Conformité FIPS dans ManageEngine OpManager
La conformité FIPS (Federal Information Processing Standards) comprend un ensemble de normes développées par le gouvernement des États-Unis, visant à garantir la sécurité des données gouvernementales sensibles et non sensibles dans les systèmes et réseaux informatiques. La conformité à ces normes est obligatoire pour toutes les agences fédérales américaines et les sous-traitants qui traitent des informations sensibles. L'objectif principal est de garantir que les agences fédérales et les organisations privées travaillant avec le gouvernement mettent en œuvre des méthodes cryptographiques sécurisées et des systèmes de gestion des clés (KMS) afin de protéger les données sensibles.
Le National Institute of Standards and Technology recommande des techniques spécifiques de chiffrement et de génération de clés auxquelles un outil doit se conformer pour respecter les exigences FIPS. Les modules conformes à la norme FIPS 140-2 sont reconnus et largement utilisés par les agences fédérales aux États-Unis et au Canada pour protéger les informations sensibles.
Désormais, vous pouvez exécuter OpManager en mode conforme FIPS, en accord avec les normes définies par le gouvernement des États-Unis. L'activation du mode FIPS dans OpManager garantit sa conformité à la norme FIPS 140-2 et son fonctionnement uniquement avec des algorithmes approuvés par FIPS.
- Prérequis pour la conformité FIPS
- Comment configurer FIPS dans OpManager ?
- Qu'est-ce qui change après l'activation du mode FIPS ?
Prérequis pour la conformité FIPS :
Pour atteindre la conformité FIPS dans l'ensemble de votre environnement ou de votre organisation, vous devez satisfaire aux critères suivants :
Nouvelle installation : Le mode FIPS ne peut être activé que lors d'une nouvelle installation. Nous recommandons vivement d'activer le mode FIPS lors de l'installation initiale plutôt que lors d'une mise à niveau d'OpManager.
Système d'exploitation conforme FIPS : Installez OpManager sur un appareil doté d'un système d'exploitation conforme FIPS afin de garantir la compatibilité avec les exigences FIPS.
Identifiants SNMP v3 : Comme seuls les identifiants SNMP v3 sont conformes FIPS, il est essentiel de remplacer tous les identifiants SNMP par des identifiants SNMP v3.
Compatibilité du Server de messagerie : Assurez-vous que la version du Server de messagerie de votre utilisateur est compatible avec TLSv1.2 ou TLSv1.3, car seules ces versions seront prises en charge en mode FIPS.
Méthodes d'authentification et de confidentialité conformes FIPS : Toutes les méthodes d'authentification et de confidentialité utilisées dans l'environnement conforme FIPS doivent respecter les normes FIPS 140-2.
Comment configurer FIPS dans OpManager :
L'activation du mode FIPS dans OpManager garantit que seuls des algorithmes sécurisés et conformes FIPS, en accord avec les exigences de sécurité définies dans les normes FIPS, sont utilisés dans les opérations cryptographiques.
Pour activer le mode FIPS, suivez ces étapes :
- Ouvrez l'invite de commande en mode administrateur, accédez au répertoire < opmanagerhome >/bin, puis exécutez le fichier configureFIPSMode.bat / configureFIPSMode.sh. Une fois le traitement exécuté avec succès, la trace "FIPS configuration script executed successfully" s'affichera.
Remarque :
- Assurez-vous que le service d'OpManager est complètement arrêté avant d'activer le mode FIPS.
- Gardez à l'esprit que le mode FIPS ne peut être activé que lors d'une nouvelle installation ; il est donc recommandé d'effectuer une nouvelle installation du produit pour activer correctement le mode FIPS.
- Après l'activation du mode FIPS, la surveillance WAN basée sur IPSLA et la surveillance VoIP ne fonctionneront pas.
- Le mode FIPS ne peut pas être désactivé une fois activé.
Qu'est-ce qui change après l'activation du mode FIPS ?
L'activation du mode FIPS dans OpManager entraîne plusieurs changements importants afin de renforcer la sécurité et d'assurer la conformité avec les directives FIPS :
Communication avec les appareils :
- La communication SNMP v3 devient conforme FIPS.
- Les chiffrements faibles utilisés par les protocoles CLI et SMI sont désactivés, et seuls des protocoles conformes FIPS sont utilisés.
- La communication via le protocole WMI reste inchangée tant que l'expéditeur et le destinataire utilisent tous deux WMI.
- La communication de l'API REST respecte la conformité FIPS lorsqu'elle est activée.
- Si la fonctionnalité RDP ne fonctionne pas pour Windows 2016 et versions ultérieures après avoir rendu OpManager conforme FIPS, consultez ce lien pour obtenir de l'aide.
- Il est important de noter qu'une fois le mode FIPS activé, il ne peut pas être désactivé.
Communication avec les intégrations tierces :
- Le protocole HTTPS utilisant uniquement des suites de chiffrement robustes et conformes FIPS sera employé pour la communication avec les intégrations tierces.
Modifications des certificats :
- En mode FIPS, le format de fichier pfx et le type de certificat PKCS12 sont restreints. À la place, le type de magasin de clés BCFKS est utilisé dans la version conforme FIPS d'OpManager.
- Les certificats SSL préconfigurés seront convertis au format BCFKS lors de l'activation du mode FIPS. Le certificat SSL au format BCFKS avec l'extension ".keystore" peut être importé via l'interface utilisateur pour activer SSL.
Communication interne :
- La communication des données entre divers composants, notamment entre l'agent et le Server, du plugin APM vers le Server OpManager, entre le Server central et le Server sonde, ainsi qu'entre l'application et la base de données, sera sécurisée et conforme FIPS.
- Le processus de migration Failover et la transmission de données entre le Server principal et le Server secondaire seront chiffrés conformément aux directives de conformité FIPS.
- La communication via le Server de messagerie respectera également la conformité FIPS.
- Les mots de passe et les données enregistrées seront automatiquement convertis dans des formats conformes FIPS.
Limites du mode FIPS :
- L'authentification Radius n'est pas conforme FIPS et sera donc supprimée lors de l'activation du mode FIPS.
- MSSQL avec authentification Windows n'est pas pris en charge en mode FIPS.
- Les versions MSSQL 2014 et antérieures ne sont pas prises en charge en mode FIPS en raison de l'utilisation d'algorithmes non conformes FIPS dans ces versions.
En activant le mode FIPS, OpManager garantit une sécurité renforcée, la conformité aux normes du secteur et une protection contre les vulnérabilités potentielles pouvant découler de protocoles et d'algorithmes cryptographiques faibles. Il fournit un cadre robuste pour sécuriser la communication des données et les intégrations au sein du système tout en respectant les strictes directives FIPS.