エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

連邦情報処理標準(FIPS)を使用したネットワーク セキュリティの設定

ONTAPは、すべてのSSL接続に対する連邦情報処理標準(FIPS)140-2に準拠しています。ONTAPでは、SSL FIPSモードを有効または無効にしたり、SSLプロトコルをグローバルに設定したり、RC4などの弱い暗号を無効にしたりできます。

デフォルトでは、ONTAPにおけるSSLは、次のプロトコルを使用してFIPS準拠が無効、SSLプロトコルが有効な状態で設定されます。

  • TLSv1.3(ONTAP 9.11.1以降)

  • TLSv1.2

  • TLSv1.1

  • TLSv1

SSL FIPSモードが有効な場合は、ONTAPからONTAP外部のクライアントまたはサーバー コンポーネントへのSSL通信に、FIPSに準拠したSSL用の暗号が使用されます。

管理者アカウントがSSH公開鍵を使用してSVMにアクセスできるようにする場合は、SSL FIPSモードを有効にする前に、ホスト キー アルゴリズムがサポートされていることを確認する必要があります。

: ONTAP 9.11.1以降のリリースでは、ホスト キー アルゴリズムのサポートが変更されています。

ONTAPリリース

サポートされるキー アルゴリズム

サポートされないキー アルゴリズム

9.11.1以降

ecdsa-sha2-nistp256

rsa-sha2-512
rsa-sha2-256
ssh-ed25519
ssh-dss
ssh-rsa

9.10.1以前

ecdsa-sha2-nistp256
ssh-ed25519

ssh-dss
ssh-rsa

サポートされるキー アルゴリズムを使用していない既存のSSH公開鍵アカウントは、FIPSを有効にする前に、サポートされるキー アルゴリズムで再設定する必要があります。この処理を実行しない場合は管理者認証は失敗します。

詳細については、「SSH公開鍵アカウントの有効化」を参照してください。

SSL FIPSモードの設定の詳細については、security config modify のマニュアル ページを参照してください。

FIPSの有効化

システムのインストールまたはアップグレードの直後に、すべてのセキュアーなユーザーがセキュリティ設定を調整することを推奨します。SSL FIPSモードが有効な場合は、ONTAPからONTAP外部のクライアントまたはサーバー コンポーネントへのSSL通信に、FIPSに準拠したSSL用の暗号が使用されます。

FIPSが有効な場合、4096ビットのRSAキーを使用する証明書をインストールまたは作成することはできません。
手順
  1. advanced権限レベルに切り替えます。

    set -privilege advanced

  2. FIPSを有効にします。

    security config modify -interface SSL -is-fips-enabled true

  3. 続行するかを尋ねられたら、次のように入力します。

    y

  4. ONTAP 9.8以前を実行している場合は、クラスタ内の各ノードを1つずつ手動でリブートします。ONTAP 9.9.1以降では、リブートは必要ありません。

ONTAP 9.9.1以降を実行している場合、警告メッセージは表示されません。

security config modify -interface SSL -is-fips-enabled true

Warning: This command will enable FIPS compliance and can potentially cause some non-compliant components to fail. MetroCluster and Vserver DR require FIPS to be enabled on both sites in order to be compatible.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPSの無効化

古いシステム構成を実行し続けている状況で、ONTAPを設定する際に下位互換性を確保する場合は、FIPSが無効な場合にのみSSLv3を有効にすることができます。

手順
  1. advanced権限レベルに切り替えます。

    set -privilege advanced

  2. 次のように入力してFIPSを無効にします。

    security config modify -interface SSL -is-fips-enabled false

  3. 続行するかを尋ねられたら、次のように入力します。

    y

  4. ONTAP 9.8以前を実行している場合は、クラスタ内の各ノードを手動でリブートします。ONTAP 9.9.1以降では、リブートは必要ありません。

ONTAP 9.9.1以降を実行している場合、警告メッセージは表示されません。

security config modify -interface SSL -supported-protocols SSLv3

Warning: Enabling the SSLv3 protocol may reduce the security of the interface, and is not recommended.
Do you want to continue? {y|n}: y

Warning: When this command completes, reboot all nodes in the cluster. This is necessary to prevent components from failing due to an inconsistent security configuration state in the cluster. To avoid a service outage, reboot one node at a time and wait for it to completely initialize before rebooting the next node. Run "security config status show" command to monitor the reboot status.
Do you want to continue? {y|n}: y

FIPS準拠ステータスの表示

クラスタ全体が現在のセキュリティ設定を実行しているかを確認できます。

手順
  1. クラスタ内の各ノードを1つずつリブートします。

    すべてのクラスタ ノードを同時にリブートしないでください。クラスタ内のすべてのアプリケーションで新しいセキュリティ設定が実行されるようにするには、リブートが必要です。また、FIPSのオン / オフ モード、プロトコル、暗号に対する変更を行う際にもリブートが必要です。

  2. 現在の準拠ステータスを表示します。

    security config show

security config show

          Cluster                                              Cluster Security
Interface FIPS Mode  Supported Protocols     Supported Ciphers Config Ready
--------- ---------- ----------------------- ----------------- ----------------
SSL       false      TLSv1_2, TLSv1_1, TLSv1 ALL:!LOW:!aNULL:  yes
                                             !EXP:!eNULL
Top of Page