Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FIPSモードとTLSおよびSSLの管理

共同作成者
PDF

FIPS 140-2規格は、コンピュータおよび通信システムの機密情報を保護するセキュリティシステム内の暗号モジュールのセキュリティ要件を規定しています。FIPS 140-2標準は、製品、アーキテクチャ、データ、エコシステムではなく、_specificate__を暗号化モジュールに適用します。暗号モジュールは、NISTが承認したセキュリティ機能を実装する特定のコンポーネント(ハードウェア、ソフトウェア、ファームウェア、またはこれら3つの組み合わせ)です。

FIPS 140-2への準拠を有効にすると、ONTAP 9内外の他のシステムや通信に影響します。コンソール アクセスが可能な非本番環境のシステムで、これらの設定をテストすることを強く推奨します。

ONTAP 9.11.1およびTLS 1.3のサポート以降では、FIPS 140-3を検証できます。

メモ FIPSの設定は、ONTAPとプラットフォームBMCに適用されます。

NetApp ONTAPのFIPSモード設定

NetApp ONTAPにはFIPSモード構成があり、コントロールプレーンにセキュリティレベルを追加できます。

  • ONTAP 9 .11.1以降では、FIPS 140-2準拠モードが有効になっている場合、TLSv1、TLSv1.1、およびSSLv3は無効になり、TSLv1.2とTSLv1.3のみが引き続き有効になります。ONTAP 9の内部および外部にある他のシステムおよび通信に影響します。FIPS 140-2準拠モードを有効にしたあとに無効にした場合、TLSv1、TLSv1.1、およびSSLv3は無効なままになります。以前の設定に応じて、TLSv1.2またはTLSv1.3のいずれかが有効なままになります。

  • 9.11.1より前のバージョンのONTAPでFIPS 140-2準拠モードが有効になっている場合、TLSv1とSSLv3の両方が無効になり、TLSv1.1とTLSv1.2のみが引き続き有効になります。ONTAPでは、FIPS 140-2準拠モードが有効な場合、TLSv1とSSLv3の両方を有効にすることはできません。FIPS 140-2準拠モードを有効にしたあとに無効にした場合、TLSv1とSSLv3は無効なままですが、以前の設定に応じてTLSv1.2またはTLSv1.1とTLSv1.2の両方が有効になります。

  • "NetApp暗号セキュリティモジュール(NCSM)"はFIPS 140-2レベル1に準拠しており、ソフトウェアベースのコンプライアンスを実現します。

メモ NISTはFIPS-140-3規格を提出しており、NCSMはFIPS-140-2およびFIPS-140-3の検証を受ける予定です。すべてのFIPS 140-2検証は、新しい証明書の提出の最終日から5年後の2026年9月21日に履歴ステータスに移行します。

FIPS-140-2およびFIPS-140-3準拠モードの有効化

ONTAP 9以降では、クラスタ全体のコントロールプレーンインターフェイスに対してFIPS-140-2およびFIPS-140-3準拠モードを有効にすることができます。

FIPSの有効化とプロトコル

`security config modify`コマンドを使用すると、クラスタ全体の既存のセキュリティ設定を変更できます。FIPS準拠モードを有効にすると、自動的にTLSプロトコルのみが選択されます。

  • パラメータを使用する -supported-protocols と、FIPSモードとは関係なくTLSプロトコルを追加または除外できます。デフォルトではFIPSモードは無効で、ONTAPはTLSv1.2、TLSv1.1、およびTLSv1の各プロトコルをサポートします。

  • 下位互換性を維持するために、ONTAPでは、FIPSモードが無効な場合にsupported-protocolsのリストにSSLv3を追加できます。

FIPSの有効化と暗号

  • パラメータを使用し -supported-cipher-suites て、Advanced Encryption Standard(AES)またはAESと3DESのみを設定します。

  • を指定すると、RC4などの弱い暗号を無効にできます !RC4。デフォルトでは、サポートされる暗号設定はです ALL:!LOW:!aNULL:!EXP:!eNULL。この設定は、プロトコルでサポートされるすべての暗号スイートが有効になっていることを意味します。ただし、認証、暗号化、エクスポート、および低暗号化暗号スイートを使用しない64ビットまたは56ビットの暗号アルゴリズムを使用している暗号スイートは除きます。

  • 選択したプロトコルで使用可能な暗号スイートを選択してください。設定が無効な場合、一部の機能が適切に動作しなくなる可能性があります。

  • 正しい暗号文字列構文については、『 "[Ciphersページ"^]on OpenSSL』(OpenSSLソフトウェア財団が公開)を参照してください。ONTAP 9.9.1以降のリリースでは、セキュリティ設定の変更後にすべてのノードを手動でリブートする必要がなくなりました。

SSHとTLSのセキュリティ強化

ONTAP 9のSSH管理には、OpenSSHクライアント5.7以降が必要です。SSHクライアントは、接続を成功させるために、Elliptic Curve Digital Signature Algorithm(ECDSA)公開鍵アルゴリズムとネゴシエートする必要があります。

TLSセキュリティを強化するには、TLS 1.2のみを有効にし、Perfect Forward Secrecy(PFS)に対応した暗号スイートを使用します。PFSは鍵交換の方法で、TLS 1.2などの暗号化プロトコルと組み合わせて使用すると、攻撃者がクライアントとサーバ間のすべてのネットワークセッションを復号化するのを防ぐことができます。

TLSv1.2およびPFS対応の暗号スイートを有効にする

TLS 1.2およびPFS対応の暗号スイートのみを有効にするには security config modify、advanced権限レベルでコマンドを使用します。

メモ SSLインターフェイス設定を変更する前に、ONTAPとの接続を維持するためにONTAPに接続するときに、クライアントが暗号DHEおよびECDHEをサポートしていることを確認してください。 
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

プロンプトごとに確認し y ます。PFSの詳細については、こちらを参照して "ネットアップのブログ"ください。

関連情報

"Federal Information Processing Standard(FIPS)パブリケーション140"