Red Hat Summit第2章 FIPS サポート
FIPS(Federal Information Processing Standards) は、コンピューターセキュリティーおよび相互運用性の標準です。AMQ Streams で FIPS を使用するには、FIPS 準拠の OpenJDK (Open Java Development Kit) がシステムにインストールされている必要があります。RHEL システムが FIPS 対応である場合、AMQ Streams の実行時に OpenJDK は自動的に FIPS モードに切り替わります。これにより、AMQ Streams は OpenJDK が提供する FIPS 準拠のセキュリティーライブラリーを使用するようになります。
パスワードの最小長
FIPS モードで実行する場合、SCRAM-SHA-512 パスワードは 32 文字以上にする必要があります。32 文字未満のパスワード長を使用するカスタム設定の Kafka クラスターがある場合は、設定を更新する必要があります。32 文字未満のパスワードを持つユーザーがいる場合は、必要な長さのパスワードを再生成する必要があります。
2.1. FIPS モードを有効にして AMQ Streams をインストールする
RHEL に AMQ Streams をインストールする前に、FIPS モードを有効にします。Red Hat は、後で FIPS モードを有効にするのではなく、FIPS モードを有効にして RHEL をインストールすることを推奨します。インストール時に FIPS モードを有効にすると、システムは FIPS で承認されるアルゴリズムと継続的な監視テストですべてのキーを生成するようになります。
RHEL を FIPS モードで実行する場合は、AMQ Streams 設定が FIPS に準拠していることを確認する必要があります。さらに、Java 実装も FIPS に準拠している必要があります。
RHEL 上で AMQ Streams を FIPS モードで実行するには、FIPS 準拠の JDK が必要です。OpenJDK 17.0.6 以降を使用することを推奨します。
手順
RHEL を FIPS モードでインストールします。
詳細については、RHEL ドキュメント のセキュリティー強化に関する情報を参照してください。
- AMQ Streams のインストールに進みます。
FIPS 準拠のアルゴリズムとプロトコルを使用するように AMQ Streams を設定します。
使用する場合は、次の設定が準拠していることを確認してください。
- SSL 暗号スイートと TLS バージョンは、JDK フレームワークでサポートされている必要があります。
- SCRAM-SHA-512 パスワードの長さは少なくとも 32 文字である必要があります。
FIPS 要件の変更に応じて、インストール環境と AMQ Streams 設定が準拠していることを確認してください。
