Conformidade FIPS no ManageEngine OpManager

A conformidade com o FIPS (Federal Information Processing Standards) inclui um conjunto de padrões desenvolvidos pelo governo dos EUA, com o objetivo de garantir a segurança de dados governamentais sensíveis e não sensíveis em sistemas e redes de computadores. A conformidade com esses padrões é obrigatória para todas as agências federais dos EUA e contratados que lidam com informações sensíveis. O objetivo principal é garantir que órgãos federais e organizações privadas que trabalham com o governo implementem métodos criptográficos seguros e Sistemas de Gerenciamento de Chaves (KMS) para proteger dados sensíveis.

O National Institute of Standards and Technology recomenda técnicas específicas de criptografia e geração de chaves às quais uma ferramenta deve aderir para estar em conformidade com o FIPS. Os módulos que seguem o FIPS 140-2 são reconhecidos e amplamente utilizados por órgãos federais tanto nos EUA quanto no Canadá para proteger informações sensíveis.

Agora, você pode executar o OpManager em modo compatível com FIPS, alinhado com os padrões definidos pelo governo dos EUA. Habilitar o modo FIPS no OpManager garante que ele se torne compatível com o FIPS 140-2 e opere usando apenas algoritmos aprovados pelo FIPS.

• Pré-requisitos para conformidade FIPS
• Como configurar o FIPS no OpManager?
• O que mudará após o modo FIPS ser habilitado?
   
  • Comunicação com dispositivos
  • Comunicação com integrações de terceiros
  • Alterações em certificados
  • Comunicação interna
  • Limitações do modo FIPS

Pré-requisitos para conformidade FIPS:

Para alcançar a conformidade FIPS em todo o seu ambiente ou organização, você precisa atender aos seguintes critérios:

Instalação nova: O modo FIPS só pode ser habilitado durante uma instalação nova. Recomendamos fortemente habilitar o modo FIPS durante a instalação inicial em vez de atualizar o OpManager.

SO compatível com FIPS: Instale o OpManager em um dispositivo com um sistema operacional compatível com FIPS para garantir a compatibilidade com os requisitos FIPS.

Credenciais SNMP v3: Como apenas as credenciais SNMP v3 são compatíveis com FIPS, é essencial alterar todas as credenciais SNMP para SNMP v3.

Compatibilidade do servidor de e-mail: Certifique-se de que a versão do servidor de e-mail do usuário seja compatível com TLSv1.2 ou TLSv1.3, pois essas versões serão suportadas no modo FIPS.

Métodos de autenticação e privacidade compatíveis com FIPS: Todos os métodos de autenticação e privacidade usados no ambiente compatível com FIPS devem seguir os padrões FIPS 140-2.

Como configurar o FIPS no OpManager:

Habilitar o modo FIPS no OpManager garante que apenas algoritmos seguros e compatíveis com FIPS, alinhados com os requisitos de segurança descritos nos padrões FIPS, sejam utilizados em operações criptográficas.

Para habilitar o modo FIPS, siga estas etapas:

• Abra o prompt de comando em modo administrativo, navegue até o diretório < opmanagerhome >/bin e então execute o arquivo configureFIPSMode.bat / configureFIPSMode.sh. Após a execução bem-sucedida do script, será exibido o registro "FIPS configuration script executed successfully".

O que mudará após o modo FIPS ser habilitado?

Habilitar o modo FIPS no OpManager traz várias mudanças significativas para reforçar a segurança e garantir a conformidade com as diretrizes FIPS:

Comunicação com dispositivos:

• A comunicação SNMP v3 torna-se compatível com FIPS.
• Os cifradores fracos usados pelos protocolos CLI e SMI são desabilitados, e apenas protocolos compatíveis com FIPS são utilizados.
• A comunicação via protocolo WMI permanece inalterada, desde que tanto o emissor quanto o receptor utilizem WMI.
• A comunicação via REST API segue a conformidade FIPS quando habilitada.
• Caso o recurso de RDP não funcione para Windows 2016 e superiores após tornar o OpManager compatível com FIPS, consulte este link para obter ajuda.
• É importante observar que, uma vez habilitado, o modo FIPS não pode ser desabilitado.

Comunicação com integrações de terceiros:

• HTTPS com apenas cifradores fortes e compatíveis com FIPS será usado para comunicação com integrações de terceiros.

Alterações em certificados:

• No modo FIPS, o formato de arquivo pfx e o tipo de certificado PKCS12 são restritos. Em vez disso, o tipo de keystore BCFKS é utilizado na versão compatível com FIPS do OpManager.
• Certificados SSL pré-configurados serão convertidos para o formato BCFKS ao habilitar o modo FIPS. O certificado SSL em formato BCFKS com extensão ".keystore" pode ser importado pela interface para habilitar o SSL.

Comunicação interna:

• A comunicação de dados entre vários componentes, incluindo agente e servidor, plugin APM para servidor OpManager, servidor central e servidor probe, e aplicação para banco de dados, será segura e compatível com FIPS.
• O processo de migração de Failover e a transmissão de dados entre o servidor primário e o secundário serão criptografados seguindo as diretrizes de conformidade FIPS.
• A comunicação via servidor de e-mail também seguirá a conformidade FIPS.
• Senhas e dados salvos serão automaticamente convertidos para formatos compatíveis com FIPS.

Limitações do modo FIPS:

• A autenticação Radius não é compatível com FIPS e, portanto, será removida ao habilitar o modo FIPS.
• MSSQL com autenticação do Windows não é suportado no modo FIPS.
• Versões do MSSQL 2014 e anteriores não são suportadas no modo FIPS devido ao uso de algoritmos não compatíveis com FIPS nessas versões.

Ao habilitar o modo FIPS, o OpManager garante maior segurança, conformidade com padrões de mercado e proteção contra possíveis vulnerabilidades que podem surgir de protocolos e algoritmos criptográficos fracos. Ele fornece uma estrutura robusta para proteger a comunicação de dados e integrações dentro do sistema, ao mesmo tempo em que segue rigorosamente as diretrizes FIPS.