要在 Vertica 分析型数据库上实施 FIPS 140-2,需要对服务器和客户端进行配置。虽然 Vertica 服务器使用经 FIPS 批准的算法,但 Vertica 客户端可能会在未经 FIPS 批准的系统上运行。因此,您必须始终实施 FIPS 140-2 合规性。
有关实施 FIPS 的详细信息,请参阅:
1 - Vertica 服务器的 FIPS 合规性
要使 Vertica 符合 FIPS 规范,您必须:
-
将 RequireFIPS 参数设置为 1。
-
使用 SHA-512 对密码进行哈希处理。有关详细信息,请参阅哈希身份验证。
-
生成签名的 TLS 证书,以建立与客户端的安全连接。
RequireFIPS 参数
Vertica 在启动时会在服务器上设置 RequireFIPS 配置参数,以反映系统上 FIPS 的状态:如果启用 FIPS,则为 1,如果禁用 FIPS,则为 0。
RequireFIPS 的值与 crypto.fips_enabled 文件的值匹配。
Vertica 根据 crypto.fips_enabled 的内容设置 RequireFIPS 参数:
-
如果文件
/proc/sys/crypto/fips_enabled存在且包含 1(启用了 FIPS),Vertica 会将 RequireFIPS 设置为 1。 -
如果文件
/proc/sys/crypto/fips_enabled不存在,或存在但包含 0(未启用 FIPS),Vertica 会自动将 RequireFIPS 设置为 0。 -
如果通过存在
/proc/sys/crypto/fips_enabled确定的节点的 FIPS 状态与从群集发起方接收到的状态不同,节点将失败。此行为可防止创建混合了 FIPS 系统和非 FIPS 系统的群集。
重要
如果您尝试将启用了 FIPS 的节点还原到非 FIPS 群集,则还原将失败。安全的客户端-服务器连接
使用 TLS 保护客户端-服务器连接非常重要。有关设置客户端-服务器 TLS 的说明,请参阅配置客户端-服务器 TLS。
FIPS 兼容的 AWS 端点
要将 AWS 配置为使用 FIPS 兼容的 S3 端点,请设置以下 S3 参数:
AWSEndpoint = s3-fips.dualstack.us-east-1.amazonaws.com
S3EnableVirtualAddressing = 1
2 - 在客户端上实施 FIPS
Vertica 提供 FIPS 兼容的客户端驱动程序,您可以将其安装在启用了 FIPS 的系统上。64 位客户端包括 vsql 和 ODBC 驱动程序。
有关安装 FIPS 客户端以及安装的信息,请参阅以下内容