1.4. FIPS 暗号のサポート
OpenShift Container Platform クラスターを FIPS モードでインストールできます。
OpenShift Container Platform は FIPS 用に設計されています。FIPS モードでブートされた Red Hat Enterprise Linux (RHEL) または Red Hat Enterprise Linux CoreOS (RHCOS) を実行する場合、OpenShift Container Platform コアコンポーネントは、x86_64、ppc64le、および s390x アーキテクチャーのみで、FIPS 140-2/140-3 検証のために NIST に提出された RHEL 暗号化ライブラリーを使用します。
NIST 検証プログラムの詳細は、暗号化モジュール検証プログラム を参照してください。検証のために提出された RHEL 暗号化ライブラリーの個別バージョンの最新の NIST ステータスについては、政府の標準規格 を参照してください。
クラスターで FIPS モードを有効にするには、FIPS モードで動作するように設定された RHEL 9 コンピューターからインストールプログラムを実行し、インストールプログラムの FIPS 対応バージョンを使用する必要があります。`oc adm extract` を使用して FIPS 対応インストールプログラムを取得する セクションを参照してください。
RHEL での FIPS モードの設定の詳細は、FIPS モードでのシステムのインストール を参照してください。
クラスター内の Red Hat Enterprise Linux CoreOS (RHCOS) マシンの場合、この変更は、ユーザーがクラスターのデプロイメント時に変更できるクラスターオプションを制御する install-config.yaml ファイルのオプションのステータスに基づいてマシンがデプロイされる際に適用されます。Red Hat Enterprise Linux (RHEL) マシンでは、ワーカーマシンとして使用する予定のマシンにオペレーティングシステムをインストールする場合に FIPS モードを有効にする必要があります。
FIPS はクラスターが使用するオペレーティングシステムの初回の起動前に有効にされている必要があり、クラスターをデプロイしてから FIPS を有効にすることはできません。
1.4.1. oc adm extract を使用して FIPS 対応インストールプログラムを取得する
OpenShift Container Platform では、クラスターを FIPS モードでインストールする場合、FIPS 対応のインストールバイナリーを使用する必要があります。このバイナリーは、OpenShift CLI (oc) を使用してリリースイメージから展開することで取得できます。バイナリーを取得したら、openshift-install コマンドのすべてのインスタンスを openshift-install-fips に置き換え、クラスターのインストールを続行します。
前提条件
-
OpenShift CLI (
oc) バージョン 4.16 以降をインストール済みである。
手順
次のコマンドを実行して、インストールプログラムから FIPS 対応バイナリーを展開します。
$ oc adm release extract --registry-config "${pullsecret_file}" --command=openshift-install-fips --to "${extract_dir}" ${RELEASE_IMAGE}ここでは、以下のようになります。
<pullsecret_file>- プルシークレットが含まれるファイルの名前を指定します。
<extract_dir>- バイナリーを展開するディレクトリーを指定します。
<RELEASE_IMAGE>- 使用している OpenShift Container Platform リリースの Quay.io URL を指定します。リリースイメージの検索の詳細は、OpenShift Container Platform インストールプログラムの展開 を参照してください。
-
openshift-installコマンドのすべてのインスタンスをopenshift-install-fipsに置き換え、クラスターのインストールを続行します。
1.4.2. パブリック OpenShift ミラーを使用して FIPS 対応インストールプログラムを取得する
OpenShift Container Platform では、クラスターを FIPS モードでインストールする場合、FIPS 対応のインストールバイナリーを使用する必要があります。このバイナリーを取得するには、パブリック OpenShift ミラーからダウンロードします。バイナリーを取得したら、openshift-install バイナリーのすべてのインスタンスを openshift-install-fips に置き換え、クラスターのインストールを続行します。
前提条件
- インターネットにアクセスできる。
手順
- https://mirror.openshift.com/pub/openshift-v4/clients/ocp/latest-4.16/openshift-install-rhel9-amd64.tar.gz から、インストールプログラムをダウンロードします。
インストールプログラムを展開します。たとえば、Linux オペレーティングシステムを使用するコンピューターで以下のコマンドを実行します。
$ tar -xvf openshift-install-rhel9-amd64.tar.gz
-
openshift-installコマンドのすべてのインスタンスをopenshift-install-fipsに置き換え、クラスターのインストールを続行します。
1.4.3. OpenShift Container Platform での FIPS 検証
OpenShift Container Platform は、それが使用するオペレーティングシステムのコンポーネント用に RHEL および RHCOS 内の特定の FIPS 検証済みまたは進行中のモジュール (Modules in Process) モジュールを使用します。RHEL コア crypto コンポーネント を参照してください。たとえば、ユーザーが SSH を使用して OpenShift Container Platform クラスターおよびコンテナーに接続する場合、その接続は適切に暗号化されます。
OpenShift Container Platform コンポーネントは Go で作成され、Red Hat の golang コンパイラーを使用してビルドされます。クラスターの FIPS モードを有効にすると、暗号署名を必要とするすべての OpenShift Container Platform コンポーネントは RHEL および RHCOS 暗号ライブラリーを呼び出します。
| 属性 | 制限事項 |
|---|---|
| RHEL 9 および RHCOS オペレーティングシステムでの FIPS サポート。 | FIPS 実装では、ハッシュ計算と署名生成または検証を 1 つのステップで実行する関数は使用されません。この制限については、今後の OpenShift Container Platform リリースで継続的に評価され、改善されます。 |
| CRI-O ランタイムの FIPS サポート。 | |
| OpenShift Container Platform サービスの FIPS サポート。 | |
| RHEL 9 および RHCOS バイナリーおよびイメージから取得される FIPS 検証済みまたは進行中のモジュール (Modules in Process) 暗号化モジュールおよびアルゴリズム。 | |
| FIPS と互換性のある golang コンパイラーの使用。 | TLS FIPS サポートは完全に実装されていませんが、今後の OpenShift Container Platform リリースで予定されています。 |
| 複数のアーキテクチャー間の FIPS サポート。 |
FIPS は現在、 |
1.4.4. クラスターが使用するコンポーネントでの FIPS サポート
OpenShift Container Platform クラスター自体は FIPS 検証済みまたは進行中のモジュール (Modules in Process) モジュールを使用しますが、OpenShift Container Platform クラスターをサポートするシステムが暗号化の FIPS 検証済みまたは進行中のモジュール (Modules in Process) モジュールを使用していることを確認してください。
1.4.4.1. etcd
etcd に保存されるシークレットが FIPS 検証済みまたは進行中のモジュール (Modules in Process) の暗号を使用できるようにするには、ノードを FIPS モードで起動します。クラスターを FIPS モードでインストールした後に、FIPS 承認の aes cbc 暗号アルゴリズムを使用して etcd データを暗号化 できます。
1.4.4.2. ストレージ
ローカルストレージの場合は、RHEL が提供するディスク暗号化または RHEL が提供するディスク暗号化を使用する Container Native Storage を使用します。RHEL が提供するディスク暗号を使用するボリュームにすべてのデータを保存し、クラスター用に FIPS モードを有効にすることで、移動しないデータと移動するデータまたはネットワークデータは FIPS の検証済みまたは進行中のモジュール (Modules in Process) の暗号化によって保護されます。ノードのカスタマイズ で説明されているように、各ノードのルートファイルシステムを暗号化するようにクラスターを設定できます。
1.4.4.3. ランタイム
コンテナーに対して FIPS 検証済みまたは進行中のモジュール (Modules in Process) 暗号モジュールを使用しているホストで実行されていることを認識させるには、CRI-O を使用してランタイムを管理します。
1.4.5. FIPS モードでのクラスターのインストール
FIPS モードでクラスターをインストールするには、必要なインフラストラクチャーにカスタマイズされたクラスターをインストールする方法の説明に従ってください。クラスターをデプロイする前に、fips: true を install-config.yaml ファイルに設定していることを確認します。
クラスターで FIPS モードを有効にするには、FIPS モードで動作するように設定された RHEL コンピューターからインストールプログラムを実行する必要があります。RHEL での FIPS モードの設定の詳細は、FIPS モードでのシステムのインストール を参照してください。
Azure File ストレージを使用している場合、FIPS モードを有効にすることはできません。
AES CBC 暗号化を etcd データストアに適用するには、クラスターをインストールした後に etcd データの暗号化 プロセスを実行してください。
RHEL ノードをクラスターに追加する場合は、初回の起動前に FIPS モードをマシン上で有効にしていることを確認してください。RHEL コンピュートマシンの OpenShift Container Platform クラスターへの追加 および FIPS モードでのシステムのインストール を参照してください。
