Notas de la versión
Configuración de la seguridad de red mediante estándares federales de procesamiento de información (FIPS)
Sugerir cambios
-
PDF de este sitio de documentos
-
Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
-
Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
-
-
Gestión del almacenamiento nas
-
Configure NFS con la CLI
-
Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
-
Gestione servidores SMB
-
Gestione el acceso a archivos mediante SMB
-
-
-
Gestión del almacenamiento san
-
Autenticación y control de acceso
-
Seguridad y cifrado de datos
-
Protección de datos y recuperación ante desastres
-
Protección de datos con la interfaz de línea de comandos
-
-
Recopilación de documentos PDF independientes
Creating your file...
ONTAP cumple con los estándares de procesamiento de información federal (FIPS) 140-2 para todas las conexiones SSL. Puede activar y desactivar el modo FIPS de SSL, establecer protocolos SSL a nivel global y desactivar todos los cifrados débiles, como RC4 dentro de ONTAP.
De forma predeterminada, SSL en ONTAP se establece con el cumplimiento FIPS deshabilitado y el protocolo SSL habilitado con lo siguiente:
-
TLSv1.3 (a partir de ONTAP 9.11.1)
-
TLSv1,2
-
TLSv1,1
-
TLSv1
Cuando el modo SSL FIPS está activado, la comunicación SSL desde ONTAP a componentes de cliente o servidor externos a ONTAP utilizará cifrado compatible con FIPS para SSL.
Si desea que las cuentas de administrador accedan a SVM con una clave pública SSH, debe asegurarse de que el algoritmo de clave de host sea compatible antes de habilitar el modo SSL FIPS.
Nota: la compatibilidad con el algoritmo de clave de host ha cambiado en ONTAP 9.11.1 y versiones posteriores.
Versión de ONTAP |
Tipos de clave admitidos |
Tipos de claves no compatibles |
9.11.1 y posterior |
ecdsa-sha2-nistp256 |
rsa-sha2-512 |
9.10.1 y anteriores |
ecdsa-sha2-nistp256 |
ssh-dss |
Las cuentas de clave pública SSH existentes sin los algoritmos de clave admitidos deben volver a configurarse con un tipo de clave compatible antes de habilitar FIPS o la autenticación del administrador fallará.
Para obtener más información, consulte "Habilite cuentas de clave pública de SSH".
Para obtener más información acerca de la configuración del modo FIPS de SSL, consulte security config modify página de manual.
Habilite FIPS
Se recomienda que todos los usuarios seguros ajusten su configuración de seguridad inmediatamente después de instalar o actualizar el sistema. Cuando el modo SSL FIPS está activado, la comunicación SSL desde ONTAP a componentes de cliente o servidor externos a ONTAP utilizará cifrado compatible con FIPS para SSL.
|
Cuando FIPS está habilitada, no se puede instalar ni crear un certificado con una longitud de clave RSA de 4096. |
-
Cambie al nivel de privilegio avanzado:
set -privilege advanced -
Habilitar FIPS:
security config modify -interface SSL -is-fips-enabled true -
Cuando se le solicite continuar, introduzca
y -
Si ejecuta ONTAP 9.8 o versiones anteriores, reinicie manualmente cada nodo del clúster de uno en uno. A partir de ONTAP 9.9.1, no es necesario reiniciar.
Si está ejecutando ONTAP 9.9.1 o posterior, no verá el mensaje de advertencia.
security config modify -interface SSL -is-fips-enabled true
Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
Deshabilite FIPS
Si sigue ejecutando una configuración de sistema anterior y desea configurar ONTAP con compatibilidad con versiones anteriores, solo puede activar SSLv3 cuando FIPS esté deshabilitado.
-
Cambie al nivel de privilegio avanzado:
set -privilege advanced -
Para deshabilitar FIPS, escriba:
security config modify -interface SSL -is-fips-enabled false -
Cuando se le solicite continuar, introduzca
y. -
Si utiliza ONTAP 9.8 o una versión anterior, reinicie manualmente cada nodo del clúster. A partir de ONTAP 9.9.1, no es necesario reiniciar.
Si está ejecutando ONTAP 9.9.1 o posterior, no verá el mensaje de advertencia.
security config modify -interface SSL -supported-protocols SSLv3
Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
Ver el estado de cumplimiento de normativas FIPS
Puede ver si el clúster completo está ejecutando las opciones de configuración de seguridad actuales.
-
De uno a uno, reinicie cada nodo del clúster.
No reinicie todos los nodos del clúster en simultáneo. Se requiere un reinicio para asegurarse de que todas las aplicaciones del clúster estén ejecutando la nueva configuración de seguridad y para todos los cambios en el modo de encendido/apagado, los protocolos y los cifrados de FIPS.
-
Ver el estado de cumplimiento actual:
security config show
security config show
Cluster Cluster Security
Interface FIPS Mode Supported Protocols Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL false TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL: yes
!EXP:!eNULL