FIPS-Modus und TLS- und SSL-Management
Änderungen vorschlagen
PDFs
Der FIPS 140-2-Standard legt Sicherheitsanforderungen für kryptografische Module in Sicherheitssystemen fest, die sensible Informationen in Computer- und Telekommunikationssystemen schützen. Der FIPS 140-2-Standard gilt speziell für das kryptografische Modul und nicht für das Produkt, die Architektur, die Daten oder das Ökosystem. Das kryptografische Modul ist die spezifische Komponente (Hardware, Software, Firmware oder eine Kombination der drei), die von NIST zugelassene Sicherheitsfunktionen implementiert.
Die Aktivierung der FIPS 140-2-2-Konformität hat Auswirkungen auf andere interne und externe Systeme und die Kommunikation mit ONTAP 9. NetApp empfiehlt dringend, diese Einstellungen auf einem nicht-produktiven System mit Konsolenzugriff zu testen.
Ab ONTAP 9.11.1 und TLS 1.3-Unterstützung können Sie FIPS 140-3 validieren.
|
Die FIPS-Konfiguration gilt für ONTAP und die Plattform BMC. |
NetApp ONTAP FIPS-Mode-Konfiguration
NetApp ONTAP verfügt über eine FIPS-Modus-Konfiguration, die eine zusätzliche Sicherheitsstufe der Kontrollebene instanziiert:
-
Ab ONTAP 9.11.1 sind bei aktiviertem FIPS 140-2-Compliance-Modus TLSv1, TLSv1.1 und SSLv3 deaktiviert, und nur TSLv1.2 und TSLv1.3 bleiben aktiviert. Sie wirkt sich auf andere interne und externe Systeme und Kommunikation mit ONTAP 9 aus. Wenn Sie den FIPS 140-2 Compliance-Modus aktivieren und anschließend deaktivieren, bleiben TLSv1, TLSv1.1 und SSLv3 deaktiviert. Je nach vorheriger Konfiguration bleibt entweder TLSv1.2 oder TLSv1.3 aktiviert.
-
Bei Versionen von ONTAP vor 9.11.1, wenn der FIPS 140-2-Compliance-Modus aktiviert ist, sind TLSv1 und SSLv3 deaktiviert, und nur TLSv1.1 und TLSv1.2 bleiben aktiviert. ONTAP verhindert, dass Sie TLSv1 und SSLv3 aktivieren, wenn der Compliance-Modus nach FIPS 140-2 aktiviert ist. Wenn Sie den FIPS 140-2-Compliance-Modus aktivieren und anschließend deaktivieren, bleiben TLSv1 und SSLv3 deaktiviert, jedoch sind je nach vorheriger Konfiguration entweder TLSv1.2 oder TLSv1.1 und TLSv1.2 aktiviert.
-
"Cryptographic Security Module (NCSM) von NetApp", Das nach FIPS 140-2 Level 1 validiert ist, bietet softwarebasierte Compliance.
|
|
NIST hat einen FIPS-140-3-Standard eingereicht und NCSM verfügt über FIPS-140-2- und FIPS-140-3-Validierungen. Alle FIPS 140-2-Validierungen werden am 21. September 2026, also fünf Jahre nach dem letzten Tag für neue Zertifikatsübermittlungen, in den historischen Status versetzt. |
Ermöglichen Sie den Compliance-Modus nach FIPS-140-2 und FIPS-140-3
Ab ONTAP 9 können die Compliance-Modi FIPS-140-2 und FIPS-140-3 für Cluster-weite Kontrollebene-Schnittstellen aktiviert werden.
FIPS-Enablement und -Protokolle
`security config modify`Mit dem Befehl können Sie die vorhandene Cluster-weite Sicherheitskonfiguration ändern. Wenn Sie den FIPS-konformen Modus aktivieren, wählt das Cluster automatisch nur TLS-Protokolle aus.
-
Verwenden Sie den
-supported-protocolsParameter, um TLS-Protokolle unabhängig vom FIPS-Modus ein- oder auszuschließen. Standardmäßig ist der FIPS-Modus deaktiviert, und ONTAP unterstützt die Protokolle TLSv1.2, TLSv1.1 und TLSv1. -
Zur Rückwärtskompatibilität unterstützt ONTAP das Hinzufügen von SSLv3 zur Liste der unterstützten Protokolle, wenn der FIPS-Modus deaktiviert ist.
FIPS-Enablement und Verschlüsselung
-
Verwenden Sie den
-supported-cipher-suitesParameter, um nur den Advanced Encryption Standard (AES) oder AES und 3DES zu konfigurieren. -
Sie können schwache Chiffren wie RC4 deaktivieren
!RC4, indem Sie angeben. Standardmäßig ist die unterstützte Chiffre-EinstellungALL:!LOW:!aNULL:!EXP:!eNULL. Diese Einstellung bedeutet, dass alle unterstützten Cipher-Suites für die Protokolle aktiviert sind, mit Ausnahme der 64-Bit- oder 56-Bit-Verschlüsselungsalgorithmen ohne Authentifizierung, keine Verschlüsselung, keine Exporte und Verschlüsselungssuites mit geringer Verschlüsselung. -
Wählen Sie eine Verschlüsselungssuite aus, die mit dem entsprechenden ausgewählten Protokoll verfügbar ist. Eine ungültige Konfiguration kann dazu führen, dass einige Funktionen nicht ordnungsgemäß funktionieren.
-
Die korrekte Syntax für die Chiffrierzeichenfolge finden Sie im "Seite „Chiffren“" auf OpenSSL (veröffentlicht von OpenSSL Software Foundation). Ab ONTAP 9.9.1 und neueren Versionen müssen Sie nach Änderung der Sicherheitskonfiguration nicht mehr alle Nodes manuell neu booten.
Erhöhung der SSH- und TLS-Sicherheit
Für die SSH-Administration von ONTAP 9 ist ein OpenSSH-Client 5.7 oder höher erforderlich. SSH-Clients müssen mit dem öffentlichen Schlüsselalgorithmus Elliptic Curve Digital Signature Algorithm (ECDSA) verhandeln, damit die Verbindung erfolgreich hergestellt werden kann.
Um TLS-Sicherheit zu erhärten, aktivieren Sie nur TLS 1.2 und verwenden Sie Cipher Suites, die Perfect Forward Secrecy (PFS) bieten. PFS ist eine Methode des Schlüsselaustauschs, die in Kombination mit Verschlüsselungsprotokollen wie TLS 1.2 einen Angreifer daran hindert, alle Netzwerksitzungen zwischen einem Client und einem Server zu entschlüsseln.
Aktivieren Sie TLSv1.2- und PFS-fähige Chiffre-Suites
Um nur TLS 1.2- und PFS-fähige Cipher-Suites security config modify zu aktivieren, verwenden Sie den Befehl von der erweiterten Berechtigungsebene aus.
|
|
Bevor Sie die Konfiguration der SSL-Schnittstelle ändern, stellen Sie sicher, dass der Client die Chiffren DHE und ECDHE unterstützt, wenn eine Verbindung zu ONTAP hergestellt wird, um die Verbindung mit ONTAP aufrechtzuerhalten. |
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH
Bestätigen Sie y für jede Eingabeaufforderung. Weitere Informationen zu PFS finden Sie in diesem "NetApp Blog".
"Federal Information Processing Standard (FIPS) Publication 140"