連邦情報処理標準( FIPS )を使用したネットワークセキュリティの設定
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
ONTAP は、すべての SSL 接続に対する連邦情報処理標準( FIPS ) 140-2 に準拠しています。ONTAP では、 SSL FIPS モードを有効または無効にしたり、 SSL プロトコルをグローバルに設定したり、 RC4 などの弱い暗号を無効にしたりできます。
デフォルトでは、 ONTAP の SSL は、次のプロトコルを使用して FIPS 準拠が無効、 SSL プロトコルが有効な状態で設定されます。
-
TLSv1(ONTAP 9.11.1以降)
-
TLSv1.2
-
TLSv1.1
-
TLSv1
SSL FIPS モードがイネーブルの場合、 ONTAP から ONTAP 外部のクライアントまたはサーバコンポーネントへの SSL 通信には、 FIPS 準拠の SSL 用暗号が使用されます。
管理者アカウントが SSH 公開鍵を使用して SVM にアクセスできるようにする場合は、 SSL FIPS モードを有効にする前に、ホストキーアルゴリズムがサポートされていることを確認する必要があります。
*注:ONTAP 9.11.1以降では、ホストキーアルゴリズムのサポートが変更されています。
ONTAP リリース |
サポートされているキータイプ |
サポートされていないキータイプです |
9.11.1以降 |
ECDSA - sha2 - nistp256 |
rsa-sha2-512+ |
9.10.1以前 |
ECDSA-sha2-nistp256+ |
SSH-DSS+ |
FIPS を有効にする前に、サポートされるキーアルゴリズムを使用していない既存の SSH 公開鍵アカウントをサポート対象のキータイプで再設定する必要があります。再設定しないと、管理者認証は失敗します。
詳細については、を参照してください "SSH 公開鍵アカウントを有効にします"。
SSL FIPSモードの設定の詳細については、を参照してください security config modify
のマニュアルページ。
FIPSを有効にする
システムのインストールまたはアップグレードの直後に、すべてのセキュアユーザがセキュリティ設定を調整することを推奨します。SSL FIPS モードがイネーブルの場合、 ONTAP から ONTAP 外部のクライアントまたはサーバコンポーネントへの SSL 通信には、 FIPS 準拠の SSL 用暗号が使用されます。
FIPSが有効な場合、RSAキーの長さが4096の証明書をインストールまたは作成することはできません。 |
-
advanced 権限レベルに切り替えます。
set -privilege advanced
-
FIPSを有効にします。
security config modify -interface SSL -is-fips-enabled true
-
続行するかどうかを尋ねられたら、と入力します
y
-
ONTAP 9.8 以前を実行している場合は、クラスタ内の各ノードを 1 つずつ手動でリブートします。ONTAP 9.9.1以降では、リブートは必要ありません。
ONTAP 9.9.1 以降を実行している場合は、警告メッセージは表示されません。
security config modify -interface SSL -is-fips-enabled true Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible. Do you want to continue? {y|n}: y Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status. Do you want to continue? {y|n}: y
FIPS を無効にする
古いシステム構成を実行し続けている状況で、 ONTAP の設定で下位互換性を確保する場合は、 FIPS が無効な場合にのみ SSLv3 を有効にすることができます。
-
advanced 権限レベルに切り替えます。
set -privilege advanced
-
次のように入力して FIPS を無効に
security config modify -interface SSL -is-fips-enabled false
-
続行するかどうかを尋ねられたら、と入力します
y
。 -
ONTAP 9.8 以前を実行している場合は、クラスタ内の各ノードを手動でリブートします。ONTAP 9.9.1以降では、リブートは必要ありません。
ONTAP 9.9.1 以降を実行している場合は、警告メッセージは表示されません。
security config modify -interface SSL -supported-protocols SSLv3 Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended. Do you want to continue? {y|n}: y Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status. Do you want to continue? {y|n}: y
FIPS 準拠ステータスを表示します
クラスタ全体で現在のセキュリティ設定が実行されているかどうかを確認することができます。
-
クラスタ内の各ノードを 1 つずつリブートします。
すべてのクラスタノードを同時にリブートしないでください。クラスタ内のすべてのアプリケーションで新しいセキュリティ設定が実行されていること、および FIPS のオン / オフモード、プロトコル、暗号に対する変更がすべて反映されていることを確認するには、リブートが必要です。
-
現在の準拠ステータスを表示します。
security config show
security config show Cluster Cluster Security Interface FIPS Mode Supported Protocols Supported Ciphers Config Ready --------- ---------- ----------------------- ----------------- ---------------- SSL false TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL: yes !EXP:!eNULL