Data Domain — настройка FIPS и передовые практики

authorization policy set security-officer enabled

# system fips-mode disable
# system fips-mode enable

The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled.
To enable FIPS compliance mode, run the following command: system fips-mode enable.
NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities.
NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. 
The other local users require sysadmin to change their passwords for them by running user change password.
NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols.
DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K.
● Dell OpenSSL Cryptographic Library v2.5
● EMC Crypto-C Micro Edition 4.1.4 cryptographic module
To disable FIPS compliance mode, run the following command: system fips-mode disable.

Алгоритмы шифрования SSH, MAC и обмена ключами

При включенном FIPS:
● Можно задать только шифры SSH и MAC, одобренные FIPS 140-2. Пользователи с правами администратора и ограниченными правами администратора могут задавать алгоритмы шифрования и
MAC, которые можно настроить с помощью следующей команды: adminaccess ssh option set ciphers.
● Список алгоритмов шифрования, список MAC и список KEX (алгоритмы обмена ключами) в файле конфигурации SSHD задаются в качестве стандартных списков
алгоритмов шифрования, MAC и KEX, соответствующих FIPS. Старые настройки удаляются.
Если режим соответствия FIPS отключен, списки алгоритмов шифрования, MAC и KEX (алгоритмы обмена ключами) в
файле конфигурации SSHD будут заданы в качестве стандартных системных списков алгоритмов шифрования, MAC и KEX. Старые настройки удаляются.

Следующие алгоритмы шифрования поддерживаются в системах или DDVE, работающих под управлением DDOS с включенным FIPS:
алгоритмы шифрования, MAC и алгоритмы обмена ключами.

The cipher list can always be changed by running the adminaccess ssh options set ciphers command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. 
If non-FIPS compliant ciphers are used, user would see an error. 

The MAC list can always be changed by running the adminaccess ssh options set macs command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. 
If non-FIPS compliant macs are used, user would see an error.

HTTPS

Служба HTTPS Apache использует тот же список алгоритмов шифрования, что и SMS.

Шифрование данных в состоянии покоя

Если включено шифрование данных в состоянии покоя, оно по умолчанию соответствует FIPS.

TLS cipher-list for management communications and replication control path
In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on
the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0.
When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command,
DDOS only uses FIPS-compliant ciphers for the following communication interfaces:
● For DDMC communications to managed DD-systems
● For Replication control path
● By the Data Domain System Management (GUI)
● For REST APIs
The cipher list can be configured with the adminaccess option set cipher-list command.

When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS.
# authentication ldap ssl enable method start_tls
Otherwise, enabling FIPS compliance mode fails.
On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set.
When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following:

● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES256-SHA384
● DHE-RSA-AES256-GCM-SHA384
● DHE-RSA-AES256-SHA256
● AES256-GCM-SHA384
● AES256-SHA256
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-RSA-AES128-SHA256
● DHE-RSA-AES128-GCM-SHA256
● DHE-RSA-AES128-SHA256
● AES128-GCM-SHA256
● AES128-SHA256

The configured cipher-list should be:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128-
SHA256
When FIPS is disabled, it is set to "", an empty string.

● The DD Boost client on that operating system must be version >=7.1.
● The password hash for users on all DD systems that this client connects to must be sha512. 
   This can be changed using the adminaccess option set password-hash sha512 CLI.

Если режим FIPS включен в операционной системе без какой-либо из указанных выше конфигураций, все подключения этого клиента к любой системе DD будут завершаться сбоем.

Клиент DD Boost с включенным режимом FIPS

Если в системе включен режим FIPS, приложения, получающие доступ к системе с помощью протокола DD Boost, должны использовать клиентские библиотеки DD Boost версии 7.3. Это гарантирует, что операции соответствуют стандарту FIPS и используют алгоритмы, совместимые с FIPS. Иногда приложение может спровоцировать переход библиотек клиента DD Boost в режим FIPS, если приложение поддерживает FIPS и было обновлено для перехода в режим FIPS в библиотеке клиента. В этом случае не только будут использоваться соответствующие FIPS алгоритмы, но и реализации этих алгоритмов будут использовать библиотеки, сертифицированные FIPS.

Если включен режим FIPS, пароли, установленные в системе, которая используется DD Boost для доступа к системе, должны иметь хэш-значения SHA512. Пользователь с паролем с хэш-значением MD5 не сможет подключиться к системе с включенным режимом FIPS.

ПРИМЕЧАНИЕ. Клиентская библиотека Boost, используемая приложением, должна быть версии >=7.1, чтобы приложение успешно подключалось к системе DD, работающей под управлением DDOS версии >=7.1 с включенным режимом FIPS. Версия клиентской библиотеки DD Boost, которая поставляется с приложением, определяется поставщиком приложения. Список всех клиентов Boost, подключенных к системе DD за последние 24 часа, можно получить введя команду ddboost show connections в интерфейсе командной строки. Чтобы определить, подключен ли клиент с подключаемым модулем Boost версии выше 7.1.x.x к данной системе DD, необходимо просмотреть столбец «Plugin Version». Все такие клиенты не смогут подключиться после включения режима FIPS в системе DD и должны быть модернизированы. Обратитесь к поставщику приложения, чтобы определить версию библиотеки клиента DD Boost, которую использует определенная версия приложения, и узнать, можно ли использовать приложение с системой DD с включенным режимом FIPS.

Telnet
Telnet не соответствует FIPS и отключен по умолчанию.

FTP/FTPS
FTP/FTPS не соответствует FIPS и по умолчанию отключен.

Active Directory
Active Directory не соответствует FIPS.
Если настроено Active Directory, оно продолжает работать при включении FIPS.

CIFS
Сервер CIFS в DDOS не зависит от настройки режима FIPS. Даже если заказчик включает режим FIPS, CIFS продолжает работать в
режиме, не соответствующем FIPS.
Чтобы отключить или остановить прием CIFS любых подключений от клиентов: sysadmin@localhost#

cifs disable

NFS
NFS не соответствует стандарту FIPS.
● NFS продолжает работать в режиме, не соответствующем FIPS.
● NFS можно отключить с помощью команды nfs disable.

Шлюз Secure Connect Gateway (SCG)
SCG — это безопасное двустороннее соединение между продуктами Dell EMC и службой поддержки заказчиков Dell EMC. SCG отключен по умолчанию и продолжает работать в режиме, не соответствующем FIPS.

Стандарты DISA STIG

Для создания хэшей пароля учетной записи система должна использовать
криптографический алгоритм хеширования, одобренный FIPS 140-2.
Системы должны использовать криптографические хэши для паролей,
использующих семейство алгоритмов SHA-2 или преемников,
утвержденных по FIPS 140-2. Использование неутвержденных алгоритмов может привести к
появлению слабых хэшей паролей, которые более уязвимы к взлому.

ПРИМЕЧАНИЕ. Справочное руководство по командам DDOS содержит инструкции по использованию команды 

adminaccess option set password-hash {md5 | sha512}

для настройки криптографического хеширования, утвержденного по FIPS 140-2, в системе. 

Изменение алгоритма хэширования не приводит
к изменению значения хэша для существующих паролей. Любые существующие
пароли, которые были хэшированы с помощью md5, будут по-прежнему иметь хэш-значения
md5 после изменения алгоритма хэша пароля
на sha512. Эти пароли необходимо сбросить, чтобы вычислить новое
хэш-значение sha512.

Сертификаты с внешней подписью
Центр сертификации (CA) предоставляет сертификаты в формате открытого сертификата (PEM) для установления доверительного соединения между внешним объектом и каждой системой.
Если в системе используется внешний диспетчер ключей, для установления доверительного соединения между внешним сервером диспетчера ключей и каждой системой, которой он управляет, требуется сертификат хоста PKCS12 и сертификат CA в формате PEM (открытый ключ).
Для подписания сертификата требуется формат PKCS10. Открытый ключ сертификата может иметь формат PKCS12 (открытый плюс закрытый ключ) или PEM. Формат PEM сертификата хоста используется только с функцией запроса на заверение сертификата (CSR).
Отдельные сертификаты хоста можно импортировать для HTTPS и связи с внешним диспетчером ключей.
Поддерживается импорт сертификата хоста в формате PKCS12. Если в системе имеется функция CSR, можно импортировать сертификат хоста в формате PEM после подписания CSR центром сертификации.
ПРИМЕЧАНИЕ. Для импорта сертификата требуется фраза-пароль системы.
В системе DD с поддержкой FIPS файл PKCS12 должен соответствовать стандарту FIPS. При шифровании файла PKCS12 необходимо использовать совместимые алгоритмы шифрования. Рекомендуется использовать «PBE-SHA1-3DES» для шифрования ключа и сертификата в файле PKCS12.

Шифрование DD обеспечивает возможность шифрования на лету, то есть в процессе получения, внесения и обработки данных выполняется дедупликация, сжатие и шифрование потока с помощью ключа шифрования перед записью в группу RAID. Шифрование DD использует библиотеки RSA BSAFE, которые прошли валидацию FIPS 140-2.

Secure Connect Gateway (SCG)
Шлюз Secure Connect Gateway — это решение для автоматического подключения к домашней сети и удаленной поддержки на основе IP-адресов, которое создает унифицированную архитектуру и общую точку доступа для удаленной поддержки, выполняемой на продукте. Решение SCG IP
выполняет следующие функции:
● Обеспечивает непрерывный мониторинг, диагностику и устранение незначительных проблем с оборудованием.
● Использует передовые методы шифрования, проверки подлинности, аудита и авторизации для максимально высокой степени защиты сеансов удаленной поддержки.
● Обеспечивает соответствие корпоративным и государственным нормам, предоставляя журналы всех событий доступа.
● Обеспечивает простую интеграцию и настройку с сетью управления хранилищем и межсетевыми экранами.
● Обеспечивает максимальную защиту информационной инфраструктуры. Сеансы на основе IP-адресов обеспечивают быструю передачу информации и оперативное устранение неполадок.
● Консолидирует удаленную поддержку информации с помощью SCG Client.
● Предоставляет удаленный доступ к площадке восстановления после сбоев и обеспечивает беспроблемное восстановление после незапланированных событий.
● Обеспечивает защиту информации в процессе передачи или в состоянии покоя. Шифрование AES 256 защищает информацию при ее передаче.
● Сокращает затраты и нагрузку на центр обработки данных, а также ускоряет устранение неполадок. Сокращение расходов на модемную/телефонную линию приводит к общему снижению затрат.
ПРИМЕЧАНИЕ. SCG не соответствует FIPS.
ПРИМЕЧАНИЕ. Использование FTP или небезопасной электронной почты при подключении к SCG может представлять риск для безопасности.

Добавление облачного устройства для Amazon Web Services S3

AWS позволяет выбирать между различными классами хранения. Таблица совместимости поставщиков облачных решений, доступная в E-Lab Navigator, содержит актуальную информацию о поддерживаемых классах хранения.

Об этой задаче
Для повышения безопасности, функция Cloud Tier использует Signature версии 4 для всех запросов AWS. Подпись с помощью Signature версии 4 включена по умолчанию.
Поставщик облачных решений AWS использует следующие конечные точки в зависимости от класса хранения и региона. Прежде чем настраивать облачные модули, убедитесь, что DNS может разрешить эти названия хостов.

Для AWS Government Cloud доступны конечные точки, соответствующие FIPS.

Начиная с DDOS 7.8, для региона «us-east-1» больше не поддерживаются устаревшие конечные точки «s3.amazonaws.com». Теперь для региона «us-east-1» требуется конечная точка «s3.us-east-1.amazonaws.com». Перед модернизацией до DDOS 7.8 убедитесь, что межсетевой экран открыт для доступа к новой конечной точке.

s3.fips.us-gov-west-1.amazonaws.com