Mode FIPS et gestion TLS et SSL
Suggérer des modifications
PDF
La norme FIPS 140-2 spécifie les exigences de sécurité pour les modules cryptographiques dans les systèmes de sécurité qui protègent les informations sensibles dans les systèmes informatiques et de télécommunication. La norme FIPS 140-2 s'applique spécifiquement au module cryptographique plutôt qu'au produit, à l'architecture, aux données ou à l'écosystème. Le module cryptographique est le composant spécifique (matériel, logiciel, micrologiciel ou une combinaison des trois) qui implémente les fonctions de sécurité approuvées par le NIST.
L'activation de la conformité FIPS 140-2 a des effets sur d'autres systèmes et communications internes et externes à ONTAP 9. NetApp recommande vivement de tester ces paramètres sur un système hors production disposant d'un accès à la console.
À partir de la prise en charge de ONTAP 9.11.1 et TLS 1.3, vous pouvez valider FIPS 140-3.
|
La configuration FIPS s'applique à ONTAP et au contrôleur BMC de la plate-forme. |
La configuration NetApp ONTAP FIPS-mode
NetApp ONTAP dispose d'une configuration FIPS-mode qui instancie un niveau de sécurité supplémentaire dans le plan de contrôle :
-
À partir de ONTAP 9.11.1, lorsque le mode de conformité FIPS 140-2 est activé, TLSv1, TLSv1.1 et SSLv3 sont désactivés et seuls TSLv1.2 et TSLv1.3 restent activés. Elle affecte d'autres systèmes et communications internes et externes à ONTAP 9. Si vous activez le mode de conformité FIPS 140-2 puis désactivez-le, TLSv1, TLSv1.1 et SSLv3 restent désactivés. TLSv1.2 ou TLSSS3.3 restent activés en fonction de la configuration précédente.
-
Pour les versions de ONTAP antérieures à 9.11.1 lorsque le mode de conformité FIPS 140-2 est activé, TLSv1 et SSLv3 sont désactivés et seuls TLSv1.1 et TLSv1.2 restent activés. ONTAP vous empêche d'activer à la fois TLSv1 et SSLv3 lorsque le mode de conformité FIPS 140-2 est activé. Si vous activez le mode de conformité FIPS 140-2 puis désactivez-le, TLSv1 et SSLv3 restent désactivés, mais TLSv1.2 ou les deux TLSv1.1 et TLSv1.2 sont activés en fonction de la configuration précédente.
-
"Module de chiffrement NetApp (NCSM)", Qui est certifié conforme à la norme FIPS 140-2 de niveau 1, assure la conformité logicielle.
|
|
Le NIST a soumis une norme FIPS-140-3 et NCSM sera conforme aux normes FIPS-140-2 et FIPS-140-3. Toutes les validations conformes à la norme FIPS 140-2 seront transférées à l'état historique le 21 septembre 2026, soit cinq ans après le dernier jour de soumission de nouveaux certificats. |
Activez le mode de conformité FIPS-140-2 et FIPS-140-3
À partir de ONTAP 9, vous pouvez activer le mode de conformité FIPS-140-2 et FIPS-140-3 pour les interfaces du plan de contrôle au niveau du cluster.
Protocoles et activation FIPS
La security config modify commande permet de modifier la configuration de sécurité existante au niveau du cluster. Si vous activez le mode conforme FIPS, le cluster ne sélectionne automatiquement que les protocoles TLS.
-
Utilisez le
-supported-protocolsparamètre pour inclure ou exclure des protocoles TLS indépendamment du mode FIPS. Par défaut, le mode FIPS est désactivé et ONTAP prend en charge les protocoles TLSv1.2, TLSv1.1 et TLSv1. -
Pour une compatibilité descendante, ONTAP prend en charge l'ajout de SSLv3 à la liste des protocoles pris en charge lorsque le mode FIPS est désactivé.
Activation et chiffrement FIPS
-
Utilisez le
-supported-cipher-suitesparamètre pour configurer uniquement AES (Advanced Encryption Standard) ou AES et 3DES. -
Vous pouvez désactiver les chiffrements faibles tels que RC4 en spécifiant
!RC4. Par défaut, le paramètre de chiffrement pris en charge estALL:!LOW:!aNULL:!EXP:!eNULL. Ce paramètre signifie que toutes les suites de chiffrement prises en charge pour les protocoles sont activées, sauf celles utilisant des algorithmes de cryptage 64 bits ou 56 bits sans authentification, sans chiffrement, sans exportation et avec des suites de chiffrement à faible cryptage. -
Sélectionnez une suite de chiffrement disponible avec le protocole sélectionné correspondant. Une configuration non valide peut entraîner l'échec de certaines fonctionnalités.
-
Pour connaître la syntaxe correcte de la chaîne de chiffrement, reportez-vous à "page chiffrement" la section sur OpenSSL (publiée par la base logicielle OpenSSL). Depuis ONTAP 9.9.1 et les versions ultérieures, il n'est plus nécessaire de redémarrer manuellement tous les nœuds après avoir modifié la configuration de sécurité.
Renforcement de la sécurité SSH et TLS
L'administration SSH de ONTAP 9 nécessite un client OpenSSH 5.7 ou une version ultérieure. Les clients SSH doivent négocier avec l'algorithme de clé publique ECDSA (Elliptic Curve Digital Signature Algorithm) pour que la connexion réussisse.
Pour renforcer la sécurité TLS, activez uniquement TLS 1.2 et utilisez des suites de chiffrement capables de traiter le secret PFS (Perfect Forward Secret). PFS est une méthode d'échange de clés qui, lorsqu'elle est utilisée en combinaison avec des protocoles de chiffrement tels que TLS 1.2, empêche un attaquant de déchiffrer toutes les sessions réseau entre un client et un serveur.
Activez les suites de chiffrement compatibles TLSv1.2 et PFS
Pour activer uniquement les suites de chiffrement compatibles TLS 1.2 et PFS, utilisez la security config modify commande du niveau de privilège avancé.
|
|
Avant de modifier la configuration de l'interface SSL, assurez-vous que le client prend en charge les chiffrements DHE et ECDHE lors de la connexion à ONTAP pour maintenir la connectivité avec ONTAP. |
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH
Confirmez y pour chaque invite. Pour plus d'informations sur PFS, voir "Blog NetApp" .
"Norme fédérale de traitement de l'information (FIPS) publication 140"