日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

連邦情報処理標準( FIPS )を使用したネットワークセキュリティの設定

寄稿者 netapp-forry netapp-barbe

ONTAP は、すべての SSL 接続に対する連邦情報処理標準( FIPS ) 140-2 に準拠しています。ONTAP では、 SSL FIPS モードを有効または無効にしたり、 SSL プロトコルをグローバルに設定したり、 RC4 などの弱い暗号を無効にしたりできます。

デフォルトでは、 ONTAP の SSL は、次のプロトコルを使用して FIPS 準拠が無効、 SSL プロトコルが有効な状態で設定されます。

  • TLSv1.2

  • TLSv1.1

  • TLSv1

SSL FIPS モードがイネーブルの場合、 ONTAP から ONTAP 外部のクライアントまたはサーバコンポーネントへの SSL 通信には、 FIPS 準拠の SSL 用暗号が使用されます。

管理者アカウントが SSH 公開鍵を使用して SVM にアクセスできるようにする場合は、 SSL FIPS モードを有効にする前に、ホストキーアルゴリズムがサポートされていることを確認する必要があります。

  • サポートされているキータイプ: ECDSA-sha2-nistp256 、 ssh-ed25519

  • サポートされないキータイプ: ssh-rsa 、 ssh-dss 、 ECDSA-sha2-nistp256 、 ssh-ed25519

FIPS を有効にする前に、サポートされるキーアルゴリズムを使用していない既存の SSH 公開鍵アカウントをサポート対象のキータイプで再設定する必要があります。再設定しないと、管理者認証は失敗します。

詳細については、を参照してください "SSH 公開鍵アカウントを有効にします"

SSL FIPS モード設定の詳細については 'security config modify のマニュアルページを参照してください

FIPS を有効にします

システムのインストールまたはアップグレードの直後に、すべてのセキュアユーザがセキュリティ設定を調整することを推奨します。SSL FIPS モードがイネーブルの場合、 ONTAP から ONTAP 外部のクライアントまたはサーバコンポーネントへの SSL 通信には、 FIPS 準拠の SSL 用暗号が使用されます。

手順
  1. advanced 権限レベルに切り替えます。

    「 advanced 」の権限が必要です

  2. FIPS を有効にします。

    「 securityconfig modify -interface ssl-is-fips-enabled true 」という記述があります

  3. 続行するかどうかを確認するメッセージが表示されたら 'y' を入力します

  4. クラスタ内の各ノードを 1 つずつ手動でリブートします。

security config modify -interface SSL -is-fips-enabled true

Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPS を無効にする

古いシステム構成を実行し続けている状況で、 ONTAP の設定で下位互換性を確保する場合は、 FIPS が無効な場合にのみ SSLv3 を有効にすることができます。

手順
  1. advanced 権限レベルに切り替えます。

    「 advanced 」の権限が必要です

  2. 次のように入力して FIPS を無効に

    security config modify -interface SSL -is-fips-enabled false

  3. 続行するかどうかを確認するメッセージが表示されたら 'y' を入力します

  4. クラスタ内の各ノードを手動でリブートします。

security config modify -interface SSL -supported-protocols SSLv3

Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPS 準拠ステータスを表示します

クラスタ全体で現在のセキュリティ設定が実行されているかどうかを確認することができます。

手順
  1. クラスタ内の各ノードを 1 つずつリブートします。

    すべてのクラスタノードを同時にリブートしないでください。クラスタ内のすべてのアプリケーションで新しいセキュリティ設定が実行されていること、および FIPS のオン / オフモード、プロトコル、暗号に対する変更がすべて反映されていることを確認するには、リブートが必要です。

  2. 現在の準拠ステータスを表示します。

    「 securityconfig show 」を参照してください

security config show

          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL:  yes
                                             !EXP:!eNULL