FIPS動作モードにおけるJunos OSの役割とサービスについて
非FIPS動作モードで動作するジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、ユーザーに幅広い機能を提供し、認証はIDベースで行われます。これに対し、FIPS 140-2 標準では、 Cryptographic Officer と FIPS user の 2 つのユーザー ロールが定義されています。これらの役割は、Junos OS ユーザーの機能の観点から定義されます。
どちらのユーザータイプも、それぞれのユーザーロールに加えて、個々のユーザー構成で許可されているように、デバイス上で通常の構成タスクを実行できます。
Cryptographic OfficerとFIPS Userは、FIPSに関連するすべての構成タスクを実行し、FIPS動作モードのJunos OSに対してすべてのステートメントとコマンドを発行します。Cryptographic OfficerとFIPSユーザーの構成は、FIPS動作モードのJunos OSのガイドラインに従う必要があります。
暗号責任者の役割と責任
暗号化責任者は、デバイス上でFIPS動作モードのJunos OSの有効化、設定、監視、保守の責任者です。Cryptographic Officerは、デバイスにJunos OSを安全にインストールし、FIPS動作モードを有効にし、他のユーザーとソフトウェアモジュールのキーとパスワードを確立し、ネットワーク接続前にデバイスを初期化します。Cryptographic Officer は、コンソールまたは SSH 接続を介してモジュールを設定および監視できます。
暗号化責任者は、パスワードを安全に保管し、監査ファイルをチェックすることにより、安全な方法でシステムを管理することをお勧めします。
Cryptographic Officerを他のFIPSユーザーと区別する権限は、 シークレット、 セキュリティ、 メンテナンス、および 制御です。FIPSに準拠するには、これらすべての権限を含むログインクラスにCryptographic Officerを割り当てます。Junos OS のメンテナンス権限を持つユーザーは、重要なセキュリティ パラメーター(CSP)を含むファイルを読み取ることができます。
FIPS動作モードのJunos OSは、Junos OSの保守 権限とは異なるFIPS 140-2の保守の役割をサポートしていません。
FIPS動作モードのJunos OSに関連するタスクのうち、Cryptographic Officerは以下を行うことが期待されます。
root の初期パスワードを設定します。
Junos OSからのアップグレード中に、FIPS承認アルゴリズムのユーザーパスワードをリセットします。
デュアル ルーティング エンジンで構成するための手動 IPsec SA を設定します。
ログおよび監査ファイルを調べて、関心のあるイベントがないか調べます。
デバイス上のユーザーが生成したファイルとデータを消去(ゼロ化)します。
FIPSユーザーの役割と責任
Cryptographic Officerを含むすべてのFIPSユーザーが構成を表示できます。暗号化責任者として割り当てられたユーザーのみが、設定を変更できます。
Cryptographic Officerを他のFIPSユーザーと区別する権限は、secret、security、maintenance、controlです。FIPS に準拠するには、これらの権限のいずれも含まないクラスに FIPS ユーザーを割り当てます。
FIPS ユーザーは、デバイス上でネットワーク機能を構成し、FIPS の動作モードに固有ではないその他のタスクを実行します。Cryptographic OfficerではないFIPSユーザーは、再起動を実行し、ステータス出力を表示できます。
すべてのFIPSユーザーに期待されること
Cryptographic Officerを含むすべてのFIPSユーザーは、常にセキュリティガイドラインに従う必要があります。
すべてのFIPSユーザーは、次のことを行う必要があります。
すべてのパスワードは秘密にしてください。
デバイスとドキュメントは安全な場所に保管します。
デバイスを安全な場所に展開します。
監査ファイルを定期的にチェックします。
他のすべての FIPS 140-2 セキュリティ規則に準拠します。
以下のガイドラインに従います。
ユーザーは信頼されます。
ユーザーは、すべてのセキュリティ ガイドラインを遵守します。
ユーザーが故意にセキュリティを危険にさらすことはありません。
ユーザーは常に責任を持って行動します。