Versionshinweise
TLS und SSL-Management
Änderungen vorschlagen
-
PDF dieser Dokumentationssite
-
ONTAP einrichten, aktualisieren und zurücksetzen
-
Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
-
Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
-
-
NAS-Storage-Management
-
Konfigurieren Sie NFS mit der CLI
-
Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
-
Verwalten Sie SMB-Server
-
Verwalten Sie den Dateizugriff mit SMB
-
-
-
SAN-Storage-Management
-
Authentifizierung und Zugriffssteuerung
-
Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
-
Managen Sie die SnapMirror Volume-Replizierung
-
-
Sammlung separater PDF-Dokumente
Creating your file...
Sie können den FIPS 140-2/3-Compliance-Modus für Schnittstellen der Kontrollebene aktivieren, indem Sie den Parameter mit dem ONTAP-Befehl auf „true“ setzen is-fips-enabled security config modify .
Ab ONTAP 9 können Sie den FIPS 140-2-Compliance-Modus für Cluster-weite Kontrollebene-Schnittstellen aktivieren. Standardmäßig ist der reine FIPS 140-2-Modus deaktiviert. Sie können den FIPS 140-2-Compliance-Modus aktivieren, indem Sie den Parameter für den Befehl auf setzen is-fips-enabled true security config modify . Sie können dann den Online-Status mithilfe des security config show command bestätigen.
Wenn die FIPS 140-2-Konformität aktiviert ist, sind TLSv1 und SSLv3 deaktiviert, und nur TLSv1.1 und TLSv1.2 bleiben aktiviert. ONTAP verhindert, dass Sie TLSv1 und SSLv3 aktivieren, wenn die FIPS 140-2-Compliance aktiviert ist. Wenn Sie FIPS 140-2 aktivieren und anschließend deaktivieren, bleiben TLSv1 und SSLv3 deaktiviert, TLSv1.2 oder TLSv1.1 und TLSv1.2 bleiben jedoch aktiviert, je nach vorheriger Konfiguration.
Mit dem security config modify Befehl wird die vorhandene Cluster-weite Sicherheitskonfiguration geändert. Wenn Sie den FIPS-konformen Modus aktivieren, wählt das Cluster automatisch nur TLS-Protokolle aus. Verwenden Sie den -supported-protocols Parameter, um TLS-Protokolle unabhängig vom FIPS-Modus ein- oder auszuschließen. Standardmäßig ist der FIPS-Modus deaktiviert, und ONTAP unterstützt die Protokolle TLSv1.2, TLSv1.1 und TLSv1.
Zur Rückwärtskompatibilität unterstützt ONTAP das Hinzufügen von SSLv3 zur Liste, wenn der supported-protocols FIPS-Modus deaktiviert ist. Verwenden Sie den -supported-cipher-suites Parameter, um nur den Advanced Encryption Standard (AES) oder AES und 3DES zu konfigurieren. Sie können auch schwache Chiffren wie RC4 deaktivieren, indem Sie !RC4 angeben. Standardmäßig ist die unterstützte Chiffre-Einstellung ALL:!LOW:!aNULL:!EXP:!eNULL. Diese Einstellung bedeutet, dass alle unterstützten Cipher-Suites für die Protokolle aktiviert sind, mit Ausnahme der Suiten ohne Authentifizierung, ohne Verschlüsselung, ohne Exporte und mit geringer Verschlüsselung. Diese Suiten verwenden 64-Bit- oder 56-Bit-Verschlüsselungsalgorithmen.
Wählen Sie eine Verschlüsselungssuite aus, die mit dem entsprechenden ausgewählten Protokoll verfügbar ist. Eine ungültige Konfiguration kann dazu führen, dass einige Funktionen nicht ordnungsgemäß funktionieren.
Die korrekte Syntax der Chiffren-Zeichenketten finden Sie auf der "Verschlüsselung" Seite zu OpenSSL (veröffentlicht von OpenSSL Software Foundation). Ab ONTAP 9.9.1 und neueren Versionen müssen Sie nach Änderung der Sicherheitskonfiguration nicht mehr alle Nodes manuell neu booten.
Die Aktivierung der FIPS 140-2-2-Konformität hat Auswirkungen auf andere interne und externe Systeme und die Kommunikation mit ONTAP 9. NetApp empfiehlt dringend, diese Einstellungen auf einem nicht-produktiven System mit Konsolenzugriff zu testen.
|
Wenn SSH zur Verwaltung von ONTAP 9 verwendet wird, müssen Sie einen OpenSSH 5.7 oder höher-Client verwenden. SSH-Clients müssen mit dem öffentlichen Schlüsselalgorithmus Elliptic Curve Digital Signature Algorithm (ECDSA) verhandeln, damit die Verbindung erfolgreich hergestellt werden kann. |
TLS-Sicherheit kann weiter gehärtet werden, indem nur TLS 1.2 aktiviert und Perfect Forward Secrecy (PFS)-fähige Chiffre Suites verwendet werden. PFS ist eine Methode des Schlüsselaustauschs, die in Kombination mit Verschlüsselungsprotokollen wie TLS 1.2 einen Angreifer daran hindert, alle Netzwerksitzungen zwischen einem Client und einem Server zu entschlüsseln. Um nur TLS 1.2- und PFS-fähige Chiffren-Suites zu aktivieren, verwenden Sie den security config modify Befehl von der erweiterten Berechtigungsebene aus, wie im folgenden Beispiel gezeigt.
|
|
Bevor Sie die Konfiguration der SSL-Schnittstelle ändern, ist es wichtig zu beachten, dass der Client die erwähnte Verschlüsselung (DHE, ECDHE) bei der Verbindung mit ONTAP unterstützen muss. Andernfalls ist die Verbindung nicht zulässig. |
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH
Bestätigen Sie y für jede Eingabeaufforderung. Weitere Informationen zu PFS finden Sie unter "In diesem NetApp Blog".
Ab ONTAP 9.11.1 und TLS 1.3-Unterstützung können Sie FIPS 140-3 validieren.
|
|
Die FIPS-Konfiguration gilt für ONTAP und die Plattform BMC. |