La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Modalità FIPS e gestione TLS e SSL

12/13/2024 Collaboratori

PDF

Lo standard FIPS 140-2 specifica i requisiti di sicurezza per i moduli crittografici all'interno dei sistemi di sicurezza che proteggono le informazioni sensibili nei sistemi informatici e di telecomunicazione. Lo standard FIPS 140-2 si applica specificamente al modulo crittografico, piuttosto che al prodotto, all'architettura, ai dati o all'ecosistema. Il modulo crittografico è il componente specifico (hardware, software, firmware o una combinazione dei tre) che implementa le funzioni di sicurezza approvate da NIST.

L'attivazione della conformità FIPS 140-2 ha effetti su altri sistemi e comunicazioni interne ed esterne a ONTAP 9. NetApp consiglia vivamente di verificare queste impostazioni su un sistema non di produzione che disponga dell'accesso alla console.

A partire dal supporto di ONTAP 9.11.1 e TLS 1,3, puoi convalidare FIPS 140-3.

La configurazione FIPS è valida per ONTAP e BMC.

Configurazione NetApp ONTAP in modalità FIPS

NetApp ONTAP dispone di una configurazione in modalità FIPS che crea un'istanza di un livello di protezione aggiuntivo per il piano di controllo:

A partire da ONTAP 9.11,1 quando la modalità di conformità FIPS 140-2 è abilitata, TLSv1, TLSv1,1 e SSLv3 sono disabilitati e solo TSLv1,2 e TSLv1,3 rimangono abilitati. Riguarda altri sistemi e comunicazioni interni ed esterni a ONTAP 9. Se si attiva la modalità di conformità FIPS 140-2 e successivamente si disattiva, TLSv1, TLSv1.1 e SSLv3 rimangono disattivati. TLSv1.2 o TLSv1.3 resteranno abilitati a seconda della configurazione precedente.
Per le versioni di ONTAP precedenti alla 9.11.1 quando la modalità di conformità FIPS 140-2 è abilitata, sia TLSv1 che SSLv3 sono disabilitati e solo TLSv1,1 e TLSv1,2 rimangono abilitati. ONTAP impedisce di abilitare sia TLSv1 che SSLv3 quando è attivata la modalità di conformità FIPS 140-2. Se si attiva la modalità di conformità FIPS 140-2 e successivamente la si disattiva, TLSv1 e SSLv3 rimangono disattivati, ma TLSv1.2 o TLSv1.1 e TLSv1.2 vengono attivati a seconda della configurazione precedente.
"Modulo di protezione crittografica NetApp (NCSM)", Convalidato FIPS 140-2 livello 1, garantisce la conformità basata su software.

NIST ha inviato uno standard FIPS-140-3 e NCSM disporrà di convalide FIPS-140-2 e FIPS-140-3. Tutte le convalide FIPS 140-2 passeranno allo stato storico il 21 settembre 2026, ovvero cinque anni dopo l'ultimo giorno per la presentazione dei nuovi certificati.

Attiva la modalità di conformità FIPS-140-2 e FIPS-140-3-2

A partire da ONTAP 9, puoi abilitare la modalità di conformità FIPS-140-2 e FIPS-140-3 per le interfacce planari di controllo a livello del cluster.

Abilitazione e protocolli FIPS

Il security config modify comando consente di modificare la configurazione di sicurezza esistente a livello del cluster. Se si attiva la modalità conforme a FIPS, il cluster seleziona automaticamente solo i protocolli TLS.

Utilizzare il -supported-protocols parametro per includere o escludere i protocolli TLS indipendentemente dalla modalità FIPS. Per impostazione predefinita, la modalità FIPS è disattivata e ONTAP supporta i protocolli TLSv1,2, TLSv1,1 e TLSv1.
Per la compatibilità con le versioni precedenti, ONTAP supporta l'aggiunta di SSLv3 all'elenco dei protocolli supportati quando la modalità FIPS è disattivata.

Abilitazione FIPS e cifrari

Utilizzare il -supported-cipher-suites parametro per configurare solo AES (Advanced Encryption Standard) o AES e 3DES.
È possibile disattivare le crittografie deboli, ad esempio RC4, specificando !RC4. Per impostazione predefinita, l'impostazione di cifratura supportata è ALL:!LOW:!aNULL:!EXP:!eNULL. Questa impostazione significa che tutte le suite di crittografia supportate per i protocolli sono attivate, ad eccezione di quelle che utilizzano algoritmi di crittografia a 64 o 56 bit senza autenticazione, senza crittografia, senza esportazione e suite di crittografia a bassa crittografia.
Selezionare una suite di crittografia disponibile con il protocollo selezionato corrispondente. Una configurazione non valida potrebbe causare il mancato funzionamento di alcune funzionalità.
Per la sintassi corretta della stringa di cifratura, vedere il "pagina cifrari" documento su OpenSSL (pubblicato dalla base del software OpenSSL). A partire da ONTAP 9.9.1 e versioni successive, non è più necessario riavviare manualmente tutti i nodi dopo aver modificato la configurazione di protezione.

Protezione avanzata della sicurezza SSH e TLS

L'amministrazione SSH di ONTAP 9 richiede un client OpenSSH 5,7 o successivo. I client SSH devono negoziare con l'algoritmo a chiave pubblica ECDSA (Elliptic Curve Digital Signature Algorithm) affinché la connessione abbia esito positivo.

Per rafforzare la protezione TLS, abilitare solo TLS 1,2 e utilizzare suite di crittografia in grado di garantire il Perfect Forward Secrecy (PFS). PFS è un metodo di scambio di chiavi che, se utilizzato in combinazione con protocolli di crittografia come TLS 1,2, consente di impedire a un utente malintenzionato di decrittografare tutte le sessioni di rete tra un client e un server.

Attivare suite di crittografia compatibili con TLSv1,2 e PFS

Per attivare solo suite di crittografia compatibili con TLS 1,2 e PFS, utilizzare il security config modify comando dal livello di privilegi avanzato.

Prima di modificare la configurazione dell'interfaccia SSL, assicurarsi che il client supporti i cifrari DHE ed ECDHE quando si effettua la connessione a ONTAP per mantenere la connettività con ONTAP.

Esempio

cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

Confermare y per ogni richiesta. Per ulteriori informazioni su PFS, vedere questo "Blog di NetApp".

Informazioni correlate

"Pubblicazione Federal Information Processing Standard (FIPS) 140"