FIPS モードでの Junos OS の役割とサービスについて
非 FIPS モードで動作するジュニパーネットワークス Junos オペレーティング システム(Junos OS)は、ユーザーに幅広い機能を提供し、認証はアイデンティティベースです。これに対し、FIPS 140-2 規格では 、Crypto Officer と FIPS user という 2 つのユーザー ロールが定義されています。これらの役割は、Junos OS ユーザー機能の観点から定義されます。
FIPSモードでJunos OS用に定義された他のすべてのユーザータイプ(読み取り専用、管理ユーザーなど)は、Crypto OfficerまたはFIPSユーザーの2つのカテゴリーのいずれかに分類する必要があります。このため、Junos のユーザー認証はアイデンティティ ベースで、役割ベースの認証が必要です。
Crypto Officerは、FIPSモード関連のすべての設定タスクを実行し、FIPSモードでJunos OSのすべてのステートメントとコマンドを発行します。Crypto OfficerとFIPSユーザー構成は、FIPSモードのJunos OSのガイドラインに従う必要があります。
Crypto Officerの役割と責任
Crypto Officerは、ルーター上でFIPSモードでJunos OSの有効化、構成、監視、保守を行う責任者です。Crypto Officerは、ルーターにJunos OSを安全にインストールし、FIPSモードを有効にし、他のユーザーとソフトウェアモジュールのキーとパスワードを確立し、ネットワーク接続前にルーターを初期化します。
Crypto Officerは、パスワードを安全に維持することで、安全な方法でシステムを管理することをお勧めします。
Crypto Officerを他のFIPSユーザーと区別する権限は、 秘密、 セキュリティ、 保守、 制御です。FIPS に準拠するには、これらのすべての権限を含むログイン クラスに Crypto Officer を割り当てます。Junos OS 保守権限を持つユーザーは、重要なセキュリティ パラメーター(CSP)を含むファイルを読み取ることができます。
FIPS モードの Junos OS は、 FIPS 140-2 保守ロールをサポートしていません。これは、Junos OS 保守権限とは異なります。
FIPSモードのJunos OSに関連するタスクの中で、Crypto Officerは次のことを行う必要があります。
最初の root パスワードを設定します。パスワードの長さは 10 文字以上にする必要があります。
Junos OS からのアップグレード中に、FIPS が承認したアルゴリズムのユーザー パスワードをリセットします。
対象のイベントについてログ ファイルと監査ファイルを調べます。
ルーターをゼロ化して、ユーザーが生成したファイル、キー、データを消去します。
FIPSユーザーの役割と責任
Crypto Officerを含むすべてのFIPSユーザーは、構成を表示できます。Crypto Officerとして割り当てられたユーザーのみが、設定を変更できます。
Crypto Officerを他のFIPSユーザーと区別する権限は、 秘密、 セキュリティ、 保守、 制御です。FIPS に準拠するには、FIPS ユーザーに、これらの権限 を含まず 含むクラスを割り当てます。
FIPSユーザーはステータス出力を表示できますが、ルーターを再起動またはゼロ化することはできません。
すべての FIPS ユーザーに期待される内容
Crypto Officerを含むすべてのFIPSユーザーは、常にセキュリティガイドラインに従う必要があります。
すべての FIPS ユーザーは以下を行う必要があります。
すべてのパスワードの機密性を維持します。
ルーターとドキュメントを安全な領域に保存します。
セキュアエリアにルーターを導入します。
監査ファイルを定期的に確認します。
その他すべての FIPS 140-2 セキュリティ ルールに準拠します。
以下のガイドラインに従ってください。
ユーザーは信頼されています。
ユーザーは、すべてのセキュリティ ガイドラインに従います。
ユーザーは意図的にセキュリティを侵害することはありません。
ユーザーは常に責任を持って行動します。