FIPS動作モードにおけるJunos OSの役割とサービスについて
非FIPS動作モードで動作するジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、ユーザーに幅広い機能を提供し、認証はIDベースで行われます。これに対し、FIPS 140-3 標準では、 セキュリティ管理者 と FIPS ユーザーの 2 つのユーザー ロールが定義されています。これらの役割は、Junos OS ユーザーの機能の観点から定義されます。
FIPS操作モードでJunos OSに定義されている他のすべてのユーザータイプ(オペレータ、管理ユーザーなど)は、セキュリティ管理者またはFIPSユーザーの2つのカテゴリのいずれかに分類される必要があります。このため、FIPS操作モードでのユーザー認証はロールベースです。
どちらのユーザータイプも、それぞれのユーザーロールに加えて、個々のユーザー構成で許可されているように、デバイス上で通常の構成タスクを実行できます。
セキュリティ管理者とFIPSユーザーは、すべてのFIPS関連構成タスクを実行し、FIPS動作モードのJunos OSに対してすべてのステートメントとコマンドを発行します。セキュリティ管理者とFIPSユーザーの設定は、FIPS動作モードのJunos OSのガイドラインに従う必要があります。
セキュリティ管理者の役割と責任
セキュリティ管理者は、デバイス上でFIPS動作モードのJunos OSの有効化、設定、監視、保守を行う責任者です。セキュリティ管理者は、デバイスに Junos OS を安全にインストールし、FIPS 動作モードを有効にし、他のユーザーとソフトウェア モジュールの鍵とパスワードを確立し、ネットワーク接続前にデバイスを初期化します。セキュリティ管理者は、コンソールまたは SSH 接続を介してモジュールを設定および監視できます。
セキュリティ管理者は、パスワードを安全に保管し、監査ファイルをチェックすることにより、安全な方法でシステムを管理することをお勧めします。
セキュリティ管理者を他のFIPSユーザーと区別する権限は、 secret、 security、 maintenance、および controlです。FIPSに準拠するには、これらすべての権限を含むログインクラスにセキュリティ管理者を割り当てます。Junos OS のメンテナンス権限を持つユーザーは、重要なセキュリティ パラメーター(CSP)を含むファイルを読み取ることができます。
FIPS動作モードのJunos OSは、Junos OSの保守 権限とは異なるFIPS 140-3の保守役割をサポートしていません。
FIPS動作モードのJunos OSに関連するタスクのうち、セキュリティ管理者は次のことが期待されます。
root の初期パスワードを設定します。
Junos OSからのアップグレード中に、FIPS承認アルゴリズムのユーザーパスワードをリセットします。
デュアル ルーティング エンジンで構成するための手動 IPsec SA を設定します。
ログおよび監査ファイルを調べて、関心のあるイベントがないか調べます。
デバイス上のユーザーが生成したファイルとデータを消去(ゼロ化)します。
FIPSユーザーの役割と責任
セキュリティ管理者を含むすべてのFIPSユーザーが構成を表示できます。セキュリティ管理者として割り当てられたユーザーのみが構成を変更できます。
セキュリティ管理者を他のFIPSユーザーと区別する権限は、 secret、 security、 maintenance、および controlです。FIPS に準拠するには、これらの権限の いずれも 含まないクラスに FIPS ユーザーを割り当てます。
FIPS ユーザーは、デバイス上でネットワーク機能を構成し、FIPS の動作モードに固有ではないその他のタスクを実行します。セキュリティ管理者ではないFIPSユーザーは、再起動を実行し、ステータス出力を表示できます。
すべてのFIPSユーザーに期待されること
セキュリティ管理者を含むすべての FIPS ユーザーは、常にセキュリティ ガイドラインに従う必要があります。
すべてのFIPSユーザーは、次のことを行う必要があります。
すべてのパスワードは秘密にしてください。
デバイスとドキュメントは安全な場所に保管します。
デバイスを安全な場所に展開します。
監査ファイルを定期的にチェックします。
他のすべての FIPS 140-3 セキュリティ規則に準拠します。
以下のガイドラインに従います。
ユーザーは信頼されます。
ユーザーは、すべてのセキュリティ ガイドラインを遵守します。
ユーザーが故意にセキュリティを危険にさらすことはありません。
ユーザーは常に責任を持って行動します。