連邦情報処理標準（FIPS）発行 140-3、暗号化モジュールのセキュリティ要件では、暗号化モジュールの米国政府要件が詳述されています。FIPS 140-3 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。

FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。

FIPS には、次のガイドラインおよび制約事項が適用されます。

• FIPS が有効になっている場合、FIPS は（ [Cisco Application Policy Infrastructure Controller] （[APIC]）全体に適用されます。

• FIPS が有効の場合は、 [Cisco APIC] を FIPS がサポートされていないリリースにダウングレードする前に、FIPS を無効にする必要があります。

• FIPS が有効になっていて、6.1(1) リリース以降にアップグレードしている場合は、 [Cisco APIC] を手動で電源を再投入するか、スタンバイにする必要があります。これは、 FIPS をスタンバイ [Cisco APIC]に適用するためですです。

• パスワードは最小限 8 文字の長さで作成してください。

• Telnet をディセーブルにします。SSH のみを使用してログインします。Telnet は 5.3(1) 以降のリリースではサポートされていません。

• SSH サーバーの RSA1 キー ペアすべてを削除してください。

• セキュア シェル（SSH） および SNMP がサポートされます。

• SNMP v1 および v2 をディセーブルにしてください。SNMPv3 に対して設定された、スイッチ上の既存ユーザー アカウントのいずれについても、認証およびプライバシー用 AES3 は SHA でのみ設定されていなければなりません。

• 2.3(1) 以降のリリースでは、FIPS はスイッチレベルで構成できます。

• 3.1(1) 以降のリリースでは、FIP が有効になっている場合、NTP は FIPS モードで動作します。FIPS モードでは、NTP は HMAC-SHA1 による認証ありと認証なしをサポートしています。

• 5.2(3) リリース以前では、 FIPSを有効にした後 [Cisco APIC]で、 FIPSを有効にするために、デュアル スーパーバイザ スパインスイッチを 2 回リロードしてください。

• 5.2(4) リリース以降では、 [Cisco APIC]で FIPS を有効にした後、デュアル スーパーバイザ スパインスイッチを再読み込みしてから電源を入れ直し、FIPS を有効にします。

• 5.2(3) 以前のリリースでは、FIPS が有効になっているデュアル スーパーバイザ スパインスイッチで、すべてのスーパーバイザを交換した場合、FIPS を有効にするためにスパイン スイッチを 2 回再読み込みする必要があります。

• 5.2(4) 以降のリリースでは、FIPS が有効になっているデュアル スーパーバイザ スパインスイッチで、すべてのスーパーバイザを交換した場合、スパインスイッチを再読み込みしてから、FIPS を有効にするために電源を再投入する必要があります。

• 5.2(3) 以前のリリースでは、RADIUS および TACACS+ リモート認証方式を無効にします。FIPS モードでは、ローカルおよび LDAP 認証方法のみがサポートされています。

• 5.2(4) 以降のリリースでは、RADIUS、TACACS+、および RSA リモート認証方式を無効にしてください。FIPS モードでは、ローカル、LDAP、OAuth2、および SAML 認証方法のみがサポートされています。