Citrix ADC

SDX 14000 FIPS-Appliances

Hinweis

Die Firmware-Versionen, die auf der Citrix ADC-Downloadseite unter “Citrix ADC Release 12.1-FIPS” und “Citrix ADC Release 12.1-NdCPP” aufgeführt sind, werden auf den MPX 14000 FIPS- oder SDX 14000 FIPS-Plattformen nicht unterstützt. Diese Plattformen können andere neueste Citrix ADC-Firmware-Versionen verwenden, die auf der Downloadseite verfügbar sind.

Eine Citrix ADC SDX-Appliance ist eine Multitenant-Plattform, auf der Sie mehrere virtuelle Citrix ADC-Instanzen bereitstellen und verwalten können. Die SDX-Appliance erfüllt Cloud-Computing- und Multitenancy-Anforderungen, indem sie es einem einzelnen Administrator ermöglicht, die Appliance zu konfigurieren und zu verwalten und die Verwaltung jeder gehosteten Instanz an Mandanten zu delegieren.

Eine Citrix ADC SDX 14030/14060/14080 FIPS-Appliance bietet die Funktionen einer SDX-Appliance mit FIPS-Funktionalität. Es ist mit einem manipulationssicheren (manipulationssicheren) kryptographischen Modul — einem Cavium CNN3560-NFBE-G — ausgestattet, das den FIPS 140-2 Level-3-Spezifikationen (ab Version 12.0 Build 56.x) entspricht. Die Critical Security Parameters (CSPs), hauptsächlich der private Schlüssel des Servers, werden sicher gespeichert und innerhalb des kryptographischen Moduls generiert. Dieses Modul wird auch als das Hardware Security Module (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser (nsroot) kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

Eine Citrix ADC SDX 14030/14060/14080 FIPS-Appliance enthält ein FIPS HSM-Modul mit 63 Kernen. Das FIPS HSM-Modul kann auf bis zu maximal 32 Partitionen partitioniert werden. Der SDX-Administrator kann jeder Partition dedizierten Schlüsselspeicher, kryptografische Ressourcen und die Anzahl der Krypto-SSL-FIPS-Kerne zuweisen. Schlüssel und Ressourcen, die einer Partition zugewiesen sind, sind dediziert und sicher, und jede andere Partition kann nicht auf sie zugreifen oder sie gemeinsam nutzen.

Die von Ihnen erstellte FIPS-HSM-Partition kann zum Zeitpunkt der Bereitstellung der Instanz oder später durch Bearbeiten der Instanz einer VPX-Instanz zugewiesen oder angehängt werden. Die erstellte und an eine Instanz angehängte FIPS-Partition verhält sich für diese Instanz wie ein virtuelles HSM-Modul.

Den VPX-Instanzen auf einer SDX 14030/14060/14080 FIPS-Einheit wird eine Partition für virtuelle FIPS-Funktionen (VF) zugewiesen, die als isolierte virtuelle FIPS-Karte oder HSM behandelt wird. Daher ähneln die Schritte zum Konfigurieren einer FIPS-Partition innerhalb einer VPX-Instanz den Schritten zum Konfigurieren einer MPX-FIPS-Appliance. Einzelheiten zur Einhaltung der Vorschriften finden Sie in den Sicherheitsrichtlinien auf der Website des U.S. National Institute of Standards and Technology (NIST).

Informationen zum Konfigurieren von FIPS-Appliances in einem Hochverfügbarkeits-Setup finden Sie unter FIPS Appliances in einem Hochverfügbarkeits-Setup

Wichtig

Jeder Schlüssel enthält einen privaten und einen öffentlichen Schlüssel. Infolgedessen nimmt es zwei Schlüsselbereiche ein. Daher ist die maximale Anzahl von Schlüsseln auf einen unter der halben Schlüsselspeichergröße begrenzt.

Die SDX 14000 FIPS-Plattform unterstützt einen hybriden FIPS-Modus. In diesem Modus können Sie einen Teil der Verschlüsselungs- und Entschlüsselungsaktivität auf eine Nicht-FIPS-Karte auslagern. Weitere Informationen finden Sie unter Hybrid-FIPS-Modus.

SDX 14000 FIPS-Appliances

In diesem Artikel