Data Domain – FIPS-konfigurasjon og anbefalte fremgangsmåter

authorization policy set security-officer enabled

# system fips-mode disable
# system fips-mode enable

The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled.
To enable FIPS compliance mode, run the following command: system fips-mode enable.
NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities.
NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. 
The other local users require sysadmin to change their passwords for them by running user change password.
NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols.
DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K.
● Dell OpenSSL Cryptographic Library v2.5
● EMC Crypto-C Micro Edition 4.1.4 cryptographic module
To disable FIPS compliance mode, run the following command: system fips-mode disable.

SSH-chiffer, MAC-er og nøkkelutvekslingsalgoritmer

Når FIPS er aktivert:
● Bare FIPS 140-2-godkjente SSH-chiffer og MAC-er kan angis. Brukerroller admin og begrenset-admin kan angi chiffer og
MAC-er, som kan konfigureres ved hjelp av følgende kommando: adminaccess SSH-alternativsettchiffer● Chifferlisten
, MAC-listen og KEX-listen (nøkkelutvekslingsalgoritmer) i SSHD-konfigurasjonsfilsettene til en standardliste over
FIPS-kompatible chiffer, MAC-er og KEX-er. De gamle innstillingene går tapt.
Når FIPS-samsvarsmodus er deaktivert, settes chiffreringslisten, MAC-listen og KEX-listen (nøkkelutvekslingsalgoritmer) i SSHD-konfigurasjonsfilen
til systemets standardliste over chiffrere, MAC-er og KEX-er. De gamle innstillingene går tapt.

Følgende chiffrer støttes på systemer, eller DDVE som kjører DDOS med FIPS aktivert:
Chiffreringer, MAC-er og nøkkelutvekslingsalgoritmer

The cipher list can always be changed by running the adminaccess ssh options set ciphers command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. 
If non-FIPS compliant ciphers are used, user would see an error. 

The MAC list can always be changed by running the adminaccess ssh options set macs command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. 
If non-FIPS compliant macs are used, user would see an error.

HTTPS

HTTPS Apache-tjenesten bruker samme liste over chiffer som SMS.

Kryptering

av inaktive data Hvis kryptering av inaktive data er aktivert, er den FIPS-kompatibel som standard.

TLS cipher-list for management communications and replication control path
In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on
the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0.
When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command,
DDOS only uses FIPS-compliant ciphers for the following communication interfaces:
● For DDMC communications to managed DD-systems
● For Replication control path
● By the Data Domain System Management (GUI)
● For REST APIs
The cipher list can be configured with the adminaccess option set cipher-list command.

When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS.
# authentication ldap ssl enable method start_tls
Otherwise, enabling FIPS compliance mode fails.
On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set.
When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following:

● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES256-SHA384
● DHE-RSA-AES256-GCM-SHA384
● DHE-RSA-AES256-SHA256
● AES256-GCM-SHA384
● AES256-SHA256
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-RSA-AES128-SHA256
● DHE-RSA-AES128-GCM-SHA256
● DHE-RSA-AES128-SHA256
● AES128-GCM-SHA256
● AES128-SHA256

The configured cipher-list should be:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128-
SHA256
When FIPS is disabled, it is set to "", an empty string.

● The DD Boost client on that operating system must be version >=7.1.
● The password hash for users on all DD systems that this client connects to must be sha512. 
   This can be changed using the adminaccess option set password-hash sha512 CLI.

Hvis FIPS-modus er aktivert på operativsystemet uten noen av konfigurasjonene ovenfor, vil alle tilkoblinger fra denne klienten til et DD-system mislykkes.

DD Boost-klient med FIPS-modus aktivert

Når FIPS-modus er aktivert på systemet, bør programmer som får tilgang til systemet ved hjelp av DD Boost-protokollen, bruke versjon 7.3 av DD Boost-klientbibliotekene. Dette garanterer at operasjoner er FIPS-kompatible og bruker FIPS-kompatible algoritmer. Noen ganger kan programmet føre til at DD Boost-klientbiblioteker går inn i FIPS-modus hvis programmet er FIPS-oppmerksom og har blitt oppdatert for å gå til FIPS-modus i klientbiblioteket. I så fall vil ikke bare FIPS-kompatible algoritmer brukes til det, men implementeringene av disse algoritmene bruker FIPS-sertifiserte biblioteker.

Når FIPS-modus er aktivert, må passordene som er angitt på systemet som brukes av DD Boost for å få tilgang til systemet, ha hash SHA512-verdier. En bruker med et passord med en MD5-hash vil ikke kunne koble til et FIPS-aktivert system.

NOTAT: Boost-klientbiblioteket som et program bruker, må være versjon >= 7.1 for at programmet skal kunne koble til et DD-system som kjører en DDOS-versjon >=7.1 med FIPS-modus aktivert. DD Boost-klientbibliotekversjonen som leveres med et program, bestemmes av programleverandøren. En liste over alle Boost-klienter som har koblet til DD-systemet i løpet av de siste 24 timene, kan fås fra ddboost-showtilkoblingene CLI. Pluginversjon-kolonnen bør sees for å fastslå om noen klienter med en Boost-plugin-modul eldre enn 7.1.x.x kobler til dette DD-systemet. Alle slike klienter vil mislykkes i å koble til etter at FIPS-modus er aktivert på DD-systemet og må oppgraderes. Kontakt programvareleverandøren for å finne ut hvilken DD Boost-klientbibliotekversjon en bestemt applikasjonsversjon bruker, for å se om programmet kan brukes med et DD-system med FIPS-modus aktivert.

Telnet
Telnet er ikke FIPS-kompatibelt og er deaktivert som standard.

FTP/FTPS
FTP/FTPS er ikke FIPS-kompatibel og er deaktivert som standard.

Active Directory
Active Directory er ikke FIPS-kompatibel.
Active Directory fortsetter å fungere når den er konfigurert og når FIPS er aktivert.

CIFS
CIFS-serveren på DDOS er agnostisk til FIPS-modusinnstilling. Selv om kunden aktiverer FIPS-modus, fortsetter CIFS å fungere i
ikke-FIPS-kompatibel modus.
Slik deaktiverer eller stopper du CIFS fra å godta tilkoblinger fra klientene:sysadmin@localhost#

cifs disable

NFS NFS
er ikke FIPS-kompatibel.
● NFS fortsetter å fungere i en ikke-FIPS-kompatibel modus.
● NFS kan deaktiveres med kommandoen nfs deaktiver.

SCG
(Secure Connect Gateway) SCG er en sikker, toveis tilkobling mellom Dell EMC-produkter og Dell EMC kundestøtte. SCG er deaktivert som standard og fortsetter å fungere i ikke-FIPS-kompatibel modus.

DISA STIG-standarder

Systemet må bruke en FIPS 140-2 godkjent kryptografisk
hashing-algoritme for generering av hashes for kontopassord.
Systemer må bruke kryptografiske hasher for passord
bruke SHA-2-familien av algoritmer eller FIPS 140-2 godkjent
Etterfølgere. Bruk av ikke-godkjente algoritmer kan resultere i
svake passordhasher mer sårbare for kompromittering.

MERK: Referanseveiledning for DDOS-kommandoen beskriver hvordan du bruker 

adminaccess option set password-hash {md5 | sha512}

-kommandoen for å angi FIPS 140-2-godkjent kryptografisk hashing på systemet. 

Endring av hash-algoritmen endres ikke
hash-verdien for eventuelle eksisterende passord. Alle eksisterende
Passord som ble hashet med MD5, vil fortsatt ha MD5
hash-verdier etter endring av password-hash-algoritmen
til SHA512. Disse passordene må tilbakestilles slik at en ny
SHA512 hash-verdien beregnes.

Eksternt signerte sertifikater Sertifiseringsinstans
(CA) er i PEM-format (Public Certificate) for å opprette en klarert tilkobling mellom den eksterne enheten og hvert system.
Hvis systemet bruker ekstern nøkkelbehandling, krever det et PKCS12-vertssertifikat og et CA-sertifikat i PEM-format (fellesnøkkel) for å opprette en klarert tilkobling mellom External Key Manager-serveren og hvert system det administrerer.
Sertifikatsigneringen krever PKCS10-format. Den offentlige sertifikatnøkkelen kan ha enten PKCS12-format (offentlig pluss en privat nøkkel) eller PEM-format. PEM-vertssertifikatformatet brukes bare med funksjonen Request for sertifikatsignering (CSR).
Individuelle vertssertifikater kan importeres for HTTPS og kommunikasjon med ekstern nøkkeladministrator.
Import av vertssertifikat i PKCS12-format støttes. Hvis det finnes en CSR på systemet, kan du importere vertssertifikatet i PEM-format etter at CSR-en er signert av en sertifiseringsinstans.
NOTAT: Systempassordet er nødvendig for å importere sertifikatet.
På et FIPS-aktivert DD-system må PKCS12-filen være FIPS-kompatibel. Når du krypterer PKCS12-fil, må kompatible krypteringsalgoritmer brukes. Vi anbefaler å bruke "PBE-SHA1-3DES" for kryptering av nøkkel og sertifikat i PKCS12-fil.

DD-kryptering gir innebygd kryptering, noe som betyr at når data tas inn, blir strømmen deduplisert, komprimert og kryptert ved hjelp av en krypteringsnøkkel før den skrives til RAID-gruppen. DD-krypteringsprogramvaren bruker RSA BSAFE-biblioteker, som er FIPS 140-2-validert.

Secure Connect Gateway (SCG)
Secure Connect Gateway er en IP-basert automatisert løsning for hjemmebruk og ekstern støtte, og oppretter både en enhetlig arkitektur og et felles tilgangspunkt for eksterne støtteaktiviteter som utføres på produktet. SCG IP-løsningen
gjør følgende:
● Gir kontinuerlig overvåking, diagnose og reparasjon av mindre maskinvareproblemer.
● Bruker den mest avanserte krypteringen, autentiseringen, revisjonen og autorisasjonen for ekstern støtte med ultrahøy sikkerhet.
● Adresserer overholdelse av bedrifts- og myndighetsforskrifter ved å tilby logger over alle tilgangshendelser.
● Gir enkel integrasjon og konfigurasjon med lagringsadministrasjonsnettverket og brannmurer.
● Gir maksimal beskyttelse av informasjonsinfrastruktur. IP-baserte økter muliggjør rask overføring og oppløsning av informasjon.
● Konsoliderer ekstern støtte for informasjonen med SCG-klienten.
● Gir ekstern tilgang til katastrofegjenopprettingsstedet og gjør gjenoppretting fra ikke-planlagte hendelser sømløs.
● Beskytter informasjon i bevegelse eller i ro. AES 256-kryptering under informasjonsoverføring beskytter informasjonen.
● Reduserer kostnader og rot i datasenteret og akselererer oppløsningstiden. Eliminering av modem / telefonlinjekostnader betyr lavere kostnader.
NOTAT: SCG er ikke FIPS-kompatibel.
NOTAT: Bruk av FTP eller usikker e-post under tilkobling til SCG kan utgjøre en sikkerhetsrisiko.

Legge til en skyenhet for Amazon Web Services S3

AWS tilbyr en rekke lagringsklasser. Cloud Providers Compatibility Matrix, tilgjengelig fra E-Lab Navigator, gir oppdatert informasjon om støttede lagringsklasser.

Om denne oppgaven
For forbedret sikkerhet bruker Cloud Tier-funksjonen signaturversjon 4 for alle AWS-forespørsler. Signatur versjon 4-signering er aktivert som standard.
Følgende endepunkter brukes av AWS-skyleverandøren, avhengig av lagringsklasse og region. Kontroller at DNS er i stand til å løse disse vertsnavnene før du konfigurerer skyenheter.

FIPS-kompatible endepunkter er tilgjengelige for AWS Government Cloud.

Fra og med DDOS 7.8 støtter ikke lenger området us-øst-1 det eldre endepunktet s3.amazonaws.com. USA-øst-1-området krever nå endepunktet s3.us-east-1.amazonaws.com. Kontroller at brannmuren er åpen for å nå det nye endepunktet før du oppgraderer til DDOS 7.8.

s3.FIPS.us-gov-west-1.amazonaws.com