第9章 Red Hat OpenStack Platform の連邦情報処理標準
Federal Information Processing Standards (FIPS) は、National Institute of Standards and Technology (NIST) によって開発された一連のセキュリティー要件です。Red Hat Enterprise Linux 9 でサポートされている標準は、FIPS 140-3: 暗号モジュールのセキュリティー要件 です。サポートされている標準の詳細は、Federal Information Processing Standards Publication 140-3 を参照してください。
これらのセキュリティー要件は、受け入れ可能な暗号化アルゴリズムと、セキュリティーモジュールを含むそれらの暗号化アルゴリズムの使用を定義します。
- FIPS 140-3 検証は、FIPS を通じて承認された暗号アルゴリズムのみを、規定された方法で、検証済みモジュールを通じて使用することによって実現されます。
- FIPS 140-3 との互換性は、FIPS を通じて承認された暗号化アルゴリズムのみを使用することによって実現されます。
Red Hat OpenStack Platform 17 は FIPS 140-3 と互換性があります。Red Hat が提供するイメージを使用してオーバークラウドをデプロイすることで、FIPS 互換性を利用できます。
OpenStack 17.1 は Red Hat Enterprise Linux (RHEL) 9.2 に基づいています。RHEL 9.2 はまだ FIPS 認定のために提出されていません。ただし、特定の期限は確約できませんが、Red Hat は RHEL 9.0 および RHEL 9.2 モジュール、その後は RHEL 9.x のマイナーリリースについても、FIPS 認定を取得することを想定しています。更新は Compliance Activities and Government Standards から入手できる予定です。
9.1. FIPS を有効にする
FIPS を有効にする場合は、アンダークラウドとオーバークラウドのインストール中に一連の手順を完了する必要があります。
前提条件
- Red Hat Enterprise Linux のインストールが完了し、Red Hat OpenStack Platform director のインストールを開始する準備が整いました。
- Red Hat Ceph Storage をストレージバックエンドとして使用している場合は、Red Hat Ceph Storage 6 以降がデプロイされています。
手順
アンダークラウドで FIPS を有効にします。
アンダークラウドをインストールする予定のシステムで FIPS を有効にします。
fips-mode-setup --enable
注記この手順により、
fips=1
カーネルパラメーターが GRUB 設定ファイルに追加されます。その結果、Red Hat Enterprise Linux で使用される暗号化アルゴリズムモジュールのみが FIPS モードになり、標準によって承認された暗号化アルゴリズムのみが使用されます。- システムを再起動します。
FIPS が有効になっていることを確認します。
fips-mode-setup --check
- Red Hat OpenStack Platform director をインストールして設定します。詳細は、アンダークラウドに director をインストールする を参照してください。
オーバークラウド用に FIPS 対応のイメージを準備します。
オーバークラウドのイメージをインストールします。
sudo dnf -y install rhosp-director-images-uefi-fips-x86_64
stack
ユーザーのホームディレクトリーにimages
ディレクトリーを作成します。$ mkdir /home/stack/images $ cd /home/stack/images
イメージをホームディレクトリーにデプロイします。
for i in /usr/share/rhosp-director-images/*fips*.tar; do tar -xvf $i; done
イメージをアップロードする前にシンボリックリンクを作成する必要があります。
ln -s ironic-python-agent-fips.initramfs ironic-python-agent.initramfs ln -s ironic-python-agent-fips.kernel ironic-python-agent.kernel ln -s overcloud-hardened-uefi-full-fips.qcow2 overcloud-hardened-uefi-full.qcow2
FIPS 対応のオーバークラウドイメージをイメージサービスにアップロードします。
openstack overcloud image upload --update-existing --whole-disk
注記現時点で OpenStack Image サービスにイメージがない場合でも、
--update-existing
フラグを使用する必要があります。
オーバークラウドで FIPS を有効にします。
環境に固有のオーバークラウドデプロイメント用のテンプレートを設定します。fips.yaml を含むすべての設定テンプレートをデプロイコマンドに含めます。
openstack overcloud deploy ... -e /usr/share/openstack-tripleo-heat-templates/environments/fips.yaml