Modo FIPS imposto do MID Server

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • O MID Server é compatível com o ambiente IL-5 do National Security Cloud (NSC), que requer que toda a criptografia utilizada seja validada por FIPS. O MID Server pode ser executado no modo FIPS imposto, em que somente algoritmos criptográficos validados por FIPS são usados.

    Configurar indicador para fase de segurançaGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID Server

    Os Padrões de processamento de informações federais são um grupo de padrões compilados pelo Instituto Nacional de Padrões e Tecnologia para uso em sistemas de computador. Há muitas publicações FIPS, mas para fins desta discussão, estamos nos referindo especificamente a FIPS 140-2: Requisitos de segurança para módulos criptográficos. Algoritmos criptográficos podem prosseguir por meio de um processo de validação especificado pelo NIST. Para fins de nosso novo ambiente de nuvem seguro, o MID Server usará algoritmos que foram validados por esse processo.

    Somente os MID Servers da família de versões Rome ou posterior com uma versão do JRE de 11.0.9+11 ou posterior podem ser definidos para executar no Modo imposto FIPS.

    Modo FIPS imposto

    Os algoritmos a seguir não estão disponíveis para uso nessas funções SSH pelo MID Server no modo FIPS imposto.

    Intercâmbio de chaves:
    diffie-hellman-group1-sha1
    Mac:
    • hmac-md5
    • hmac-md5-96

    As restrições a seguir agora estão em vigor para SNMP para uso pelo MID Server no modo FIPS imposto.

    • SNMP v1 e v2 estão completamente desabilitados.
    • Para SNMP v3, os seguintes usos de protocolo não são permitidos pelo MID Server no modo FIPS imposto:
      • protocolo de autenticação: nenhum ou MD5
      • protocolo de privacidade: nenhum ou DES

    Outra funcionalidade que utiliza o MID Server pode ser afetada quando executada no modo FIPS imposto. Consulte a documentação específica dessa funcionalidade para obter detalhes.

    Ativar Modo FIPS imposto do MID Server

    O MID Server pode ser executado no modo FIPS imposto, em que somente algoritmos criptográficos validados por FIPS são usados.

    Antes de Iniciar

    Função necessária: administrador

    Procedimento

    1. Implante um novo MID Server ou faça upgrade dos MID Servers existentes para a versão da família Rome ou posterior.
    2. Encerre o MID Server.
    3. Execute o seguinte script combinado fornecido para converter o MID para executar no Modo imposto FIPS:
      • Para hosts Windows: > <MID install directory>\agent\bin\scripts\set-fips-enforced-mode.bat on
      • Para hosts Linux: $ <MID install directory>/agent/bin/scripts/set-fips-enforced-mode.sh on
      O sucesso será registrado no console, incluindo o local dos arquivos modificados e todos os backups gerados durante o processo de conversão. Se chamado programaticamente, o sucesso será indicado por um código de retorno 0.
    4. Inicie o MID Server.

    O que Fazer Depois

    O modo em que o MID está sendo executado pode ser confirmado por meio de dois métodos:

    1. Verifique os logs do agente após a inicialização e procure a seguinte linha de log: Executando no modo FIPS Imposto
    2. Verifique a tabela ecc_agent na instância e procure o valor da coluna booliana FIPS imposto.

    Converter manualmente o MID Server para o modo FIPS imposto

    O MID Server pode ser executado no modo FIPS imposto, em que somente algoritmos criptográficos validados por FIPS são usados.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Para converter manualmente o MID Server para o modo FIPS imposto ao usar um JRE externo, execute as seguintes etapas enquanto o MID Server estiver desligado:

    • Converta o TrustStore do JRE para o tipo BCFKS.

    • Defina o tipo de armazenamento de chaves padrão do JRE como BCFKS.

    • Defina o sinalizador de Modo imposto FIPS no arquivo de configuração do MID Server.

    Procedimento

    1. Converta o tipo de arquivo cacerts do JRE em BCFKS usando a Java Keytool com um comando semelhante a:
      $ keytool -importkeystore -srckeystore <source keystore path> -srcstoretype <source keystore type> -srcstorepass changeit -destkeystore <destination keystore path> -deststoretype BCFKS -deststorepass changeit -provider org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providerpath <BouncyCastle FIPS jar path>
      Nota:
      As instalações Rome e MID posteriores contêm um jar BouncyCastle adequado para essa finalidade. Ele pode ser encontrado em: …/agent/lib/bc-fips.jar
    2. O tipo de armazenamento de chaves padrão do JRE pode ser definido no arquivo <diretório de instalação do JRE>\conf\security\java.security.
    3. Nesse arquivo, localize a linha keystore.type e defina seu valor da seguinte forma: keystore.type=bcfks
    4. No arquivo …/agent/conf/wrapper-override.conf do MID Server, remova o comentário da linha FIPS e defina seu valor como verdadeiro.
      A linha deve ser: wrapper.java.additional.106=-Dorg.bouncycastle.fips.approved_only=true