリケーションを実行しているオペレーティング システムで有効にできます。
これは、アプリケーションの知識がなくても、DDシステムでFIPSモードを有効にしなくても可能です。このようなシナリオでは、次の構成を行う必要があります。
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
上記の構成を行わずにオペレーティング システムでFIPSモードが有効になっている場合、このクライアントから任意のDDシステムへのすべての接続が失敗します。
FIPSモードが有効なDD Boostクライアント
システムでFIPSモードが有効になっている場合、DD Boostプロトコルを使用してシステムにアクセスするアプリケーションは、DD Boostクライアント ライブラリーのバージョン7.3を使用する必要があります。これにより、操作がFIPSに準拠し、FIPS準拠のアルゴリズムを使用することが保証されます。アプリケーションがFIPS対応であり、クライアント ライブラリーでFIPSモードになるようにアップデートされている場合、それが原因でDD Boostクライアント ライブラリーがFIPSモードになることがあります。その場合、FIPS準拠のアルゴリズムが使用されるだけでなく、それらのアルゴリズムの実装ではFIPS認定ライブラリーが使用されます。
FIPSモードが有効な場合、DD Boostがシステムへのアクセスに使用するパスワードには、ハッシュSHA512値を設定する必要があります。MD5ハッシュを含むパスワードを持つユーザーは、FIPSが有効なシステムに接続できません。
メモ:FIPSモードが有効なDDOSバージョン7.1以降を実行しているDDシステムにアプリケーションが正常に接続するには、アプリケーションが使用するBoostクライアント ライブラリーがバージョン7.1以降である必要があります。アプリケーションに同梱されているDD Boostクライアント ライブラリーのバージョンは、アプリケーション プロバイダーによって決定されます。過去24時間以内にDDシステムに接続したすべてのBoostクライアントのリストは、ddboost show connections CLIから取得できます。7.1.x.xより古いBoostプラグインを搭載したクライアントが現在このDDシステムに接続しているかどうかを確認するには、「Plugin Version」列を確認する必要があります。このようなクライアントはすべて、DDシステムでFIPSモードを有効にすると接続に失敗するため、アップグレードする必要があります。アプリケーション ベンダーに問い合わせて、特定のアプリケーション バージョンで使用されるDD Boostクライアント ライブラリーのバージョンを確認し、FIPSモードが有効になっているDDシステムでアプリケーションを使用できるかどうかを確認します。
Telnet
TelnetはFIPSに準拠しておらず、デフォルトで無効になっています。
FTP/FTPS
FTP/FTPSはFIPSに準拠しておらず、デフォルトで無効になっています。
Active Directory
Active DirectoryはFIPSに準拠していません。
Active Directoryは、構成されていてFIPSが有効な場合に引き続き機能します。
CIFS
DDOS上のCIFSサーバーは、FIPSモードの設定に依存しません。お客様がFIPSモードを有効にした場合でも、CIFSはFIPS非準拠モードで動作し続けます。
CIFSがsysadmin@localhost#からの接続を受け入れないようにするには、次のコマンドを実行します。
cifs disable
NFS
NFSはFIPSに準拠していません。
● NFSは、FIPS非準拠モードで動作し続けます。
● NFSは、nfs disableコマンドで無効にできます。
セキュア コネクト ゲートウェイ(SCG)
SCGは、Dell EMC製品とDell EMCカスタマー サポート間の安全な双方向接続です。SCGはデフォルトで無効になっており、FIPS非準拠モードで引き続き機能します。
DISA STIG規格
| FIPS 140-2承認済み暗号化を有効にします。 | DDでは、セキュアな接続にFIPS 140-2承認済みの暗号のみを使用できます。DDでは、UIまたはCLIを使用してFIPSモードを有効にすることをお勧めします。● UI:[Administration]>[Setting]>[FIPS mode]● CLI:system fips-mode enable |
| 管理アクセスを許可する前に、ユーザーを認証するために認証サーバーを使用します。 | DDは、LDAP、NIS、ADなどの複数のネーム サーバー プロトコルをサポートします。DDでは、FIPSが有効になっているOpenLDAPを使用することを推奨しています。DDはローカル アカウントのみを管理します。DDでは、UIまたはCLIを使用してLDAPを設定することをお勧めします。● UI:[Administration]>[Access]>[Authentication]● CLI:Authentication LDAPコマンドのActive Directoryはまた、FIPSが有効な状態でユーザー ログイン用に設定できます。ただし、ADユーザーによるCIFSデータ アクセスは、その構成ではサポートされなくなりました。 |
| ネットワーク デバイスは、暗号ベースの双方向認証を使用して、ローカル、リモート、またはネットワーク接続を確立する前に、ネットワーク管理SNMPエンドポイントを認証する必要があります。 | DDは、FIPS準拠のSNMPV3をサポートします。DDでは、UIまたはCLIを使用してSNMPV3を設定することをお勧めします。● UI:[Administration]>[Settings]>[SNMP]● CLI:SNMPコマンド |
| FIPS 140-2承認済みの暗号ハッシュ アルゴリズムを使用します。 | システムは、FIPS 140-2承認済みの暗号ハッシュ アルゴリズムを使用して、アカウント パスワード ハッシュを生成する必要があります。 システムは、SHA-2ファミリーのアルゴリズムまたはFIPS 140-2承認済みの後継標準を使用して、パスワードに暗号ハッシュを適用する必要があります。承認されていないアルゴリズムを使用すると、脆弱なパスワード ハッシュを生成し、侵害に対してより脆弱になる可能性があります。 メモ: 『DDOSコマンド リファレンス ガイド』では、 adminaccess option set password-hash {md5 | sha512} コマンドを使用してFIPS 140-2承認済みの暗号ハッシュを設定する方法について説明しています。 ハッシュ アルゴリズムを変更しても、既存のパスワードのハッシュ値は変わりません。md5でハッシュ化された既存のパスワードは、パスワード ハッシュ アルゴリズムをsha512に変更した後も、md5ハッシュ値を保持します。これらのパスワードをリセットして、新しいsha512ハッシュ値を計算する必要があります。 |
Additional Information
外部署名証明書
認証局(CA)は、外部エンティティーと各システム間に信頼できる接続を確立するために公開証明書(PEM)形式で証明書を発行します。
システムが外部キー マネージャーを使用する場合、外部キー マネージャー サーバーとそれが管理する各システムとの間に信頼できる接続を確立するために、PEM(公開キー)形式のPKCS12ホスト証明書とCA証明書が必要です。
証明書の署名には、PKCS10形式が必要です。公開証明書キーには、PKCS12(公開キーとプライベート キー)またはPEM形式のいずれかを使用できます。ホスト証明書のPEM形式は、証明書署名要求(CSR)機能でのみ使用されます。
個々のホスト証明書は、HTTPSおよび外部キー マネージャーとの通信用にインポートできます。
PKCS12形式でのホスト証明書のインポートがサポートされています。システムにCSRがある場合は、CSRが認証局によって署名された後に、ホスト証明書をPEM形式でインポートできます。
メモ:証明書をインポートするには、システムのパスフレーズが必要です。
FIPS対応DDシステムでは、PKCS12ファイルはFIPSに準拠している必要があります。PKCS12ファイルを暗号化するときは、互換性のある暗号化アルゴリズムを使用する必要があります。PKCS12ファイルのキーと証明書の暗号化には、「PBE-SHA1-3DES」を使用することをお勧めします。
DD Encryptionはインライン エンクリプションを提供します。つまり、データが取得されると、ストリームはRAIDグループに書き込まれる前に、暗号化キーを使用して重複排除、圧縮、暗号化されます。DD Encryptionソフトウェアは、FIPS 140-2検証済みのRSA BSAFEライブラリーを使用します。
セキュア コネクト ゲートウェイ(SCG)
セキュア コネクト ゲートウェイは、IPベースの自動Connect Homeおよびリモート サポート ソリューションであり、製品で実行されるリモート サポート アクティビティ向けの統合アーキテクチャと共通アクセス ポイントの両方を提供します。
SCG IPソリューションは、次のことを行います。
● ハードウェアの軽微な問題を継続的に監視、診断、修復します。
● 高度な暗号化、認証、監査、および認可を使用して、高いセキュリティ リモート サポートを実現します。
● すべてのアクセス イベントのログを提供することで、企業および政府の規制への準拠に対応します。
● ストレージ管理ネットワークおよびファイアウォールと容易に統合して構成できます。
● 情報インフラストラクチャを最大限に保護します。IPベースのセッションにより、迅速な情報の転送と解決が可能になります。
● 情報のリモート サポートをSCGクライアントと統合します。
● ディザスター リカバリー サイトへのリモート アクセスを提供し、計画外のイベントからのリカバリーをシームレスに行えます。
● 移動中または保存中の情報を保護します。情報転送中のAES 256暗号化により、情報が保護されます。
● コストとデータ センターの煩雑さを軽減し、問題の解決にかかる時間を短縮します。モデム/電話回線のコストがかからないため、コストが削減されます。
メモ:SCGはFIPSに準拠していません。
メモ:SCGへの接続中にFTPまたは安全でないEメールを使用すると、セキュリティ リスクが生じる可能性があります。
Amazon Web Services S3のクラウド ユニットの追加
AWSは、さまざまなストレージ クラスを提供します。サポートされているストレージ クラスに関する最新情報については、E-Lab Navigatorにある『Cloud Providers Compatibility Matrix』を参照してください。
このタスクについて
セキュリティを強化するために、Cloud Tier機能では、すべてのAWSリクエストにSignature Version 4を使用します。Signature Version 4の署名はデフォルトで有効になっています。
ストレージ クラスとリージョンに応じて、次のエンドポイントがAWSクラウド プロバイダーによって使用されます。クラウド ユニットを構成する前に、DNSでこれらのホスト名を解決できることを確認してください。
FIPS準拠のエンドポイントは、AWS Government Cloudで使用できます。
DDOS 7.8以降、「us-east-1」リージョンはレガシー エンドポイント「s3.amazonaws.com」をサポートしません。「us-east-1」リージョンでは現在、エンドポイント「s3.us-east-1.amazonaws.com」が必要です。DDOS 7.8.にアップグレードする前に、ファイアウォールが新しいエンドポイントに到達できるように開いていることを確認します。
s3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.