Junos OS の役割とサービスについて
セキュリティ管理者は、定義されたログインクラス「security-admin」に関連付けられており、Junos OSの管理に必要なすべてのタスクを管理者に許可するために必要な権限セットを持っています。 管理ユーザー (Security Administrator) は、システムへの管理アクセス権が付与される前に、一意の ID および認証データを提供する必要があります。
セキュリティ管理者の役割と責任は次のとおりです。
- セキュリティ管理者は、ローカルとリモートで管理できます。
- 認証失敗パラメーターの構成を含む、管理者アカウントの作成、変更、削除。
- 管理者アカウントを再度有効にします。
- 評価対象製品との間のセキュアな接続の確立に関連する暗号化要素の設定と保守を担当します。
非FIPSモードで動作するジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、ユーザーに幅広い機能を提供し、認証はIDベースです。対照的に、FIPS 140-2 標準では、Crypto Officer と FIPS User という 2 つのユーザー ロールが定義されています。これらのロールは、Junos OSのユーザー機能の観点から定義されます。
読み取り専用と管理ユーザーなど、FIPS モードで Junos OS 用に定義されているその他のすべてのユーザー タイプは、Crypto Officer または FIPS ユーザー の 2 つのカテゴリのいずれかに分類される必要があります。このため、Junos のユーザー認証は、ID ベースとロールベースの認証です。
Crypto Officerは、FIPSモードに関連するすべての設定タスクを実行し、FIPSモードでJunos OSのすべてのステートメントとコマンドを発行します。Crypto OfficerとFIPSユーザーの設定は、FIPSモードのJunos OSのガイドラインに従う必要があります。
Crypto Officerの役割と責任
Crypto Officerは、デバイス上でJunos OSのFIPSモードを有効化、設定、監視、維持する責任者です。Crypto Officerは、Junos OSをデバイスに安全にインストールし、FIPSモードを有効にし、他のユーザーとソフトウェアモジュール用のキーとパスワードを確立し、ネットワーク接続前にデバイスを初期化します。
Crypto Officerは、パスワードを安全に保ち、監査ファイルを確認することにより、安全な方法でシステムを管理することをお勧めします。
Crypto Officerを他のFIPSユーザーと区別する権限はsecret
、 、 maintenance
、 security
control
です。これらの権限をすべて含むログインクラスにCrypto Officerを割り当てます。
FIPSモードのJunos OSに関連するタスクの中で、Crypto Officerは以下のことを期待されています。
-
初期 root パスワードを設定します。パスワードの長さは 10 文字以上にする必要があります。
-
FIPS 承認アルゴリズムを使用してユーザー パスワードをリセットします。
-
ログ ファイルと監査ファイルで目的のイベントを調べます。
-
デバイスをゼロにして、ユーザーが生成したファイル、キー、およびデータを消去します。
FIPS ユーザーの役割と責任
Crypto Officerを含むすべてのFIPSユーザーが、設定を表示できます。Crypto Officerとして割り当てられたユーザーのみが、設定を変更できます。
Crypto Officerを他のFIPSユーザーと区別する権限は、シークレット、セキュリティ、メンテナンス、およびコントロールです。FIPS に準拠するには、これらのアクセス許可のいずれも含まれていないクラスに FIPS ユーザーを割り当てます。
FIPS ユーザーはステータス出力を表示できますが、デバイスを再起動またはゼロ化することはできません。
すべての FIPS ユーザーに期待されること
Crypto Officerを含むすべてのFIPSユーザーは、常にセキュリティガイドラインを遵守する必要があります。
すべての FIPS ユーザーは、次の条件を満たしている必要があります。
-
すべてのパスワードは機密にしてください。
-
デバイスとドキュメントは安全な場所に保管してください。
-
安全な場所にデバイスを展開します。
-
監査ファイルを定期的に確認してください。
-
他のすべての FIPS 140-2 セキュリティ規則に準拠します。
-
以下のガイドラインに従います。
-
ユーザーは信頼されています。
-
ユーザーはすべてのセキュリティガイドラインを遵守します。
-
ユーザーが意図的にセキュリティを侵害することはありません。
-
ユーザーは常に責任を持って行動します。
-