Gestión TLS y SSL
-
PDF de este sitio de documentos
- Configuración, actualización y reversión de ONTAP
- Administración de clústeres
-
Administración de volúmenes
-
Gestión de almacenamiento lógico con CLI
- Utilice cuotas para restringir o realizar un seguimiento del uso de los recursos
-
Gestión de almacenamiento lógico con CLI
-
Gestión del almacenamiento nas
- Configure NFS con la CLI
- Gestione NFS con la interfaz de línea de comandos
-
Gestione SMB con la interfaz de línea de comandos
- Gestione servidores SMB
- Gestione el acceso a archivos mediante SMB
- Gestión del almacenamiento san
- Autenticación y control de acceso
- Seguridad y cifrado de datos
- Protección de datos y recuperación ante desastres
Recopilación de documentos PDF independientes
Creating your file...
Puede habilitar el modo de cumplimiento de FIPS 140-2/3 para las interfaces del plano de control mediante el establecimiento del is-fips-enabled
parámetro en true con el comando ONTAP security config modify
.
A partir de ONTAP 9, puede habilitar el modo de cumplimiento normativo FIPS 140-2 para las interfaces en el plano de control de todo el clúster. De manera predeterminada, se deshabilita el modo FIPS 140-2-only. Puede habilitar el modo de cumplimiento de FIPS 140-2 estableciendo is-fips-enabled
el parámetro en true
para el security config modify
comando. A continuación, puede utilizar security config show command
para confirmar el estado en línea.
Cuando se habilita el cumplimiento FIPS 140-2, TLSv1 y SSLv3 están deshabilitados y solo TLSv1.1 y TLSv1.2 permanecen habilitados. ONTAP evita que habilite TLSv1 y SSLv3 cuando el cumplimiento de FIPS 140-2 está habilitado. Si habilita FIPS 140-2 y luego la deshabilita posteriormente, TLSv1 y SSLv3 seguirán deshabilitados, pero TLSv1,2 o TLSv1,1 y TLSv1,2 permanecerán habilitados, según la configuración anterior.
El security config modify
comando modifica la configuración de seguridad existente en todo el clúster. Si habilita el modo conforme a FIPS, el clúster selecciona automáticamente solo los protocolos TLS. Utilice el -supported-protocols
parámetro para incluir o excluir protocolos TLS independientemente del modo FIPS. De forma predeterminada, el modo FIPS está deshabilitado y ONTAP admite los protocolos TLSv1,2, TLSv1,1 y TLSv1.
Para obtener compatibilidad con versiones anteriores, ONTAP admite añadir SSLv3 a la supported-protocols
lista cuando se deshabilita el modo FIPS. Use -supported-cipher-suites
el parámetro para configurar solo el estándar de cifrado avanzado (AES) o AES y 3DES. También puede desactivar los cifrados débiles como RC4 especificando !RC4. Por defecto, el valor de cifrado soportado es ALL:!LOW:!aNULL:!EXP:!eNULL
. Esta configuración significa que todos los conjuntos de cifrado admitidos para los protocolos están habilitados, excepto los que no tienen autenticación, ningún cifrado, ninguna exportación y conjuntos de cifrado de bajo cifrado. Se trata de suites que utilizan algoritmos de cifrado de 64 o 56 bits.
Seleccione un conjunto de cifrado que esté disponible con el protocolo seleccionado correspondiente. Una configuración no válida puede provocar que algunas funcionalidades no funcionen correctamente.
Para obtener la sintaxis correcta de la cadena de cifrado, consulte la "cifrados" página en OpenSSL (publicada por la base de software OpenSSL). A partir de ONTAP 9.9.1 y versiones posteriores, ya no es necesario reiniciar todos los nodos manualmente después de modificar la configuración de seguridad.
La habilitación del cumplimiento FIPS 140-2 tiene efectos en otros sistemas y comunicaciones internos y externos a ONTAP 9. NetApp recomienda encarecidamente probar esta configuración en un sistema no de producción que tenga acceso a la consola.
Si se utiliza SSH para administrar ONTAP 9, debe utilizar un cliente OpenSSH 5,7 o posterior. Los clientes SSH deben negociar con el algoritmo de clave pública del algoritmo de firma digital de curva elíptica (ECDSA) para que la conexión sea exitosa. |
La seguridad TLS puede reforzarse aún más si solo habilita TLS 1,2 y utiliza conjuntos de cifrado compatibles con el secreto directo perfecto (PFS). PFS es un método de intercambio de claves que, cuando se utiliza en combinación con protocolos de cifrado como TLS 1,2, ayuda a evitar que un atacante descifre todas las sesiones de red entre un cliente y un servidor. Para habilitar sólo conjuntos de cifrados compatibles con TLS 1,2 y PFS, utilice el security config modify
comando del nivel de privilegio avanzado como se muestra en el siguiente ejemplo.
Antes de cambiar la configuración de la interfaz SSL, es importante recordar que el cliente debe admitir el cifrado mencionado (DHE, ECDHE) al conectarse a ONTAP. De lo contrario, no se permite la conexión. |
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH
Confirmar y
para cada petición de datos. Para obtener más información sobre PFS, consulte "Este blog de NetApp".
Desde el soporte de ONTAP 9.11.1 y TLS 1,3, puede validar FIPS 140-3.
La configuración FIPS se aplica a ONTAP y a la plataforma BMC. |