第9章 Red Hat OpenStack Platform の連邦情報処理標準


Federal Information Processing Standards (FIPS) は、National Institute of Standards and Technology (NIST) によって開発された一連のセキュリティー要件です。Red Hat Enterprise Linux 9 でサポートされている標準は、FIPS 140-3: 暗号モジュールのセキュリティー要件 です。サポートされている標準の詳細は、Federal Information Processing Standards Publication 140-3 を参照してください。

これらのセキュリティー要件は、受け入れ可能な暗号化アルゴリズムと、セキュリティーモジュールを含むそれらの暗号化アルゴリズムの使用を定義します。

  • FIPS 140-3 検証は、FIPS を通じて承認された暗号アルゴリズムのみを、規定された方法で、検証済みモジュールを通じて使用することによって実現されます。
  • FIPS 140-3 との互換性は、FIPS を通じて承認された暗号化アルゴリズムのみを使用することによって実現されます。

Red Hat OpenStack Platform 17 は FIPS 140-3 と互換性があります。Red Hat が提供するイメージを使用してオーバークラウドをデプロイすることで、FIPS 互換性を利用できます。

注記

OpenStack 17.1 は Red Hat Enterprise Linux (RHEL) 9.2 に基づいています。RHEL 9.2 はまだ FIPS 認定のために提出されていません。ただし、特定の期限は確約できませんが、Red Hat は RHEL 9.0 および RHEL 9.2 モジュール、その後は RHEL 9.x のマイナーリリースについても、FIPS 認定を取得することを想定しています。更新は Compliance Activities and Government Standards から入手できる予定です。

9.1. FIPS を有効にする

FIPS を有効にする場合は、アンダークラウドとオーバークラウドのインストール中に一連の手順を完了する必要があります。

前提条件

  • Red Hat Enterprise Linux のインストールが完了し、Red Hat OpenStack Platform director のインストールを開始する準備が整いました。
  • Red Hat Ceph Storage をストレージバックエンドとして使用している場合は、Red Hat Ceph Storage 6 以降がデプロイされています。

手順

  1. アンダークラウドで FIPS を有効にします。

    1. アンダークラウドをインストールする予定のシステムで FIPS を有効にします。

      fips-mode-setup --enable
      注記

      この手順により、fips=1 カーネルパラメーターが GRUB 設定ファイルに追加されます。その結果、Red Hat Enterprise Linux で使用される暗号化アルゴリズムモジュールのみが FIPS モードになり、標準によって承認された暗号化アルゴリズムのみが使用されます。

    2. システムを再起動します。
    3. FIPS が有効になっていることを確認します。

      fips-mode-setup --check
    4. Red Hat OpenStack Platform director をインストールして設定します。詳細は、アンダークラウドに director をインストールする を参照してください。
  2. オーバークラウド用に FIPS 対応のイメージを準備します。

    1. オーバークラウドのイメージをインストールします。

      sudo dnf -y install rhosp-director-images-uefi-fips-x86_64
    2. stack ユーザーのホームディレクトリーに images ディレクトリーを作成します。

      $ mkdir /home/stack/images
      $ cd /home/stack/images
    3. イメージをホームディレクトリーにデプロイします。

      for i in /usr/share/rhosp-director-images/*fips*.tar; do tar -xvf $i; done
    4. イメージをアップロードする前にシンボリックリンクを作成する必要があります。

      ln -s ironic-python-agent-fips.initramfs       ironic-python-agent.initramfs
      ln -s ironic-python-agent-fips.kernel          ironic-python-agent.kernel
      ln -s overcloud-hardened-uefi-full-fips.qcow2  overcloud-hardened-uefi-full.qcow2
    5. FIPS 対応のオーバークラウドイメージをイメージサービスにアップロードします。

       openstack overcloud image upload --update-existing --whole-disk
      注記

      現時点で OpenStack Image サービスにイメージがない場合でも、--update-existing フラグを使用する必要があります。

  3. オーバークラウドで FIPS を有効にします。

    環境に固有のオーバークラウドデプロイメント用のテンプレートを設定します。fips.yaml を含むすべての設定テンプレートをデプロイコマンドに含めます。

    openstack overcloud deploy
    ...
    -e /usr/share/openstack-tripleo-heat-templates/environments/fips.yaml
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.