ADC

SDX 14000 FIPS-Appliances

Hinweis

Die Firmware-Versionen, die auf der NetScaler-Downloadseite unter “NetScaler Release 12.1-FIPS” und “NetScaler Release 12.1-NdCPP” aufgeführt sind, werden auf den MPX 14000 FIPS- oder SDX 14000 FIPS-Plattformen nicht unterstützt. Diese Plattformen können andere neueste NetScaler-Firmware-Versionen verwenden, die auf der Downloadseite verfügbar sind.

Eine NetScaler SDX-Appliance ist eine Multitenant-Plattform, auf der Sie mehrere virtuelle NetScaler-Instanzen bereitstellen und verwalten können. Die SDX-Appliance erfüllt Cloud-Computing- und Multitenancy-Anforderungen, indem sie es einem einzelnen Administrator ermöglicht, die Appliance zu konfigurieren und zu verwalten und die Verwaltung jeder gehosteten Instanz an Mandanten zu delegieren.

Eine NetScaler SDX 14030/14060/14080 FIPS-Appliance bietet die Funktionen einer SDX-Appliance mit FIPS-Funktionalität. Es ist mit einem manipulationssicheren (manipulationssicheren) kryptografischen Modul — einem Cavium CNN3560-NFBE-G — ausgestattet, das den FIPS 140-2 Level-3-Spezifikationen entspricht. Die Critical Security Parameters (CSPs), hauptsächlich der private Schlüssel des Servers, werden sicher gespeichert und innerhalb des kryptographischen Moduls generiert. Dieses Modul wird auch als das Hardware Security Module (HSM) bezeichnet. Auf die CSPs wird niemals außerhalb der Grenzen des HSM zugegriffen. Nur der Superuser (nsroot) kann Operationen an den im HSM gespeicherten Schlüsseln ausführen.

Eine NetScaler SDX 14030/14060/14080 FIPS-Appliance enthält ein FIPS HSM-Modul mit 63 Kernen. Das FIPS HSM-Modul kann auf bis zu maximal 32 Partitionen partitioniert werden. Der SDX-Administrator kann jeder Partition dedizierten Schlüsselspeicher, kryptografische Ressourcen und die Anzahl der Krypto-SSL-FIPS-Kerne zuweisen. Schlüssel und Ressourcen, die einer Partition zugewiesen sind, sind dediziert und sicher, und jede andere Partition kann nicht auf sie zugreifen oder sie gemeinsam nutzen.

Die von Ihnen erstellte FIPS-HSM-Partition kann zum Zeitpunkt der Bereitstellung der Instanz oder später durch Bearbeiten der Instanz einer VPX-Instanz zugewiesen oder angehängt werden. Die erstellte und an eine Instanz angehängte FIPS-Partition verhält sich für diese Instanz wie ein virtuelles HSM-Modul.

Den VPX-Instanzen auf einer SDX 14030/14060/14080 FIPS-Einheit wird eine Partition für virtuelle FIPS-Funktionen (VF) zugewiesen, die als isolierte virtuelle FIPS-Karte oder HSM behandelt wird. Daher ähneln die Schritte zum Konfigurieren einer FIPS-Partition innerhalb einer VPX-Instanz den Schritten zum Konfigurieren einer MPX-FIPS-Appliance. Einzelheiten zur Einhaltung der Vorschriften finden Sie in den Sicherheitsrichtlinien auf der Website des U.S. National Institute of Standards and Technology (NIST).

Informationen zur Konfiguration von FIPS-Appliances in einem Hochverfügbarkeits-Setup finden Sie unter Konfiguration von FIPS-Appliances in einem HA-Setup.

Wichtig

Jeder Schlüssel enthält einen privaten und einen öffentlichen Schlüssel. Infolgedessen nimmt es zwei Schlüsselbereiche ein. Daher ist die maximale Anzahl von Schlüsseln auf einen unter der halben Schlüsselspeichergröße begrenzt.

Die SDX 14000 FIPS-Plattform unterstützt einen hybriden FIPS-Modus. In diesem Modus können Sie einen Teil der Verschlüsselungs- und Entschlüsselungsaktivität auf eine Nicht-FIPS-Karte auslagern. Weitere Informationen finden Sie unter Hybrid-FIPS-Modus.

SDX 14000 FIPS-Appliances

In diesem Artikel