Configurare la protezione di rete ONTAP utilizzando FIPS per tutte le connessioni SSL
Suggerisci modifiche
PDF
ONTAP è conforme agli standard FIPS (Federal Information Processing Standards) 140-2 per tutte le connessioni SSL. È possibile attivare e disattivare la modalità SSL FIPS, impostare i protocolli SSL a livello globale e disattivare eventuali cifrari deboli all'interno ONTAP.
Per impostazione predefinita, SSL su ONTAP è impostato con la conformità FIPS disattivata e con i seguenti protocolli TLS attivati:
-
TLSv1,3 (a partire da ONTAP 9.11.1)
-
TLSv1.2
Nelle precedenti versioni di ONTAP i seguenti protocolli TLS erano attivati per impostazione predefinita:
-
TLSv1,1 (disattivata per impostazione predefinita a partire da ONTAP 9.12.1)
-
TLSv1 (disattivata per impostazione predefinita a partire da ONTAP 9,8)
Quando la modalità SSL FIPS è attivata, la comunicazione SSL da ONTAP a componenti client o server esterni a ONTAP utilizzerà la crittografia conforme a FIPS per SSL.
Se si desidera che gli account amministratore accedano alle SVM con una chiave pubblica SSH, assicurarsi che l'algoritmo della chiave host sia supportato prima di attivare la modalità SSL FIPS.
Nota: il supporto dell'algoritmo della chiave host è stato modificato in ONTAP 9.11.1 e versioni successive.
Release di ONTAP |
Tipi di chiave supportati |
Tipi di chiave non supportati |
9.11.1 e versioni successive |
ecdsa-sha2-nistp256 |
rsa-sha2-512 + rsa-sha2-256 + ssh-ed25519 + ssh-dss + ssh-rsa |
9.10.1 e versioni precedenti |
ecdsa-sha2-nistp256 + ssh-ed25519 |
ssh-dss + ssh-rsa |
Gli account di chiave pubblica SSH esistenti senza gli algoritmi di chiave supportati devono essere riconfigurati con un tipo di chiave supportato prima di attivare FIPS, altrimenti l'autenticazione dell'amministratore non avrà esito positivo.
Per ulteriori informazioni, vedere "Abilitare gli account a chiave pubblica SSH".
ONTAP 9.18.1 introduce il supporto per gli algoritmi crittografici post-quantum computing ML-KEM, ML-DSA e SLH-DSA per SSL, fornendo un ulteriore livello di sicurezza contro potenziali futuri attacchi ai computer quantistici. Questi algoritmi sono disponibili solo quandoFIPS è disabilitato . Gli algoritmi crittografici post-quantistici vengono negoziati quando FIPS è disabilitato e il peer li supporta.
Abilitare FIPS
Si consiglia a tutti gli utenti sicuri di modificare la propria configurazione di sicurezza subito dopo l'installazione o l'aggiornamento del sistema. Quando la modalità SSL FIPS è attivata, la comunicazione SSL da ONTAP a componenti client o server esterni a ONTAP utilizzerà la crittografia conforme a FIPS per SSL.
|
Quando FIPS è attivato, non è possibile installare o creare un certificato con una chiave RSA di lunghezza pari a 4096. |
-
Passare al livello di privilegio avanzato:
set -privilege advanced -
Attiva FIPS:
security config modify * -is-fips-enabled true -
Quando viene richiesto di continuare, immettere
y -
A partire da ONTAP 9.9.1, il riavvio non è più necessario. Se si utilizza ONTAP 9.8 o una versione precedente, riavviare manualmente ciascun nodo del cluster, uno alla volta.
Se si utilizza ONTAP 9.9.1 o versione successiva, il messaggio di avviso non viene visualizzato.
security config modify -is-fips-enabled true
Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
Ulteriori informazioni sulla security config modify configurazione della modalità SSL FIPS in "Riferimento al comando ONTAP".
Disattiva FIPS
A partire da ONTAP 9.18.1, SSL in ONTAP supporta gli algoritmi crittografici post-quantum computing ML-KEM, ML-DSA e SLH-DSA. Questi algoritmi sono disponibili solo quando FIPS è disabilitato e il peer li supporta.
-
Passare al livello di privilegio avanzato:
set -privilege advanced -
Disattivare FIPS digitando:
security config modify -is-fips-enabled false -
Quando viene richiesto di continuare, immettere
y. -
A partire da ONTAP 9.9.1, il riavvio non è più necessario. Se si esegue ONTAP 9.8 o una versione precedente, riavviare manualmente ciascun nodo nel cluster.
Se è necessario utilizzare il protocollo SSLv3, è necessario disabilitare FIPS con la procedura sopra descritta. SSLv3 può essere abilitato solo quando FIPS è disabilitato.
È possibile abilitare SSLv3 con il seguente comando. Se si utilizza ONTAP 9.9.1 o una versione successiva, il messaggio di avviso non verrà visualizzato.
security config modify -supported-protocols SSLv3
Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y
Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
Visualizza lo stato di conformità FIPS
È possibile verificare se l'intero cluster esegue le impostazioni di configurazione della protezione correnti.
-
Se si utilizza ONTAP 9.8 o una versione precedente, riavviare manualmente ciascun nodo del cluster, uno alla volta.
-
Visualizza lo stato di conformità corrente:
security config showcluster1::> security config show Cluster Supported FIPS Mode Protocols Supported Cipher Suites ---------- --------- ---------------------------------------------------------- false TLSv1.3, TLS_RSA_WITH_AES_128_CCM, TLS_RSA_WITH_AES_128_CCM_8, TLSv1.2 TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CCM, TLS_RSA_WITH_AES_256_CCM_8, ...Ulteriori informazioni su
security config shownella "Riferimento al comando ONTAP".