Gestion TLS et SSL
-
Un fichier PDF de toute la documentation
- Configuration, mise à niveau et restauration d'ONTAP
- Administration du cluster
-
L'administration des volumes
-
Gestion du stockage logique avec l'interface de ligne de commandes
- Utilisez des quotas pour limiter ou suivre l'utilisation des ressources
-
Gestion du stockage logique avec l'interface de ligne de commandes
-
Gestion du stockage NAS
- Configurez NFS avec l'interface de ligne de commande
- Gérez NFS avec l'interface de ligne de commande
-
Gestion de SMB avec l'interface de ligne de commandes
- Gérer les serveurs SMB
- Gérer l'accès aux fichiers via SMB
- Gestion du stockage SAN
- Authentification et contrôle d'accès
-
Sécurité et chiffrement des données
- Utilisez FPolicy pour le contrôle et la gestion des fichiers sur SVM
- Protection des données et reprise d'activité
Plusieurs fichiers PDF
Creating your file...
Vous pouvez activer le mode de conformité FIPS 140-2/3 pour les interfaces du plan de contrôle en configurant le is-fips-enabled
paramètre sur true avec la commande ONTAP security config modify
.
À partir de ONTAP 9, vous pouvez activer le mode de conformité FIPS 140-2 pour les interfaces du plan de contrôle au niveau du cluster. Par défaut, le mode FIPS 140-2 uniquement est désactivé. Vous pouvez activer le mode de conformité FIPS 140-2 en définissant le is-fips-enabled
paramètre sur true
pour la security config modify
commande. Vous pouvez ensuite utiliser security config show command
pour confirmer l'état de la connexion.
Lorsque la conformité FIPS 140-2 est activée, TLSv1 et SSLv3 sont désactivés et seuls les modèles TLSv1.1 et TLSv1.2 restent activés. ONTAP vous empêche d'activer TLSv1 et SSLv3 lorsque la conformité FIPS 140-2 est activée. Si vous activez FIPS 140-2 puis désactivez-le par la suite, TLSv1 et SSLv3 restent désactivés, mais TLSv1.2 ou TLSv1.1 et TLSv1.2 restent activés, selon la configuration précédente.
La security config modify
commande modifie la configuration de sécurité existante au niveau du cluster. Si vous activez le mode conforme FIPS, le cluster ne sélectionne automatiquement que les protocoles TLS. Utilisez le -supported-protocols
paramètre pour inclure ou exclure des protocoles TLS indépendamment du mode FIPS. Par défaut, le mode FIPS est désactivé et ONTAP prend en charge les protocoles TLSv1.2, TLSv1.1 et TLSv1.
Pour une compatibilité descendante, ONTAP prend en charge l'ajout de SSLv3 à la supported-protocols
liste lorsque le mode FIPS est désactivé. Utilisez le -supported-cipher-suites
paramètre pour configurer uniquement AES (Advanced Encryption Standard) ou AES et 3DES. Vous pouvez également désactiver les chiffrements faibles tels que RC4 en spécifiant !RC4. Par défaut, le paramètre de chiffrement pris en charge est ALL:!LOW:!aNULL:!EXP:!eNULL
. Ce paramètre signifie que toutes les suites de chiffrement prises en charge pour les protocoles sont activées, à l'exception de celles qui n'ont pas d'authentification, pas de cryptage, pas d'exportations et des suites de chiffrement à faible cryptage. Ces suites utilisent des algorithmes de cryptage 64 bits ou 56 bits.
Sélectionnez une suite de chiffrement disponible avec le protocole sélectionné correspondant. Une configuration non valide peut entraîner l'échec de certaines fonctionnalités.
Pour connaître la syntaxe correcte de la chaîne de chiffrement, reportez-vous à la "chiffrement" page sur OpenSSL (publiée par la fondation du logiciel OpenSSL). Depuis ONTAP 9.9.1 et les versions ultérieures, il n'est plus nécessaire de redémarrer manuellement tous les nœuds après avoir modifié la configuration de sécurité.
L'activation de la conformité FIPS 140-2 a des effets sur d'autres systèmes et communications internes et externes à ONTAP 9. NetApp recommande vivement de tester ces paramètres sur un système hors production disposant d'un accès à la console.
Si SSH est utilisé pour administrer ONTAP 9, vous devez utiliser un client OpenSSH 5.7 ou une version ultérieure. Les clients SSH doivent négocier avec l'algorithme de clé publique ECDSA (Elliptic Curve Digital Signature Algorithm) pour que la connexion réussisse. |
La sécurité TLS peut être renforcée en activant uniquement TLS 1.2 et en utilisant des suites de chiffrement compatibles PFS (Perfect Forward Secret). PFS est une méthode d'échange de clés qui, lorsqu'elle est utilisée en combinaison avec des protocoles de chiffrement tels que TLS 1.2, empêche un attaquant de déchiffrer toutes les sessions réseau entre un client et un serveur. Pour activer uniquement les suites de chiffrement TLS 1.2 et PFS, utilisez la commande du niveau de privilège avancé, security config modify
comme indiqué dans l'exemple suivant.
Avant de modifier la configuration de l'interface SSL, il est important de se rappeler que le client doit prendre en charge le chiffrement mentionné (DHE, ECDHE) lors de la connexion à ONTAP. Sinon, la connexion n'est pas autorisée. |
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH
Confirmez y
pour chaque invite. Pour plus d'informations sur PFS, voir "Ce blog NetApp".
À partir de la prise en charge de ONTAP 9.11.1 et TLS 1.3, vous pouvez valider FIPS 140-3.
La configuration FIPS s'applique à ONTAP et au contrôleur BMC de la plate-forme. |