Data Domain — configuração e práticas recomendadas do FIPS
Summary: O file system DD, o SMS, o serviço HTTP Apache, o client LDAP e o daemon SSH usam algoritmos em conformidade com FIPS 140-2 quando FIPS está habilitado.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Para fazer log-in com FIPS ativado em um sistema de proteção ou instância do DDVE usando SSH, a versão mínima compatível do SSH é OpenSSH v5.9p1.
Como habilitar a autorização de segurança
Você pode usar a CLI para habilitar e desabilitar a política de autorização de segurança.
Sobre esta tarefa
Nota: A licença do DD Retention Lock Compliance deve estar instalada. Você não tem permissão para desativar a política de autorização nos sistemas DD Retention Lock Compliance.
Etapas
1. Faça log-in na CLI usando um nome de usuário e senha de agente de segurança.
2. Para habilitar a política de autorização do agente de segurança, digite: #
Os seguintes comandos sempre exigem autorização do agente de segurança:
O botão FIPS Mode permite ativar ou desativar o modo de conformidade com FIPS 140-2.
Etapas
1. Selecione Administration > Settings.
2. Clique em FIPS Mode para ativar ou desativar o modo de conformidade FIPS 140-2.
Resultados
Depois de ativar o modo de conformidade FIPS 140-2, o DDOS:
● Força uma alteração de senha para a conta sysadmin e uma conta de agente de segurança (se o agente de segurança estiver ativado).
● Reinicializa, causando uma interrupção no acesso ao file system.
● Permite que apenas aplicativos com clients compatíveis com FIPS acessem o file system após a conclusão da reinicialização.
Configuração do FIPS
Referência rápida sobre a conformidade com Serviços versus FIPS depois que o FIPS é ativado no sistema.
NIS
Se o modo FIPS estiver ativado, certifique-se de que o servidor NIS esteja configurado usando SHA512 para hash de senha de usuário. Isso se aplica aos usuários existentes do NIS e aos novos usuários adicionados ao servidor NIS. Se o servidor NIS já estiver configurado, os usuários NIS compatíveis anteriormente talvez não consigam fazer log-in. Todas as senhas de usuário devem aplicar hash usando SHA512.
LDAP
Se o serviço SNMP não for necessário, desative-o.
Se o serviço SNMP for necessário e estiver ativado, a seguir está uma lista das configurações de SNMP que são necessárias antes da ativação do
Modo FIPS.
● O SNMP deve ser configurado com SNMP V3.
● O protocolo de autenticação do usuário SNMP deve ser configurado como SHA256.
● O protocolo de privacidade do usuário SNMP deve ser configurado como AES.
Os protocolos SNMP v2/SNMP v1 não implementam segurança criptográfica, e somente o SNMP v3 deve ser usado quando o sistema tiver o
FIPS ativado.
Modo FIPS no sistema operacional que executa um cliente DD Boost
O modo FIPS pode ser ativado no sistema operacional que executa um aplicativo que usa o client DD Boost para se conectar a um sistema
DD, sem o conhecimento do aplicativo e sem ativar o modo FIPS no sistema DD. Nesse cenário, uma das seguintes configurações deve ser feita:
Como habilitar a autorização de segurança
Você pode usar a CLI para habilitar e desabilitar a política de autorização de segurança.
Sobre esta tarefa
Nota: A licença do DD Retention Lock Compliance deve estar instalada. Você não tem permissão para desativar a política de autorização nos sistemas DD Retention Lock Compliance.
Etapas
1. Faça log-in na CLI usando um nome de usuário e senha de agente de segurança.
2. Para habilitar a política de autorização do agente de segurança, digite: #
authorization policy set security-officer enabled
Os seguintes comandos sempre exigem autorização do agente de segurança:
# system fips-mode disable # system fips-mode enable
Como ativar o modo FIPS
O botão FIPS Mode permite ativar ou desativar o modo de conformidade com FIPS 140-2.
Etapas
1. Selecione Administration > Settings.
2. Clique em FIPS Mode para ativar ou desativar o modo de conformidade FIPS 140-2.
Resultados
Depois de ativar o modo de conformidade FIPS 140-2, o DDOS:
● Força uma alteração de senha para a conta sysadmin e uma conta de agente de segurança (se o agente de segurança estiver ativado).
● Reinicializa, causando uma interrupção no acesso ao file system.
● Permite que apenas aplicativos com clients compatíveis com FIPS acessem o file system após a conclusão da reinicialização.
Configuração do FIPS
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Referência rápida sobre a conformidade com Serviços versus FIPS depois que o FIPS é ativado no sistema.
| Serviço | Suporte a FIPS | Nota de configuração |
| SSH | Sim | Compatível por habilitar FIPS |
| HTTPS | Sim | Compatível por habilitar FIPS |
| Telnet | Não | Desabilitado por padrão; não habilitar para FIPS |
| FTP/FTPS | Não | Desabilitado por padrão; não habilitar para FIPS |
| SMS | Sim | Compatível por habilitar FIPS |
| Criptografia de dados | Sim | Compatível por habilitar FIPS |
| Replicação de dados | Sim | Usar autenticação bidirecional |
| NIS | Sim | Usar SHA512 para hash de senha de usuário |
| LDAP | Sim | Usar autenticação TLS |
| SNMP | Sim | Usar SNMPV3 |
| DD Boost | Sim | O DD Boost Client deve ser a versão 7.3 ou posterior |
| Active Directory | Não | Incompatível com FIPS |
| CIFS | Não | Não depende da configuração do modo FIPS |
| NFS | Não | Incompatível com FIPS |
| Secure Remote Services | Não | Desabilitado por padrão |
Cifras SSH, MACs e algoritmos de troca de chave
Quando o FIPS está ativado:
● Somente cifras SSH e MACs aprovadas pelo FIPS 140-2 podem ser definidas. Funções de usuário administrador e administrador limitado podem definir cifras e
MACs, que podem ser configurados usando o seguinte comando: adminaccess ssh option set ciphers
● As listas de cifras, MAC e KEX (algoritmos de troca de chaves) no arquivo de configuração SSHD são definidas como uma lista padrão de
cifras compatíveis com FIPS, MACs e KEXs. As configurações antigas foram perdidas.
Quando o modo de conformidade com FIPS está desativado, as listas de cifras, MAC e KEX (algoritmos de troca de chaves) no arquivo de configuração SSHD
são definidas como a lista padrão de cifras, MACs e KEXs. As configurações antigas foram perdidas.
As seguintes cifras são compatíveis com sistemas ou DDVE executando o DDOS com FIPS ativado:
cifras, MACs e algoritmos de troca de chaves
| Cifras | ● aes128-ctr ● aes192-ctr ● aes256-ctr |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| algoritmos de troca de chaves (KEXs) | ● ecdh-sha2-nistp256 ● ecdh-sha2-nistp384 ● ecdh-sha2-nistp521 ● diffie-hellman-group16-sha512 ● diffie-hellman-group18-sha512 ● diffie-hellman-group14-sha256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
O serviço Apache HTTPS usa a mesma lista de cifras que o SMS.
Criptografia de dados em repouso
Se a criptografia de dados em repouso estiver ativada, ela será compatível com FIPS por padrão.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Aplicativo | Lista de cifras TLS padrão |
| As suítes de cifras padrão para configuração de replicação e APIs REST são: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| As suítes de cifras para IU são: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Se o modo FIPS estiver ativado, certifique-se de que o servidor NIS esteja configurado usando SHA512 para hash de senha de usuário. Isso se aplica aos usuários existentes do NIS e aos novos usuários adicionados ao servidor NIS. Se o servidor NIS já estiver configurado, os usuários NIS compatíveis anteriormente talvez não consigam fazer log-in. Todas as senhas de usuário devem aplicar hash usando SHA512.
LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Se o serviço SNMP não for necessário, desative-o.
Se o serviço SNMP for necessário e estiver ativado, a seguir está uma lista das configurações de SNMP que são necessárias antes da ativação do
Modo FIPS.
● O SNMP deve ser configurado com SNMP V3.
● O protocolo de autenticação do usuário SNMP deve ser configurado como SHA256.
● O protocolo de privacidade do usuário SNMP deve ser configurado como AES.
Os protocolos SNMP v2/SNMP v1 não implementam segurança criptográfica, e somente o SNMP v3 deve ser usado quando o sistema tiver o
FIPS ativado.
Modo FIPS no sistema operacional que executa um cliente DD Boost
O modo FIPS pode ser ativado no sistema operacional que executa um aplicativo que usa o client DD Boost para se conectar a um sistema
DD, sem o conhecimento do aplicativo e sem ativar o modo FIPS no sistema DD. Nesse cenário, uma das seguintes configurações deve ser feita:
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Se o modo FIPS estiver ativado no sistema operacional sem nenhuma das configurações acima, todas as conexões desse client com qualquer sistema DD falharão.
Client do DD Boost com modo FIPS ativado
Quando o modo FIPS está ativado no sistema, os aplicativos que acessam o sistema usando o protocolo DD Boost devem usar a versão 7.3 das bibliotecas de client do DD Boost. Isso garante que as operações sejam compatíveis com FIPS e usem algoritmos compatíveis com FIPS. Às vezes, o aplicativo pode fazer com que as bibliotecas do client do DD Boost entrem no modo FIPS se o aplicativo tiver reconhecimento de FIPS e tiver sido atualizado para entrar no modo FIPS na biblioteca do client. Nesse caso, não apenas algoritmos compatíveis com FIPS serão usados, mas as implementações desses algoritmos usarão bibliotecas FIPS certificadas.
Quando o modo FIPS está ativado, as senhas definidas no sistema usado pelo DD Boost para acessar o sistema devem ter valores de hash SHA512. Um usuário com uma senha com hash MD5 não poderá se conectar a um sistema habilitado para FIPS.
Nota: A biblioteca de client do Boost que um aplicativo usa deve ter a versão >=7.1 para que o aplicativo se conecte com sucesso a um sistema DD executando uma versão >=7.1 do DDOS com o modo FIPS ativado. A versão da biblioteca do client do DD Boost fornecida com um aplicativo é determinada pelo provedor do aplicativo. Uma lista de todos os clients do Boost que se conectaram ao sistema DD nas últimas 24 horas pode ser obtida na CLI ddboost show connections. A coluna Plugin Version deve ser exibida para determinar se algum client com um plug-in do Boost anterior ao 7.1.x.x está se conectando a esse sistema DD no momento. Todos esses clients não conseguirão se conectar depois que o modo FIPS for ativado no sistema DD e deverão receber upgrade. Consulte o fornecedor do aplicativo para determinar a versão da biblioteca do client do DD Boost que uma versão específica do aplicativo usa para ver se o aplicativo pode ser usado com um sistema DD com o modo FIPS ativado.
Telnet
O Telnet não é compatível com FIPS e está desativado por padrão.
FTP/FTPS
O FTP/FTPS não é compatível com FIPS e está desativado por padrão.
Active Directory
O Active Directory não é compatível com FIPS.
O Active Directory continua funcionando quando está configurado e quando o FIPS está ativado.
CIFS
O servidor CIFS no DDOS é não dependente da configuração do modo FIPS. Mesmo que o cliente ative o modo FIPS, o CIFS continuará funcionando em
modo não compatível com FIPS.
Para desativar ou impedir que o CIFS aceite quaisquer conexões dos clients:sysadmin@localhost#
cifs disable
NFS
O NFS não é compatível com FIPS.
● O NFS continua funcionando em um modo não compatível com FIPS.
● O NFS pode ser desativado com o comando nfs disable.
Gateway de conexão segura (SCG)
O SCG é uma conexão bidirecional segura entre os produtos Dell EMC e o Suporte ao cliente Dell EMC. O SCG é desativado por padrão e continua funcionando em modo não compatível com FIPS.
Padrões STIG do DISA
| Ative a criptografia aprovada pelo FIPS 140-2. | O DD aceita o uso apenas de cifras aprovadas pelo FIPS 140-2 para conexões seguras. O DD recomenda o uso da IU ou da CLI para ativar o modo FIPS: ● IU: Administration > Setting > FIPS mode ● CLI: system fips-mode enable |
| Utilização do servidor de autenticação para autenticar usuários antes de conceder acesso administrativo. | O DD permite vários protocolos de servidores de nomes, tais como LDAP, NIS e AD. O DD recomenda o uso de OpenLDAP com FIPS ativado. O DD gerencia apenas contas locais. O DD recomenda o uso da IU ou da CLI para configurar o LDAP. ● IU: Administration > Access > Authentication ● CLI: Comandos de autenticação do LDAP. O Active Directory também pode ser configurado para log-ins de usuários com o FIPS ativado. No entanto, o acesso aos dados de CIFS com usuários do AD não é mais permitido com essa configuração. |
| O dispositivo de rede deve autenticar endpoints SNMP de gerenciamento de rede antes de estabelecer uma conexão local, remota ou de rede usando autenticação bidirecional baseada em criptografia. | O DD é compatível com SNMPV3 que está em conformidade com FIPS. O DD recomenda o uso da IU ou da CLI para configurar o SNMPV3. ● IU: Administration > Settings > SNMP ● CLI: Comandos de SNMP |
| Use um algoritmo de hash criptográfico aprovado pelo FIPS 140-2. | O sistema deve usar um algoritmo de hash criptográfico aprovado pelo FIPS 140-2 para gerar hashes de senha da conta. Os sistemas devem empregar hashes criptográficos para senhas usando a família de algoritmos SHA-2 ou sucessores aprovados pelo FIPS 140-2. O uso de algoritmos não aprovados pode resultar em hashes de senha fracos mais vulneráveis ao comprometimento. Nota: O guia Referência de comandos do DDOS descreve como usar o adminaccess option set password-hash {md5 | sha512} comando para definir o hash criptográfico aprovado pelo FIPS 140-2 no sistema. A alteração do algoritmo de hash não altera o valor de hash para todas as senhas existentes. Todas as senhas existentes que tiveram hash aplicado com md5 ainda terão valores de hash md5 após a alteração do algoritmo de hash de senha para sha512. Essas senhas devem ser redefinidas para que um novo valor de hash sha512 seja calculado. |
Additional Information
Certificados assinados externamente
A autoridade de certificação (CA) está no formato de certificado público (PEM) para estabelecer uma conexão confiável entre a entidade externa e cada sistema.
Se o sistema usa o gerenciador de chaves externo, ele exige um certificado de host PKCS12 e um certificado CA no formato PEM (chave pública) para estabelecer uma conexão confiável entre o servidor do gerenciador de chaves externo e cada sistema que ele gerencia.
A assinatura do certificado requer o formato PKCS10. A chave de certificado público pode ter o formato PKCS12 (pública mais uma chave privada) ou PEM. O formato PEM do certificado do host é usado somente com o recurso de solicitação de assinatura de certificado (CSR).
Certificados de host individuais podem ser importados para HTTPS e comunicação com o gerenciador de chaves externo.
A importação do certificado de host no formato PKCS12 é compatível. Se houver uma CSR no sistema, você poderá importar o certificado de host no formato PEM depois que a CSR for assinada por uma autoridade de certificação.
Nota: A frase secreta do sistema é necessária para importar o certificado.
Em um sistema DD habilitado para FIPS, o arquivo PKCS12 deve ser compatível com FIPS. Ao criptografar o arquivo PKCS12, devem ser usados algoritmos de criptografia compatíveis. Recomendamos o uso de "PBE-SHA1-3DES" para criptografar a chave e o certificado no arquivo PKCS12.
O DD Encryption fornece criptografia em linha, o que significa que, à medida que os dados são ingeridos, o fluxo é desduplicado, compactado e criptografado usando uma chave de criptografia antes de ser gravado no grupo de RAID. O software DD Encryption usa bibliotecas RSA BSAFE, que têm validação FIPS 140-2.
Gateway de conexão segura (SCG)
O gateway de conexão segura é uma solução de suporte remoto e local de conexão automatizada baseada em IP e cria uma arquitetura unificada e um ponto de acesso comum para as atividades de suporte remoto executadas no produto. A solução IP
da SCG faz o seguinte:
● Fornece monitoramento, diagnóstico e reparo contínuos de pequenos problemas de hardware.
● Usa a criptografia, autenticação, auditoria e autorização mais avançadas para suporte remoto de altíssima segurança.
● Aborda a conformidade com normas corporativas e governamentais, fornecendo logs de todos os eventos de acesso.
● Fornece fácil integração e configuração com a rede de gerenciamento de armazenamento e firewalls.
● Fornece a máxima proteção da infraestrutura de informações. As sessões baseadas em IP permitem rápida transferência e resolução de informações.
● Consolida o suporte remoto das informações com o Client SCG.
● Fornece acesso remoto ao local de recuperação de desastres e facilita a recuperação de eventos não planejados.
● Protege as informações em movimento ou em repouso. A criptografia AES 256 durante a transferência de informações protege as informações.
● Reduz os custos e a desorganização do data center e acelera o tempo para resolução. A eliminação dos custos de modem/linha telefônica se traduz em custos mais baixos.
Nota: O SCG não é compatível com FIPS.
Nota: O uso de FTP ou e-mail não seguro durante a conexão com o SCG pode representar um risco de segurança.
Adicionar uma unidade de nuvem ao Amazon Web Services S3
A AWS oferece uma variedade de classes de armazenamento. A Matriz de compatibilidade de provedores de serviços em nuvem, disponível no E-Lab Navigator, apresenta informações atualizadas sobre as classes de armazenamento compatíveis.
Sobre esta tarefa
Para maior segurança, o recurso Cloud Tier usa o Signature versão 4 para todas as solicitações da AWS. A assinatura do Signature versão 4 é habilitada por padrão.
Os seguintes endpoints são usados pelo provedor de serviços em nuvem AWS, dependendo da classe de armazenamento e da região. Certifique-se de que o DNS seja capaz de resolver esses nomes de host antes de configurar unidades de nuvem.
Endpoints compatíveis com FIPS estão disponíveis para a AWS Government Cloud.
A partir do DDOS 7.8, a região us-east-1 não é mais compatível com o endpoint legado s3.amazonaws.com. A região us-east-1 agora exige o endpoint s3.us-east-1.amazonaws.com. Verifique se o firewall está aberto para acessar o novo endpoint antes de fazer upgrade para o DDOS 7.8.
s3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.