SDX 14000 FIPS-Geräte

Eine Citrix ADC SDX-Appliance ist eine Multitenant-Plattform, auf der Sie mehrere virtuelle Citrix ADC Instanzen bereitstellen und verwalten können. Die SDX-Appliance erfüllt Cloudcomputing- und Mehrmandantenanforderungen, indem sie einem einzelnen Administrator ermöglicht, die Appliance zu konfigurieren und zu verwalten und die Verwaltung jeder gehosteten Instanz an Mandanten zu delegieren.

Eine Citrix ADC SDX 14030/14060/14080 FIPS-Appliance stellt die Funktionen einer SDX-Appliance mit FIPS-Funktionalität bereit. Es ist mit einem manipulationssicheren (manipulationssicheren) kryptografischen Modul - einem Cavium CNN3560-NFBE-G - ausgestattet, das den FIPS 140-2 Level-3-Spezifikationen entspricht (ab Release 12.0 Build 56.x). Die kritischen Sicherheitsparameter (CSPs), in erster Linie der private Schlüssel des Servers, werden sicher im kryptografischen Modul gespeichert und generiert, auch als Hardwaresicherheitsmodul (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser (nsroot) kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

Eine Citrix ADC SDX 14030/14060/14080 FIPS-Einheit enthält ein FIPS-HSM-Modul mit 63 Kernen. Das FIPS HSM Modul kann bis zu 32 Partitionen partitioniert werden. Der SDX-Administrator kann jeder Partition dedizierten Schlüsselspeicher, kryptografische Ressourcen und die Anzahl der Krypto-SSL-FIPS-Kerne zuweisen. Schlüssel und Ressourcen, die einer Partition zugewiesen werden, sind dediziert und sicher und können nicht von einer anderen Partition zugegriffen werden.

Die von Ihnen erstellte FIPS-HSM-Partition kann zum Zeitpunkt der Provisioning der Instanz oder später durch Bearbeiten der Instanz einer VPX-Instanz zugewiesen oder einer VPX-Instanz zugeordnet werden. Die FIPS-Partition, die einer Instanz erstellt und zugeordnet ist, verhält sich wie ein virtuelles HSM-Modul für diese bestimmte Instanz.

Den VPX-Instanzen auf einer SDX 14030/14060/14080 FIPS-Appliance wird eine FIPS-Partition (VF) zugewiesen, die als isolierte virtuelle FIPS-Karte oder HSM behandelt wird. Daher ähneln die Schritte zum Konfigurieren einer FIPS-Partition innerhalb einer VPX-Instanz den Schritten zum Konfigurieren einer MPX-FIPS-Einheit. Einzelheiten zur Einhaltung der Vorschriften finden Sie in den Sicherheitsrichtlinien auf der Website des U.S. National Institute of Standards and Technology (NIST).

Hinweise zum Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup finden Sie unterFIPS-Appliances in einem Hochverfügbarkeits-Setup.

Wichtig

Jeder Schlüssel enthält einen privaten und einen öffentlichen Schlüssel. Infolgedessen nimmt es zwei Schlüsselbereiche ein. Daher ist die maximale Anzahl von Schlüsseln auf eine weniger als die Hälfte der Schlüsselspeichergröße begrenzt.

Die SDX 14000 FIPS Plattform unterstützt einen hybriden FIPS-Modus. In diesem Modus können Sie einen Teil der Verschlüsselungs- und Entschlüsselungsaktivität auf eine Nicht-FIPS-Karte auslagern. Weitere Informationen finden Sie unter Hybrid-FIPS-Modus.

SDX 14000 FIPS-Geräte