Data Domain – FIPS-konfiguration och bästa praxis

authorization policy set security-officer enabled

# system fips-mode disable
# system fips-mode enable

The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled.
To enable FIPS compliance mode, run the following command: system fips-mode enable.
NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities.
NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. 
The other local users require sysadmin to change their passwords for them by running user change password.
NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols.
DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K.
● Dell OpenSSL Cryptographic Library v2.5
● EMC Crypto-C Micro Edition 4.1.4 cryptographic module
To disable FIPS compliance mode, run the following command: system fips-mode disable.

SSH-chiffer, MAC-filer och nyckelutbytesalgoritmer

När FIPS är aktiverat:
● Endast FIPS 140-2-godkända SSH-chiffer och MAC-koder kan ställas in. Användarrollerna admin och limited-admin kan ställa in chiffer och
MAC:er, som kan konfigureras med hjälp av följande kommando: adminaccess ssh option set chiffer● Chifferlistan
, MAC-listan och KEX-listan (nyckelutbytesalgoritmer) i SSHD-konfigurationsfilen ställs in på en standardlista över
FIPS-kompatibla chiffer, MAC:er och KEX:er. De gamla inställningarna går förlorade.
När FIPS-kompatibilitetsläget är inaktiverat anges chifferlistan, MAC-listan och KEX-listan (nyckelutbytesalgoritmer) i SSHD-konfigurationsfilen
till systemets standardlista över chiffer, MAC:er och KEX:er. De gamla inställningarna går förlorade.

Följande chiffer stöds på system eller DDVE som kör DDOS med FIPS aktiverat:
Chiffer, MAC och nyckelutbytesalgoritmer

The cipher list can always be changed by running the adminaccess ssh options set ciphers command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. 
If non-FIPS compliant ciphers are used, user would see an error. 

The MAC list can always be changed by running the adminaccess ssh options set macs command. 
When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. 
If non-FIPS compliant macs are used, user would see an error.

HTTPS

HTTPS Apache-tjänsten använder samma lista över chiffer som SMS.

Kryptering

av data vid vila Om kryptering av data vid vila är aktiverat är det FIPS-kompatibelt som standard.

TLS cipher-list for management communications and replication control path
In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on
the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0.
When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command,
DDOS only uses FIPS-compliant ciphers for the following communication interfaces:
● For DDMC communications to managed DD-systems
● For Replication control path
● By the Data Domain System Management (GUI)
● For REST APIs
The cipher list can be configured with the adminaccess option set cipher-list command.

When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS.
# authentication ldap ssl enable method start_tls
Otherwise, enabling FIPS compliance mode fails.
On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set.
When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following:

● ECDHE-RSA-AES256-GCM-SHA384
● ECDHE-RSA-AES256-SHA384
● DHE-RSA-AES256-GCM-SHA384
● DHE-RSA-AES256-SHA256
● AES256-GCM-SHA384
● AES256-SHA256
● ECDHE-RSA-AES128-GCM-SHA256
● ECDHE-RSA-AES128-SHA256
● DHE-RSA-AES128-GCM-SHA256
● DHE-RSA-AES128-SHA256
● AES128-GCM-SHA256
● AES128-SHA256

The configured cipher-list should be:
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128-
SHA256
When FIPS is disabled, it is set to "", an empty string.

● The DD Boost client on that operating system must be version >=7.1.
● The password hash for users on all DD systems that this client connects to must be sha512. 
   This can be changed using the adminaccess option set password-hash sha512 CLI.

Om FIPS-läget är aktiverat på operativsystemet utan någon av ovanstående konfigurationer misslyckas alla anslutningar från den här klienten till valfritt DD-system.

DD Boost-klient med FIPS-läge aktiverat

När FIPS-läget är aktiverat i systemet bör program som har åtkomst till systemet med DD Boost-protokollet använda version 7.3 av DD Boost-klientbiblioteken. Detta garanterar att åtgärderna är FIPS-kompatibla och använder FIPS-kompatibla algoritmer. Ibland kan programmet göra att DD Boost-klientbiblioteken försätts i FIPS-läge om programmet är FIPS-medvetet och har uppdaterats för att gå in i FIPS-läge i klientbiblioteket. I så fall kommer inte bara FIPS-kompatibla algoritmer att användas för att, utan implementeringarna av dessa algoritmer använder FIPS-certifierade bibliotek.

När FIPS-läget är aktiverat måste lösenorden som anges i systemet som används av DD Boost för att komma åt systemet ha hash-SHA512-värden. En användare med ett lösenord med en MD5-hash kan inte ansluta till ett FIPS-aktiverat system.

NOT: Det Boost-klientbibliotek som ett program använder måste vara version >=7.1 för att programmet ska kunna ansluta till ett DD-system som kör en DDOS-version >=7.1 med FIPS-läge aktiverat. Vilken version av DD Boost-klientbiblioteket som levereras med ett program bestäms av programleverantören. En lista över alla Boost-klienter som har anslutit till DD-systemet under de senaste 24 timmarna kan hämtas från ddboost show connections CLI. Kolumnen för plugin-version bör visas för att avgöra om någon klient med ett Boost-insticksprogram som är äldre än 7.1.x.x för närvarande ansluter till detta DD-system. Alla sådana klienter kan inte ansluta när FIPS-läget har aktiverats på DD-systemet och måste uppgraderas. Kontakta programleverantören för att fastställa vilken version av DD Boost-klientbiblioteket som en specifik programversion använder för att se om programmet kan användas med ett DD-system med FIPS-läge aktiverat.

Telnet
Telnet är inte FIPS-kompatibelt och är inaktiverat som standard.

FTP/FTPS
, FTP/FTPS är inte FIPS-kompatibelt och är inaktiverat som standard.

Active Directory
Active Directory är inte FIPS-kompatibelt.
Active Directory fortsätter att fungera när det har konfigurerats och när FIPS är aktiverat.

CIFS
CIFS-servern på DDOS är inte beroende av FIPS-lägesinställningen. Även om kunden aktiverar FIPS-läge fortsätter CIFS att fungera i
icke-FIPS-kompatibelt läge.
Så här inaktiverar eller stoppar du CIFS från att acceptera anslutningar från klienterna:sysadmin@localhost#

cifs disable

NFS
NFS är inte FIPS-kompatibelt.
● NFS fortsätter att fungera i ett icke-FIPS-kompatibelt läge.
● NFS kan inaktiveras med kommandot nfs disable .

Säker anslutningsgateway (SCG)
SCG är en säker dubbelriktad anslutning mellan Dell EMC-produkter och Dell EMC:s kundsupport. SCG är inaktiverat som standard och fortsätter att fungera i icke-FIPS-kompatibelt läge.

DISA STIG-standarder

Systemet måste använda en FIPS 140-2-godkänd kryptografi
hashalgoritm för att generera hashvärden för kontolösenord.
System måste använda kryptografiska hashvärden för lösenord
med hjälp av SHA-2-familjen av algoritmer eller FIPS 140-2-godkända
Efterträdarear. Användningen av icke godkända algoritmer kan leda till
Svaga lösenordshashar är mer sårbara för kompromettering.

Obs! I DDOS-kommandoreferensguiden beskrivs hur du använder 

adminaccess option set password-hash {md5 | sha512}

för att ställa in FIPS 140-2-godkänd kryptografisk hashing på systemet. 

Ändring av hash-algoritmen ändras inte
Hash-värdet för alla befintliga lösenord. Alla befintliga
Lösenord som hashats med MD5 kommer fortfarande att ha MD5
hashvärden efter att ha ändrat algoritmen för lösenordshash
till SHA512. Dessa lösenord måste återställas så att en ny
SHA512-hashvärdet beräknas.

Externt signerade certifikat
: Certifikatutfärdare (CA) är i PEM-format (Public Certificate) för att upprätta en betrodd anslutning mellan den externa entiteten och varje system.
Om systemet använder den externa nyckelhanteraren krävs ett PKCS12-värdcertifikat och CA-certifikat i PEM-format (offentlig nyckel) för att upprätta en betrodd anslutning mellan den externa nyckelhanteringsservern och varje system som den hanterar.
Certifikatsigneringen kräver PKCS10-format. Den offentliga certifikatnyckeln kan ha antingen PKCS12- (offentlig plus en privat nyckel) eller PEM-format. PEM-formatet för värdcertifikatet används endast med CSR-funktionen (Certificate Signing Request).
Enskilda värdcertifikat kan importeras för HTTPS och kommunikation med extern nyckelhanterare.
Import av värdcertifikatet i PKCS12-format stöds. Om det finns en CSR i systemet kan du importera värdcertifikatet i PEM-format efter att CSR har signerats av en certifikatutfärdare.
NOT: Systemlösenfrasen krävs för att importera certifikatet.
På ett FIPS-aktiverat DD-system måste PKCS12-filen vara FIPS-kompatibel. Vid kryptering av PKCS12-filen måste kompatibla krypteringsalgoritmer användas. Vi rekommenderar att du använder "PBE-SHA1-3DES" för kryptering av nyckel och certifikat i PKCS12-filen.

DD Encryption tillhandahåller inbyggd kryptering, vilket innebär att när data matas in dedupliceras och komprimeras och krypteras strömmen med hjälp av en krypteringsnyckel innan den skrivs till RAID-gruppen. DD Encryption-programvaran använder RSA BSAFE-bibliotek, som är FIPS 140-2-validerade.

Säker anslutningsgateway (SCG)
Säker anslutningsgateway är en IP-baserad automatiserad lösning för hem- och fjärrsupport som skapar både en enhetlig arkitektur och en gemensam åtkomstpunkt för fjärrsupportaktiviteter som utförs på produkten. SCG IP-lösningen
gör följande:
● Ger kontinuerlig övervakning, diagnos och reparation av mindre maskinvaruproblem.
● Använder den mest avancerade krypteringen, autentiseringen, granskningen och auktoriseringen för fjärrsupport med ultrahög säkerhet.
● Hanterar efterlevnad av företags- och myndighetsföreskrifter genom att tillhandahålla loggar över alla åtkomsthändelser.
● Ger enkel integration och konfiguration med lagringshanteringsnätverket och brandväggarna.
● Ger maximalt skydd för informationsinfrastrukturen. IP-baserade sessioner möjliggör snabb informationsöverföring och upplösning.
● Konsoliderar fjärrsupport för informationen med SCG-klienten.
● Ger fjärråtkomst till katastrofåterställningsplatsen och gör återställning från oplanerade händelser sömlös.
● Skyddar information i rörelse eller i vila. AES 256-kryptering under informationsöverföring skyddar informationen.
● Minskar kostnader och röran i datacentret och påskyndar tiden till lösning. Eliminering av kostnader för modem/telefonlinje leder till lägre kostnader.
NOT: SCG är inte FIPS-kompatibelt.
NOT: Användning av FTP eller osäker e-post vid anslutning till SCG kan utgöra en säkerhetsrisk.

Lägga till en molnenhet för Amazon Web Services S3

AWS erbjuder en rad olika lagringsklasser. Kompatibilitetsmatrisen för molnleverantörer, som är tillgänglig från E-Lab Navigator, innehåller uppdaterad information om de lagringsklasser som stöds.

Om denna uppgift
För förbättrad säkerhet använder funktionen Molnnivå signaturversion 4 för alla AWS-begäranden. Signering av signaturversion 4 är aktiverat som standard.
Följande slutpunkter används av AWS-molnleverantören, beroende på lagringsklass och region. Se till att DNS kan matcha dessa värdnamn innan du konfigurerar molnenheter.

FIPS-kompatibla slutpunkter är tillgängliga för AWS Government Cloud.

Från och med DDOS 7.8 stöder regionen us-east-1 inte längre den äldre slutpunkten s3.amazonaws.com. Regionen us-east-1 kräver nu slutpunkten s3.us-east-1.amazonaws.com. Kontrollera att brandväggen är öppen för att nå den nya slutpunkten innan du uppgraderar till DDOS 7.8.

S3.FIPS.us-gov-west-1.amazonaws.com