Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Modo FIPS y gestión TLS y SSL

Colaboradores
PDF

La norma FIPS 140-2 especifica los requisitos de seguridad para los módulos criptográficos dentro de los sistemas de seguridad que protegen la información confidencial en sistemas informáticos y de telecomunicaciones. El estándar FIPS 140-2 se aplica específicamente al módulo criptográfico, en lugar del producto, la arquitectura, los datos o el ecosistema. El módulo criptográfico es el componente específico (hardware, software, firmware o una combinación de los tres) que implementa funciones de seguridad aprobadas por el NIST.

La habilitación del cumplimiento FIPS 140-2 tiene efectos en otros sistemas y comunicaciones internos y externos a ONTAP 9. NetApp recomienda encarecidamente probar esta configuración en un sistema no de producción que tenga acceso a la consola.

Desde el soporte de ONTAP 9.11.1 y TLS 1,3, puede validar FIPS 140-3.

Nota La configuración FIPS se aplica a ONTAP y a la plataforma BMC.

Configuración FIPS-Mode de NetApp ONTAP

NetApp ONTAP tiene una configuración en modo FIPS que instancia un nivel de seguridad añadido al plano de control:

  • A partir de ONTAP 9.11,1, cuando se habilita el modo de cumplimiento de FIPS 140-2, TLSv1, TLSv1,1 y SSLv3 están deshabilitados y solo TSLv1,2 y TSLv1,3 permanecen habilitados. Afecta a otros sistemas y comunicaciones internos y externos a ONTAP 9. Si habilita el modo de cumplimiento FIPS 140-2 y, a continuación, se deshabilita TLSv1, TLSv1.1 y SSLv3. TLSv1,2 o TLSv1,3 permanecerán habilitados según la configuración anterior.

  • Para las versiones de ONTAP anteriores a 9.11.1 cuando se habilita el modo de cumplimiento de FIPS 140-2, tanto TLSv1 como SSLv3 están deshabilitados y solo TLSv1,1 y TLSv1,2 se encuentran habilitados. ONTAP evita que habilite TLSv1 y SSLv3 cuando el modo de cumplimiento FIPS 140-2 está habilitado. Si activa el modo de cumplimiento FIPS 140-2 y lo deshabilita posteriormente, TLSv1 y SSLv3 permanecen deshabilitados, pero TLSv1.2 o TLSv1.1 y TLSv1.2 se habilitan en función de la configuración anterior.

  • "Módulo de seguridad criptográfica de NetApp (NCSM)", Que es FIPS 140-2 nivel 1 validado, proporciona el cumplimiento basado en software.

Nota NIST ha enviado un estándar FIPS-140-3, y NCSM tendrá validaciones FIPS-140-2 y FIPS-140-3. Todas las validaciones FIPS 140-2 pasarán al estado histórico el 21 de septiembre de 2026, que es cinco años después del último día para el envío de nuevos certificados.

Habilite el modo de cumplimiento de normativas FIPS-140-2 y FIPS-140-3

A partir de ONTAP 9, puede habilitar el modo de cumplimiento FIPS-140-2 y FIPS-140-3 para las interfaces del plano de control para todo el clúster.

Habilitación y protocolos FIPS

El security config modify comando permite modificar la configuración de seguridad existente en todo el clúster. Si habilita el modo conforme a FIPS, el clúster selecciona automáticamente solo los protocolos TLS.

  • Utilice el -supported-protocols parámetro para incluir o excluir protocolos TLS independientemente del modo FIPS. De forma predeterminada, el modo FIPS está deshabilitado y ONTAP admite los protocolos TLSv1,2, TLSv1,1 y TLSv1.

  • Para obtener compatibilidad con versiones anteriores, ONTAP admite la adición de SSLv3 a la lista de protocolos compatibles cuando el modo FIPS está deshabilitado.

Habilitación y cifrados FIPS

  • Use -supported-cipher-suites el parámetro para configurar solo el estándar de cifrado avanzado (AES) o AES y 3DES.

  • Puede desactivar los cifrados débiles como RC4 especificando !RC4. Por defecto, el valor de cifrado soportado es ALL:!LOW:!aNULL:!EXP:!eNULL. Esta configuración significa que todos los conjuntos de cifrado admitidos para los protocolos están habilitados, excepto los que utilizan algoritmos de cifrado de 64 o 56 bits sin autenticación, sin cifrado, sin exportaciones y conjuntos de cifrado de bajo cifrado.

  • Seleccione un conjunto de cifrado que esté disponible con el protocolo seleccionado correspondiente. Una configuración no válida puede provocar que algunas funcionalidades no funcionen correctamente.

  • Para obtener la sintaxis correcta de la cadena de cifrado, consulte el "cifrados" en OpenSSL (publicado por la base de software OpenSSL). A partir de ONTAP 9.9.1 y versiones posteriores, ya no es necesario reiniciar todos los nodos manualmente después de modificar la configuración de seguridad.

Refuerzo de la seguridad de SSH y TLS

La administración SSH de ONTAP 9 requiere un cliente OpenSSH 5,7 o posterior. Los clientes SSH deben negociar con el algoritmo de clave pública del algoritmo de firma digital de curva elíptica (ECDSA) para que la conexión sea exitosa.

Para reforzar la seguridad TLS, habilite solo TLS 1,2 y utilice conjuntos de cifrado capaces de secreto directo perfecto (PFS). PFS es un método de intercambio de claves que, cuando se utiliza en combinación con protocolos de cifrado como TLS 1,2, ayuda a evitar que un atacante descifre todas las sesiones de red entre un cliente y un servidor.

Active conjuntos de cifrado compatibles con TLSv1,2 y PFS

Para habilitar sólo conjuntos de cifrado compatibles con TLS 1,2 y PFS, utilice el security config modify comando desde el nivel de privilegio avanzado.

Nota Antes de cambiar la configuración de la interfaz SSL, asegúrese de que el cliente admite los cifrados DHE y ECDHE al conectarse a ONTAP para mantener la conectividad con ONTAP.
Ejemplo
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

Confirmar y para cada petición de datos. Para obtener más información sobre PFS, consulte este "Blog de NetApp".

Información relacionada

"Federal Information Processing Standard (FIPS), publicación 140"