Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

すべてのSSL接続に対してFIPSを使用してONTAPネットワークセキュリティを構成する

共同作成者 netapp-bhouser netapp-aaron-holt netapp-aherbin netapp-barbe
PDF

ONTAPは、すべてのSSL接続において連邦情報処理標準(FIPS)140-2に準拠しています。SSL FIPSモードのオン/オフを切り替えたり、SSLプロトコルをグローバルに設定したり、ONTAP内の脆弱な暗号を無効にしたりできます。

デフォルトでは、ONTAP の SSL は FIPS 準拠が無効に設定され、次の TLS プロトコルが有効になっています:

  • TLSv1.3(ONTAP 9.11.1以降)

  • TLSv1.2

以前のONTAPリリースでは、次のTLSプロトコルがデフォルトで有効になっていました:

  • TLSv1.1(ONTAP 9.12.1以降ではデフォルトで無効)

  • TLSv1(ONTAP 9.8以降ではデフォルトで無効)

SSL FIPSモードが有効な場合は、ONTAPからONTAP外部のクライアントまたはサーバ コンポーネントへのSSL通信に、FIPSに準拠したSSL用の暗号が使用されます。

管理者アカウントがSSH公開鍵を使用してSVMにアクセスできるようにする場合は、SSL FIPSモードを有効にする前に、ホスト キー アルゴリズムがサポートされていることを確認する必要があります。

注: ONTAP 9.11.1 以降のリリースでは、ホスト キー アルゴリズムのサポートが変更されました。

ONTAPリリース

サポートされているキーのタイプ

サポートされていないキー タイプ

9.11.1以降

ecdsa-sha2-nistp256

rsa-sha2-512 + rsa-sha2-256 + ssh-ed25519 + ssh-dss + ssh-rsa

9.10.1以前

ecdsa-sha2-nistp256 + ssh-ed25519

ssh-dss + ssh-rsa

サポートされるキー アルゴリズムを使用していない既存のSSH公開鍵アカウントは、FIPSを有効にする前に、サポートされるキー アルゴリズムで再設定する必要があります。この処理を実行しないと管理者認証は失敗します。

詳細については、"SSH公開鍵アカウントの有効化"を参照してください。

ONTAP 9.18.1では、SSLでML-KEM、ML-DSA、SLH-DSAといった量子コンピュータ耐性暗号アルゴリズムのサポートが導入され、将来起こり得る量子コンピュータ攻撃に対するセキュリティがさらに強化されます。これらのアルゴリズムはFIPSは無効ですの場合にのみ利用可能です。量子コンピュータ耐性暗号アルゴリズムは、FIPSが無効で、ピアがそれらをサポートしている場合にネゴシエートされます。

FIPS を有効にする

システムのインストールまたはアップグレードの直後に、すべてのセキュアなユーザがセキュリティ設定を調整することを推奨します。SSL FIPSモードが有効な場合は、ONTAPからONTAP外部のクライアントまたはサーバ コンポーネントへのSSL通信に、FIPSに準拠したSSL用の暗号が使用されます。

メモ FIPSが有効な場合、4096ビットのRSAキーを使用する証明書をインストールまたは作成することはできません。
手順

  1. advanced権限レベルに切り替えます。

    set -privilege advanced

  2. FIPSを有効にします。

    security config modify * -is-fips-enabled true

  3. 続行するように求められたら、 `y`を入力してください

  4. ONTAP 9.9.1以降では、再起動は不要です。ONTAP 9.8以前を実行している場合は、クラスタ内の各ノードを1つずつ手動で再起動してください。

ONTAP 9.9.1以降を実行している場合、警告メッセージは表示されません。

security config modify -is-fips-enabled true

Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y
`security config modify`および SSL FIPS モード構成の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-config-modify.html["ONTAPコマンド リファレンス"^]を参照してください。

FIPSの無効化

ONTAP 9.18.1以降、ONTAPのSSLはML-KEM、ML-DSA、およびSLH-DSAのポスト量子コンピューティング暗号化アルゴリズムをサポートします。これらのアルゴリズムは、FIPSが無効で、ピアがこれらのアルゴリズムをサポートしている場合にのみ使用できます。

手順

  1. advanced権限レベルに切り替えます。

    set -privilege advanced

  2. 次のように入力してFIPSを無効にします。

    security config modify -is-fips-enabled false

  3. 続行するように求められたら、 `y`と入力します。

  4. ONTAP 9.9.1以降では、再起動は不要です。ONTAP 9.8以前を実行している場合は、クラスタ内の各ノードを手動で再起動してください。

SSLv3 プロトコルを使用する必要がある場合は、上記の手順で FIPS を無効にする必要があります。SSLv3 は、FIPS が無効になっている場合にのみ有効にできます。

次のコマンドでSSLv3を有効にできます。ONTAP 9.9.1以降を実行している場合は、警告メッセージは表示されません。

security config modify -supported-protocols SSLv3

Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPS準拠ステータスの表示

クラスタ全体が現在のセキュリティ設定を実行しているかどうかを確認できます。

手順

  1. ONTAP 9.8 以前を実行している場合は、クラスタ内の各ノードを 1 つずつ手動で再起動します。

  2. 現在の準拠ステータスを表示します。

    security config show

    cluster1::> security config show
Cluster    Supported
FIPS Mode  Protocols Supported Cipher Suites
---------- --------- ----------------------------------------------------------
false      TLSv1.3,  TLS_RSA_WITH_AES_128_CCM, TLS_RSA_WITH_AES_128_CCM_8,
           TLSv1.2   TLS_RSA_WITH_AES_128_GCM_SHA256,
                     TLS_RSA_WITH_AES_128_CBC_SHA,
                     TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CCM,
                     TLS_RSA_WITH_AES_256_CCM_8,
                     ...
    `security config show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-config-show.html["ONTAPコマンド リファレンス"^]を参照してください。
関連情報