ManageEngine OpManager 中的 FIPS 合规性

FIPS (联邦信息处理标准,Federal Information Processing Standards) 合规性由美国政府制定的一系列标准组成,旨在确保计算机系统和网络中敏感和非敏感政府数据的安全性。所有处理敏感信息的美国联邦机构和承包商都必须遵守这些标准。其主要目标是确保联邦机构以及与政府合作的私营组织实施安全的密码学方法和密钥管理系统(KMS),以保护敏感数据。

美国国家标准与技术研究院(NIST)推荐了特定的加密与密钥生成技术,工具必须遵循这些技术才能满足 FIPS 合规性。符合 FIPS 140-2 的模块被美国和加拿大的联邦机构广泛认可和使用,用于保护敏感信息。

现在,你可以在符合 FIPS 的模式下运行 OpManager,与美国政府制定的标准保持一致。在 OpManager 中启用 FIPS 模式可确保其符合 FIPS 140-2,并且仅使用 FIPS 认可的算法运行。

FIPS 合规性的先决条件:

要实现整个环境或组织的 FIPS 合规性,需要满足以下条件:

全新安装:只能在全新安装配置过程中启用 FIPS 模式。我们强烈建议在初始安装时启用 FIPS 模式,而不是通过升级 OpManager 的方式启用。

FIPS 合规的操作系统:在符合 FIPS 要求的操作系统上安装 OpManager,以确保与 FIPS 要求的兼容性。

SNMP v3 凭据:由于只有 SNMP v3 凭据符合 FIPS 标准,因此必须将所有 SNMP 凭据更改为 SNMP v3。

邮件Server兼容性:确保用户的邮件Server版本支持 TLSv1.2 或 TLSv1.3,因为在 FIPS 模式下仅支持这些版本。

符合 FIPS 的认证和隐私方法:在 FIPS 合规环境中使用的所有认证和隐私方法都应遵循 FIPS 140-2 标准。

如何在 OpManager 中配置 FIPS:

在 OpManager 中启用 FIPS 模式可确保在密码学操作中,仅使用与 FIPS 标准中所述安全要求相符合的安全、FIPS 合规算法。

要启用 FIPS 模式,请按以下步骤操作:

  • 以管理员模式打开命令提示符,进入 < opmanagerhome >/bin 目录,然后运行 configureFIPSMode.bat / configureFIPSMode.sh 文件。批处理成功执行后,将看到日志 “FIPS configuration script executed successfully”

FIPS compliance in OpManager: Fips configuration  

注意:

  • 在启用 FIPS 模式之前,请确保已完全停止 OpManager 的服务。
  • 请记住,FIPS 模式只能在全新安装时启用,因此建议全新安装产品以成功启用 FIPS 模式。
  • 启用 FIPS 模式后,基于 IPSLA 的 WAN 监控和 VoIP 监控将无法工作。
  • FIPS 模式一旦启用,将无法禁用。

启用 FIPS 模式后会发生哪些变化?

在 OpManager 中启用 FIPS 模式会带来多项重要变更,以增强安全性并确保符合 FIPS 指南:

设备通信:

  • SNMP v3 通信将符合 FIPS 标准。
  • CLI 和 SMI 协议中使用的弱加密套件将被禁用,仅使用符合 FIPS 的协议。
  • 只要发送端和接收端都使用 WMI,WMI 协议通信将不受影响。
  • 启用后,REST API 通信将遵循 FIPS 标准。
  • 如果在将 OpManager 配置为 FIPS 合规后,Windows 2016 及以上版本的 RDP 功能无法正常工作,请参考此链接获取帮助。
  • 需要特别注意的是,一旦启用 FIPS 模式,就无法将其禁用。

与第三方集成的通信:

  • 与第三方集成的通信将仅使用带有强 FIPS 合规加密套件的 HTTPS。

证书方面的变更:

  • 在 FIPS 模式下,将限制 pfx 文件格式和 PKCS12 证书类型。取而代之的是,在 OpManager 的 FIPS 合规版本中使用 BCFKS 密钥库类型。
  • 启用 FIPS 模式后,预先配置的 SSL 证书将被转换为 BCFKS 格式。扩展名为 “.keystore” 的 BCFKS 格式 SSL 证书可以通过 UI 导入以启用 SSL。

内部通信:

  • 包括代理与Server、APM 插件与 OpManager Server、中心Server与探针Server、以及application与数据库之间等各组件之间的数据通信都将是安全且符合 FIPS 标准的。
  • 主备切换迁移过程以及主备Server之间的数据传输将按照 FIPS 合规指南进行加密。
  • 通过邮件Server的通信也将遵循 FIPS 标准。
  • 密码和已保存的数据将自动转换为符合 FIPS 的格式。

FIPS 模式的限制:

  • Radius 认证不符合 FIPS 标准,因此在启用 FIPS 模式后将被移除。
  • 在 FIPS 模式下,不支持使用 Windows 身份验证的 MSSQL。
  • 由于 MSSQL 2014 及以下版本使用了不符合 FIPS 的算法,因此在 FIPS 模式下不支持这些版本。

通过启用 FIPS 模式,OpManager 可确保更高水平的安全性、符合行业标准,并防范因弱密码协议和算法带来的潜在漏洞。这为系统内的数据通信和集成提供了稳固的防护框架,同时严格遵循 FIPS 指南。

感谢您的反馈!

此内容对您有帮助吗?

很抱歉给您带来不便。请帮助我们改进此页面。

我们该如何改进此页面?
您是否需要有关此主题的协助?
点击“提交”,即表示您同意根据隐私政策处理个人数据。