第 9 章 Red Hat OpenStack Platform 上的联邦信息处理标准
联邦信息处理标准(FIPS)是由国家标准与技术研究所开发的一组安全要求(NIST)。在 Red Hat Enterprise Linux 9 中,支持的标准是 FIPS 出版物 140-3 ,加密模块的安全要求。有关支持的标准的详情,请查看 联邦信息处理标准 140-3。
这些安全要求定义可接受的加密算法,以及使用这些加密算法,包括安全模块。
- FIPS 140-3 验证是通过 FIPS 批准的加密算法来实现的,使用规定的方式通过验证的模块获得。
- FIPS 140-3 兼容性只能通过 FIPS 批准的加密算法来实现。
Red Hat OpenStack Platform 17 是 FIPS 140-3 兼容。您可以使用红帽提供的镜像来部署 overcloud,利用 FIPS 兼容性。
OpenStack 17.1 基于 Red Hat Enterprise Linux (RHEL) 9.2。RHEL 9.2 尚未提交用于 FIPS 验证。红帽计划获取 RHEL 9.0 和 RHEL 9.2 以及以后的 RHEL 9.x 偶数的次版本模块的 FIPS 验证,但没有具体的时间表。更新将包括在 Compliance Activities and Government Standards 中。
9.1. 启用 FIPS
启用 FIPS 后,您必须在安装 undercloud 和 overcloud 的过程中完成一系列步骤。
先决条件
- 已安装 Red Hat Enterprise Linux,并准备好开始安装 Red Hat OpenStack Platform director。
- 如果您使用 Red Hat Ceph Storage 作为存储后端,则部署 Red Hat Ceph Storage 6 或更高版本。
流程
在 undercloud 上启用 FIPS:
在您要在其上安装 undercloud 的系统中启用 FIPS:
fips-mode-setup --enable
注意此步骤会将
fips=1
内核参数添加到 GRUB 配置文件中。因此,只有 Red Hat Enterprise Linux 使用的加密算法模块处于 FIPS 模式,且只使用标准批准的加密算法。- 重启系统:
验证是否启用了 FIPS:
fips-mode-setup --check
- 安装和配置 Red Hat OpenStack Platform director。有关更多信息,请参阅在 undercloud 上安装 director。
为 overcloud 准备启用了 FIPS 的镜像。
为 overcloud 安装镜像:
sudo dnf -y install rhosp-director-images-uefi-fips-x86_64
在
stack
用户的主目录中创建images
目录:$ mkdir /home/stack/images $ cd /home/stack/images
将镜像提取到您的主目录中:
for i in /usr/share/rhosp-director-images/*fips*.tar; do tar -xvf $i; done
在上传镜像前,您必须创建符号链接:
ln -s ironic-python-agent-fips.initramfs ironic-python-agent.initramfs ln -s ironic-python-agent-fips.kernel ironic-python-agent.kernel ln -s overcloud-hardened-uefi-full-fips.qcow2 overcloud-hardened-uefi-full.qcow2
将启用了 FIPS 的 overcloud 镜像上传到镜像服务:
openstack overcloud image upload --update-existing --whole-disk
注意即使当前没有 OpenStack 镜像服务中的镜像,您必须使用
--update-existing
标志。
在 overcloud 上启用 FIPS。
为特定于您的环境的 overcloud 部署配置模板。在部署命令中包含所有配置模板,包括 fips.yaml :
openstack overcloud deploy ... -e /usr/share/openstack-tripleo-heat-templates/environments/fips.yaml