Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

FIPS モードでの Junos OS の役割とサービスについて

非 FIPS モードで動作するジュニパーネットワークス Junos オペレーティング システム(Junos OS)は、ユーザーに幅広い機能を提供し、認証はアイデンティティベースです。これに対し、FIPS 140-2 規格では 、Crypto OfficerFIPS user という 2 つのユーザー ロールが定義されています。これらの役割は、Junos OS ユーザー機能の観点から定義されます。

FIPSモードでJunos OS用に定義された他のすべてのユーザータイプ(読み取り専用、管理ユーザーなど)は、Crypto OfficerまたはFIPSユーザーの2つのカテゴリーのいずれかに分類する必要があります。このため、Junos のユーザー認証はアイデンティティ ベースで、役割ベースの認証が必要です。

Crypto Officerは、FIPSモード関連のすべての設定タスクを実行し、FIPSモードでJunos OSのすべてのステートメントとコマンドを発行します。Crypto OfficerとFIPSユーザー構成は、FIPSモードのJunos OSのガイドラインに従う必要があります。

Crypto Officerの役割と責任

Crypto Officerは、ルーター上でFIPSモードでJunos OSの有効化、構成、監視、保守を行う責任者です。Crypto Officerは、ルーターにJunos OSを安全にインストールし、FIPSモードを有効にし、他のユーザーとソフトウェアモジュールのキーとパスワードを確立し、ネットワーク接続前にルーターを初期化します。

ベスト プラクティス:

Crypto Officerは、パスワードを安全に維持することで、安全な方法でシステムを管理することをお勧めします。

Crypto Officerを他のFIPSユーザーと区別する権限は、 秘密セキュリティ保守制御です。FIPS に準拠するには、これらのすべての権限を含むログイン クラスに Crypto Officer を割り当てます。Junos OS 保守権限を持つユーザーは、重要なセキュリティ パラメーター(CSP)を含むファイルを読み取ることができます。

メモ:

FIPS モードの Junos OS は、 FIPS 140-2 保守ロールをサポートしていません。これは、Junos OS 保守権限とは異なります。

FIPSモードのJunos OSに関連するタスクの中で、Crypto Officerは次のことを行う必要があります。

  • 最初の root パスワードを設定します。パスワードの長さは 10 文字以上にする必要があります。

  • Junos OS からのアップグレード中に、FIPS が承認したアルゴリズムのユーザー パスワードをリセットします。

  • 対象のイベントについてログ ファイルと監査ファイルを調べます。

  • ルーターをゼロ化して、ユーザーが生成したファイル、キー、データを消去します。

FIPSユーザーの役割と責任

Crypto Officerを含むすべてのFIPSユーザーは、構成を表示できます。Crypto Officerとして割り当てられたユーザーのみが、設定を変更できます。

Crypto Officerを他のFIPSユーザーと区別する権限は、 秘密セキュリティ保守制御です。FIPS に準拠するには、FIPS ユーザーに、これらの権限 を含まず 含むクラスを割り当てます。

FIPSユーザーはステータス出力を表示できますが、ルーターを再起動またはゼロ化することはできません。

すべての FIPS ユーザーに期待される内容

Crypto Officerを含むすべてのFIPSユーザーは、常にセキュリティガイドラインに従う必要があります。

すべての FIPS ユーザーは以下を行う必要があります。

  • すべてのパスワードの機密性を維持します。

  • ルーターとドキュメントを安全な領域に保存します。

  • セキュアエリアにルーターを導入します。

  • 監査ファイルを定期的に確認します。

  • その他すべての FIPS 140-2 セキュリティ ルールに準拠します。

  • 以下のガイドラインに従ってください。

    • ユーザーは信頼されています。

    • ユーザーは、すべてのセキュリティ ガイドラインに従います。

    • ユーザーは意図的にセキュリティを侵害することはありません。

    • ユーザーは常に責任を持って行動します。