Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

FIPS(Federal Information Processing Standards)를 사용하여 네트워크 보안 구성

기여자
PDF

ONTAP는 모든 SSL 연결에 대해 FIPS(Federal Information Processing Standards) 140-2를 준수합니다. SSL FIPS 모드를 설정 및 끄고, SSL 프로토콜을 전역적으로 설정하고, ONTAP 내에서 RC4와 같은 약한 암호를 해제할 수 있습니다.

기본적으로 ONTAP의 SSL은 FIPS 준수를 사용하지 않도록 설정하고 다음을 통해 SSL 프로토콜을 사용하도록 설정됩니다.

  • TLSv1.3(ONTAP 9.11.1에서 시작)

  • TLSv1.2

  • TLSv1.1

  • TLSv1

SSL FIPS 모드가 활성화되면 ONTAP에서 외부 클라이언트 또는 ONTAP 외부의 서버 구성 요소로의 SSL 통신은 SSL에 FIPS 호환 암호화를 사용합니다.

관리자 계정이 SSH 공개 키로 SVM에 액세스하려면 SSL FIPS 모드를 활성화하기 전에 호스트 키 알고리즘이 지원되는지 확인해야 합니다.

  • 참고: * ONTAP 9.11.1 이상 릴리스에서 호스트 키 알고리즘 지원이 변경되었습니다.

ONTAP 릴리즈

지원되는 키 유형

지원되지 않는 키 유형입니다

9.11.1 이상

ECDSA-SHA2-nistp256

RSA-SHA2-512 + RSA - SHA2-256 + ssh-ed25519 + ssh-dss+ssh-rssh-rsa

9.10.1 이하

ECDSA-SHA2-nistp256+ssh-ed25519

SSH-DSS+ssh-rsa를 사용합니다

FIPS를 활성화하기 전에 지원되는 키 알고리즘이 없는 기존 SSH 공개 키 계정을 지원되는 키 유형으로 재구성해야 합니다. 그렇지 않으면 관리자 인증이 실패합니다.

자세한 내용은 을 참조하십시오 "SSH 공개 키 계정을 활성화합니다".

SSL FIPS 모드 구성에 대한 자세한 내용은 보안 구성 수정 man 페이지를 참조하십시오.

FIPS를 사용하도록 설정합니다

모든 보안 사용자는 시스템 설치 또는 업그레이드 직후 보안 구성을 조정하는 것이 좋습니다. SSL FIPS 모드가 활성화되면 ONTAP에서 외부 클라이언트 또는 ONTAP 외부의 서버 구성 요소로의 SSL 통신은 SSL에 FIPS 호환 암호화를 사용합니다.

참고 FIPS가 설정되어 있으면 RSA 키 길이 4096으로 인증서를 설치하거나 생성할 수 없습니다.
단계

  1. 고급 권한 레벨로 변경:

    세트 프리빌리지 고급

  2. FIPS 활성화:

    보안 설정 수정-인터페이스 SSL-is-FIPS-enabled true

  3. 계속하라는 메시지가 나타나면 y를 입력합니다

  4. ONTAP 9.8 이하를 실행하는 경우 클러스터의 각 노드를 하나씩 수동으로 재부팅합니다. ONTAP 9.9.1부터는 재부팅할 필요가 없습니다.

ONTAP 9.9.1 이상을 실행 중인 경우 경고 메시지가 표시되지 않습니다.

security config modify -interface SSL -is-fips-enabled true

Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPS를 비활성화합니다

이전 시스템 구성을 실행 중이고 이전 버전과의 호환성을 사용하여 ONTAP를 구성하려는 경우 FIPS를 사용하지 않도록 설정한 경우에만 SSLv3을 사용하도록 설정할 수 있습니다.

단계

  1. 고급 권한 레벨로 변경:

    세트 프리빌리지 고급

  2. 다음을 입력하여 FIPS를 비활성화합니다.

    보안 설정 수정-인터페이스 SSL-is-FIPS-enabled false

  3. 계속하라는 메시지가 나타나면 y를 입력합니다.

  4. ONTAP 9.8 이하를 실행 중인 경우 클러스터의 각 노드를 수동으로 재부팅합니다. ONTAP 9.9.1부터는 재부팅할 필요가 없습니다.

ONTAP 9.9.1 이상을 실행 중인 경우 경고 메시지가 표시되지 않습니다.

security config modify -interface SSL -supported-protocols SSLv3

Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPS 준수 상태를 봅니다

전체 클러스터에서 현재 보안 구성 설정이 실행되고 있는지 확인할 수 있습니다.

단계

  1. 클러스터의 각 노드를 하나씩 재부팅합니다.

    모든 클러스터 노드를 동시에 재부팅하지 마십시오. 클러스터의 모든 애플리케이션이 새로운 보안 구성을 실행하고 FIPS 켜기/끄기 모드, 프로토콜 및 암호를 변경하는 경우 재부팅이 필요합니다.

  2. 현재 준수 상태 보기:

    '보안 구성 쇼'

security config show

          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL:  yes
                                             !EXP:!eNULL