Veritas NetBackup™ Appliance 安全指南
NetBackup appliance 符合 FIPS 140-2 标准
联邦信息处理标准 (FIPS) 规定了美国和加拿大政府对计算机系统的安全和互操作性要求。国家标准与技术研究院 (NIST) 发布了 FIPS 140 系列出版物,用于调整验证加密模块的要求和标准。FIPS 140-2 标准规定了对加密模块的安全要求,适用于硬件和软件组件。它还阐述了获准的对称和非对称密钥加密、消息身份验证和哈希安全功能。
有关 FIPS 140-2 标准及其验证程序的更多信息,请单击以下链接:
https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf
https://csrc.nist.gov/projects/cryptographic-module-validation-program
NetBackup 加密模块已通过 FIPS 验证。NetBackup MSDP 和 VxOS(Veritas 操作系统)使用此模块,且从 NetBackup Appliance 版本 3.1.1 开始,您可以为 NetBackup MSDP 启用 FIPS 140-2 标准。从 NetBackup Appliance 版本 3.1.2 开始,您可以为 VxOS 启用 FIPS 140-2 标准。
为 VxOS 启用 FIPS 后,sshd
将使用以下获得 FIPS 批准的密码:
aes128-ctr
aes192-ctr
aes256-ctr
为 VxOS 启用 FIPS 后,较旧的 SSH 客户端可能会阻止对 Appliance 的访问。检查以确保 SSH 客户端支持列出的密码,并在必要时升级到最新版本。默认密码设置通常不符合 FIPS 标准,这意味着可能需要在 SSH 客户端配置中手动选择这些设置。
您可以使用以下命令为 NetBackup MSDP 和 VxOS 启用 FIPS 140-2 标准:
Main Menu > Settings > Security > FIPS Enable MSDP,后接 maintenance 密码。
启用或禁用 MSDP 选项会终止当前正在进行的所有作业,并重新启动 NetBackup 服务。最佳做法建议首先手动停止所有作业,然后再启用或禁用此功能。
注意:
如果已从早期版本的 NetBackup appliance 升级,请确保仅在现有数据转换为使用符合 FIPS 标准的算法后启用 MSDP。要检查数据转换的当前状态,请使用 crcontrol --dataconvertstate 命令。如果在状态设置为“已完成”前启用 MSDP,可能会导致数据还原失败。
Main Menu > Settings > Security > FIPS Enable VxOS,后接 maintenance 密码。
启用或禁用 VxOS 选项会重新启动设备,并断开所有登录用户与其会话的连接。最佳做法建议首先向所有用户进行提前通知,然后再启用或禁用此功能。
Main Menu > Settings > Security > FIPS Enable All,后接 maintenance 密码。
启用或禁用 All 选项会重新启动设备,并断开所有登录用户与其会话的连接。最佳做法建议首先向所有用户进行提前通知,然后再启用或禁用此功能。
注意:
在 NetBackup Appliance 高可用性 (HA) 设置中,只有在完成 HA 设置配置后,才能在两个节点上启用 FIPS 功能。两个节点上的 FIPS 配置必须匹配。如果在完成 HA 设置之前在任一节点上启用了 FIPS,则必须在完成 HA 设置之前在该节点上禁用 FIPS。
有关 FIPS 命令的完整信息,请参见《NetBackup Appliance 命令参考指南》。