릴리스 정보
TLS 및 SSL 관리
변경 제안
-
이 문서 사이트의 PDF
-
볼륨 관리
-
CLI를 통한 논리적 스토리지 관리
-
-
NAS 스토리지 관리
-
CLI를 사용하여 SMB를 관리합니다
-
SMB를 사용하여 파일 액세스를 관리합니다
-
-
-
보안 및 데이터 암호화
-
별도의 PDF 문서 모음
Creating your file...
ONTAP 명령을 사용하여 매개 변수를 true로 설정하여 컨트롤 플레인 인터페이스에 대해 FIPS 140-2/3 준수 모드를 활성화할 수 is-fips-enabled security config modify 있습니다.
ONTAP 9부터는 클러스터 차원의 제어 평면 인터페이스를 위해 FIPS 140-2 규정 준수 모드를 활성화할 수 있습니다. 기본적으로 FIPS 140-2 전용 모드는 비활성화되어 있습니다. 명령에 대한 매개 변수를 로 설정하여 FIPS 140-2 규정 준수 모드를 사용하도록 설정할 수 is-fips-enabled true security config modify 있습니다. 그런 다음 를 사용하여 온라인 상태를 확인할 수 security config show command 있습니다.
FIPS 140-2 규정 준수를 활성화하면 TLSv1 및 SSLv3이 비활성화되고 TLSv1.1 및 TLSv1.2만 활성화됩니다. ONTAP는 FIPS 140-2 규정 준수를 사용하는 경우 TLSv1 및 SSLv3을 활성화하지 못하도록 합니다. FIPS 140-2를 활성화한 후 다시 비활성화하면 TLSv1 및 SSLv3은 사용 안 함으로 유지되지만 이전 구성에 따라 TLSv1.2 또는 TLSv1.1 및 TLSv1.2는 모두 사용 가능한 상태로 유지됩니다.
이 security config modify 명령은 기존 클러스터 차원의 보안 구성을 수정합니다. FIPS 호환 모드를 사용하도록 설정하면 클러스터에서 TLS 프로토콜만 자동으로 선택됩니다. `-supported-protocols`FIPS 모드와 별개로 TLS 프로토콜을 포함하거나 제외하려면 매개 변수를 사용하십시오. 기본적으로 FIPS 모드는 비활성화되며 ONTAP는 TLSv1.2, TLSv1.1 및 TLSv1 프로토콜을 지원합니다.
이전 버전과의 호환성을 위해 ONTAP는 FIPS 모드가 비활성화된 경우 목록에 SSLv3 추가를 supported-protocols 지원합니다. 매개 변수를 사용하여 -supported-cipher-suites AES(Advanced Encryption Standard) 또는 AES 및 3DES 만 구성합니다. 또한!RC4를 지정하여 RC4와 같은 약한 암호를 비활성화할 수도 있습니다. 기본적으로 지원되는 암호화 설정은 입니다 ALL:!LOW:!aNULL:!EXP:!eNULL. 이 설정은 인증, 암호화 없음, 내보내기 없음 및 저암호화 암호화 암호 그룹을 제외한 프로토콜에 대해 지원되는 모든 암호화 그룹이 활성화됨을 의미합니다. 64비트 또는 56비트 암호화 알고리즘을 사용하는 제품군입니다.
선택한 해당 프로토콜에서 사용할 수 있는 암호 그룹을 선택합니다. 잘못된 구성으로 인해 일부 기능이 제대로 작동하지 않을 수 있습니다.
올바른 암호화 문자열 구문은 OpenSSL(OpenSSL 소프트웨어 재단에서 게시)의 페이지를 참조하십시오 "암호입니다" . ONTAP 9.9.1 이상 릴리스부터 보안 구성을 수정한 후 더 이상 모든 노드를 수동으로 재부팅할 필요가 없습니다.
FIPS 140-2 규정 준수를 활성화하면 ONTAP 9 내부 및 외부 시스템과 통신할 수 있습니다. NetApp에서는 콘솔 액세스 권한이 있는 비프로덕션 시스템에서 이러한 설정을 테스트하는 것이 좋습니다.
|
SSH를 사용하여 ONTAP 9를 관리하는 경우 OpenSSH 5.7 이상 클라이언트를 사용해야 합니다. SSH 클라이언트가 연결에 성공하려면 ECDSA(Elliptic Curve Digital Signature Algorithm) 공개 키 알고리즘과 협상해야 합니다. |
TLS 1.2만 활성화하고 PFS(Perfect Forward Secrecy) 지원 암호화 제품군을 사용하면 TLS 보안을 더욱 강화할 수 있습니다. PFS는 TLS 1.2와 같은 암호화 프로토콜과 함께 사용할 경우 공격자가 클라이언트와 서버 간의 모든 네트워크 세션을 해독하지 못하도록 하는 키 교환 방법입니다. TLS 1.2 및 PFS 지원 암호 제품군만 활성화하려면 다음 예와 같이 고급 권한 수준에서 명령을 사용합니다 security config modify .
|
|
SSL 인터페이스 구성을 변경하기 전에 클라이언트가 ONTAP에 연결할 때 언급된 암호(DHE, ECDHE)를 지원해야 한다는 점을 기억해야 합니다. 그렇지 않으면 연결이 허용되지 않습니다. |
cluster1::*> security config modify -interface SSL -supported-protocols TLSv1.2 -supported-cipher-suites PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH
`y`각 프롬프트에 대해 확인합니다. PFS에 대한 자세한 내용은 를 link:https://blog.netapp.com/protecting-your-data-perfect-forward-secrecy-pfs-with-netapp-ontap/["NetApp 블로그"^]참조하십시오.
ONTAP 9.11.1 및 TLS 1.3 지원부터 FIPS 140-3을 검증할 수 있습니다.
|
|
FIPS 구성은 ONTAP 및 플랫폼 BMC에 적용됩니다. |