Red Hat Summit第2章 FIPS サポート
FIPS (Federal Information Processing Standards) は、コンピューターセキュリティーおよび相互運用性の標準です。Streams for Apache Kafka で FIPS を使用するには、システムに FIPS 準拠の OpenJDK (Open Java Development Kit) がインストールされている必要があります。RHEL システムが FIPS 対応の場合、OpenJDK は Streams for Apache Kafka の実行時に自動的に FIPS モードに切り替わります。これにより、Streams for Apache Kafka が、OpenJDK によって提供される FIPS 準拠のセキュリティーライブラリーを使用するようになります。
パスワードの最小長
FIPS モードで実行する場合、SCRAM-SHA-512 パスワードは 32 文字以上にする必要があります。32 文字未満のパスワード長を使用するカスタム設定の Kafka クラスターがある場合は、設定を更新する必要があります。32 文字未満のパスワードを持つユーザーがいる場合は、必要な長さのパスワードを再生成する必要があります。
2.1. FIPS モードを有効にして Streams for Apache Kafka をインストールする
RHEL に Streams for Apache Kafka をインストールする前に、FIPS モードを有効にします。Red Hat は、後で FIPS モードを有効にするのではなく、FIPS モードを有効にして RHEL をインストールすることを推奨します。インストール時に FIPS モードを有効にすると、システムは FIPS で承認されるアルゴリズムと継続的な監視テストですべての鍵を生成するようになります。
RHEL を FIPS モードで実行する場合は、Streams for Apache Kafka の設定が FIPS に準拠している必要があります。さらに、Java 実装も FIPS に準拠している必要があります。
RHEL 上で Streams for Apache Kafka を FIPS モードで実行するには、FIPS 準拠の JDK が必要です。
手順
RHEL を FIPS モードでインストールします。
詳細は、RHEL ドキュメント のセキュリティー強化に関する情報を参照してください。
- Streams for Apache Kafka のインストールに進みます。
FIPS 準拠のアルゴリズムとプロトコルを使用するように Streams for Apache Kafka を設定します。
使用する場合は、次の設定が準拠していることを確認してください。
- SSL 暗号スイートと TLS バージョンは、JDK フレームワークでサポートされている必要があります。
- SCRAM-SHA-512 パスワードの長さは少なくとも 32 文字である必要があります。
FIPS 要件が変更された際には、インストール環境と Streams for Apache Kafka の設定が準拠していることを確認してください。
