Veritas NetBackup™ Appliance セキュリティガイド
NetBackup Appliance の FIPS 140-2 準拠
連邦情報処理標準 (FIPS) には、米国連邦政府とカナダ政府のコンピュータシステムに対するセキュリティと相互運用性の必要条件が定義されています。米国国立標準技術研究所 (NIST) は、暗号化モジュールの検証に関する必要条件と標準をまとめた FIPS 140 文書シリーズを発行しています。FIPS 140-2 標準には、暗号化モジュールのセキュリティ要件が指定されており、ハードウェアとソフトウェアの両方のコンポーネントに適用されます。対称キー暗号化と非対称キー暗号化、メッセージ認証、ハッシュの承認済みセキュリティ機能についても説明されています。
FIPS 140-2 標準とその検証プログラムについて詳しくは、次のリンクにアクセスしてください。
https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf
https://csrc.nist.gov/projects/cryptographic-module-validation-program
NetBackup 暗号化モジュールは FIPS によって検証されています。NetBackup MSDP と VxOS (Veritas Operating System) ではこのモジュールを使用しており、NetBackup Appliance リリース 3.1.1 以降では、NetBackup MSDP で FIPS 140-2 標準を有効にできます。NetBackup Appliance リリース 3.1.2 以降では、VxOS で FIPS 140-2 標準を有効にできます。
VxOS で FIPS を有効にすると、sshd は FIPS 認定済みの次の暗号を使用します。
aes128-ctr
aes192-ctr
aes256-ctr
VxOS の FIPS を有効にした後、古い SSH クライアントが Appliance へのアクセスを拒否する場合があります。リストされた暗号を SSH クライアントがサポートしていることを確認し、必要に応じて最新バージョンにアップグレードしてください。デフォルトの暗号設定は通常 FIPS 準拠ではないため、SSH クライアント構成でそれらを手動で選択することが必要になる場合があります。
NetBackup MSDP と VxOS 用の FIPS 140-2 標準は、次のコマンドを使用して有効にできます。
Main Menu > Settings > Security > FIPS Enable MSDP の後に、メンテナンスパスワードを入力します。
MSDP オプションを有効または無効にすると、その時点で進行中のすべてのジョブが終了し、NetBackup サービスが再起動します。ベストプラクティスとしては、最初にすべてのジョブを手動で停止してから、この機能を有効または無効にすることをお勧めします。
Main Menu > Settings > Security > FIPS Enable VxOS の後に、メンテナンスパスワードを入力します。
VxOS オプションを有効または無効にすると、Appliance が再起動し、ログイン中のすべてのユーザーがセッションから切断されます。ベストプラクティスとしては、この機能を有効または無効にする前に、すべてのユーザーに事前に通知を送ることをお勧めします。
Main Menu > Settings > Security > FIPS Enable All の後に、メンテナンスパスワードを入力します。
All オプションを有効または無効にすると、Appliance が再起動し、ログイン中のすべてのユーザーがセッションから切断されます。ベストプラクティスとしては、この機能を有効または無効にする前に、すべてのユーザーに事前に通知を送ることをお勧めします。
メモ:
NetBackup Appliance の高可用性 (HA) 設定では、両方のノードで FIPS オプションを構成し、これらの構成が一致する必要があります。
FIPS コマンドについて詳しくは、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。