1.4. シームレスな FIPS サポート
FIPS (Federal Information Processing Standards) は、コンピューターセキュリティーおよび相互運用性の標準です。FIPS 対応の OpenShift クラスターで Streams for Apache Kafka を実行すると、Streams for Apache Kafka コンテナーイメージで使用される OpenJDK が自動的に FIPS モードに切り替わります。バージョン 2.3 以降、Streams for Apache Kafka は、変更や特別な設定を行わなくても、FIPS 対応の OpenShift クラスター上で実行できるようになりました。OpenJDK の FIPS 準拠のセキュリティーライブラリーのみを使用します。
FIPS 対応の OpenShift クラスターを使用している場合は、通常の OpenShift クラスターと比較してメモリー消費量が増加する可能性があります。問題を回避するには、メモリー要求を少なくとも 512Mi に増やすことを推奨します。
NIST 検証プログラムおよび検証済みモジュールの詳細は、NIST Web サイトの Cryptographic Module Validation Program を参照してください。
FIPS のサポートに関しては、テクノロジープレビューである Streams for Apache Kafka Proxy および Streams for Apache Kafka Console との互換性はテストされていません。正常に機能することが期待されますが、現時点では完全なサポートを保証することはできません。
1.4.1. パスワードの最小長
FIPS モードで実行する場合、SCRAM-SHA-512 パスワードは 32 文字以上にする必要があります。Streams for Apache Kafka 2.3 からは、Streams for Apache Kafka User Operator のデフォルトのパスワード長も 32 文字に設定されています。32 文字未満のパスワード長を使用するカスタム設定の Kafka クラスターがある場合は、設定を更新する必要があります。32 文字未満のパスワードを持つユーザーがいる場合は、必要な長さのパスワードを再生成する必要があります。これを行うには、たとえば、ユーザーシークレットを削除し、User Operator が適切な長さの新しいパスワードを作成するのを待ちます。