Configure la seguridad de red ONTAP mediante FIPS para todas las conexiones SSL
Sugerir cambios
PDF
ONTAP cumple con los Estándares Federales de Procesamiento de Información (FIPS) 140-2 para todas las conexiones SSL. Puede activar y desactivar el modo SSL FIPS, configurar los protocolos SSL globalmente y desactivar cualquier cifrado débil dentro de ONTAP.
De forma predeterminada, SSL en ONTAP se establece con la conformidad FIPS desactivada y con los siguientes protocolos TLS activados:
-
TLSv1,3 (a partir de ONTAP 9.11.1)
-
TLSv1.2
Las versiones anteriores de ONTAP tenían activados de forma predeterminada los siguientes protocolos TLS:
-
TLSv1,1 (deshabilitado de forma predeterminada a partir de ONTAP 9.12.1)
-
TLSv1 (deshabilitado de forma predeterminada a partir de ONTAP 9,8)
Cuando el modo SSL FIPS está activado, la comunicación SSL desde ONTAP a componentes de cliente o servidor externos a ONTAP utilizará cifrado compatible con FIPS para SSL.
Si desea que las cuentas de administrador accedan a SVM con una clave pública SSH, debe asegurarse de que el algoritmo de clave de host sea compatible antes de habilitar el modo SSL FIPS.
Nota: la compatibilidad con el algoritmo de clave de host ha cambiado en ONTAP 9.11.1 y versiones posteriores.
Versión de ONTAP |
Tipos de clave admitidos |
Tipos de claves no compatibles |
9.11.1 y posterior |
ecdsa-sha2-nistp256 |
rsa-sha2-512 + rsa-sha2-256 + ssh-ed25519 + ssh-dss + ssh-rsa |
9.10.1 y anteriores |
ecdsa-sha2-nistp256 + ssh-ed25519 |
ssh-dss + ssh-rsa |
Las cuentas de clave pública SSH existentes sin los algoritmos de clave admitidos deben volver a configurarse con un tipo de clave compatible antes de habilitar FIPS o la autenticación del administrador fallará.
Para obtener más información, consulte "Habilite cuentas de clave pública de SSH".
ONTAP 9.18.1 introduce soporte para los algoritmos criptográficos post-cuánticos ML-KEM, ML-DSA y SLH-DSA para SSL, proporcionando una capa adicional de seguridad contra posibles ataques futuros de computadoras cuánticas. Estos algoritmos solo están disponibles cuandoFIPS está desactivado . Los algoritmos criptográficos post-cuánticos se negocian cuando FIPS está deshabilitado y el par los admite.
Active FIPS
Se recomienda que todos los usuarios seguros ajusten su configuración de seguridad inmediatamente después de instalar o actualizar el sistema. Cuando el modo SSL FIPS está activado, la comunicación SSL desde ONTAP a componentes de cliente o servidor externos a ONTAP utilizará cifrado compatible con FIPS para SSL.
|
Cuando FIPS está habilitada, no se puede instalar ni crear un certificado con una longitud de clave RSA de 4096. |
-
Cambie al nivel de privilegio avanzado:
set -privilege advanced -
Habilitar FIPS:
security config modify * -is-fips-enabled true -
Cuando se le solicite continuar, introduzca
y -
A partir de ONTAP 9.9.1, no es necesario reiniciar. Si está ejecutando ONTAP 9.8 o una versión anterior, reinicie manualmente cada nodo del clúster uno por uno.
Si está ejecutando ONTAP 9.9.1 o posterior, no verá el mensaje de advertencia.
security config modify -is-fips-enabled true
Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
Obtenga más información sobre security config modify la configuración del modo FIPS SSL en el "Referencia de comandos del ONTAP".
Desactive FIPS
A partir de ONTAP 9.18.1, SSL en ONTAP admite los algoritmos criptográficos de computación post-cuántica ML-KEM, ML-DSA y SLH-DSA. Estos algoritmos solo están disponibles cuando FIPS está deshabilitado y el par los admite.
-
Cambie al nivel de privilegio avanzado:
set -privilege advanced -
Para deshabilitar FIPS, escriba:
security config modify -is-fips-enabled false -
Cuando se le solicite continuar, introduzca
y. -
A partir de ONTAP 9.9.1, no es necesario reiniciar. Si está ejecutando ONTAP 9.8 o una versión anterior, reinicie manualmente cada nodo del clúster.
Si necesita utilizar el protocolo SSLv3, debe deshabilitar FIPS siguiendo el procedimiento anterior. SSLv3 solo se puede habilitar cuando FIPS está deshabilitado.
Puedes habilitar SSLv3 con el siguiente comando. Si está ejecutando ONTAP 9.9.1 o posterior, no verá el mensaje de advertencia.
security config modify -supported-protocols SSLv3
Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
Ver el estado de cumplimiento de normativas FIPS
Puede ver si el clúster completo está ejecutando las opciones de configuración de seguridad actuales.
-
Si está ejecutando ONTAP 9.8 o una versión anterior, reinicie manualmente cada nodo del clúster uno por uno.
-
Ver el estado de cumplimiento actual:
security config showcluster1::> security config show Cluster Supported FIPS Mode Protocols Supported Cipher Suites ---------- --------- ---------------------------------------------------------- false TLSv1.3, TLS_RSA_WITH_AES_128_CCM, TLS_RSA_WITH_AES_128_CCM_8, TLSv1.2 TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CCM, TLS_RSA_WITH_AES_256_CCM_8, ...Obtenga más información sobre
security config showen el "Referencia de comandos del ONTAP".