第 9 章 Red Hat OpenStack Platform 上的联邦信息处理标准


联邦信息处理标准(FIPS)是由国家标准与技术研究所开发的一组安全要求(NIST)。在 Red Hat Enterprise Linux 9 中,支持的标准是 FIPS 出版物 140-3 ,加密模块的安全要求。有关支持的标准的详情,请查看 联邦信息处理标准 140-3

这些安全要求定义可接受的加密算法,以及使用这些加密算法,包括安全模块。

  • FIPS 140-3 验证是通过 FIPS 批准的加密算法来实现的,使用规定的方式通过验证的模块获得。
  • FIPS 140-3 兼容性只能通过 FIPS 批准的加密算法来实现。

Red Hat OpenStack Platform 17 是 FIPS 140-3 兼容。您可以使用红帽提供的镜像来部署 overcloud,利用 FIPS 兼容性。

注意

OpenStack 17.1 基于 Red Hat Enterprise Linux (RHEL) 9.2。RHEL 9.2 尚未提交用于 FIPS 验证。红帽计划获取 RHEL 9.0 和 RHEL 9.2 以及以后的 RHEL 9.x 偶数的次版本模块的 FIPS 验证,但没有具体的时间表。更新将包括在 Compliance Activities and Government Standards 中。

9.1. 启用 FIPS

启用 FIPS 后,您必须在安装 undercloud 和 overcloud 的过程中完成一系列步骤。

先决条件

  • 已安装 Red Hat Enterprise Linux,并准备好开始安装 Red Hat OpenStack Platform director。
  • 如果您使用 Red Hat Ceph Storage 作为存储后端,则部署 Red Hat Ceph Storage 6 或更高版本。

流程

  1. 在 undercloud 上启用 FIPS:

    1. 在您要在其上安装 undercloud 的系统中启用 FIPS:

      fips-mode-setup --enable
      注意

      此步骤会将 fips=1 内核参数添加到 GRUB 配置文件中。因此,只有 Red Hat Enterprise Linux 使用的加密算法模块处于 FIPS 模式,且只使用标准批准的加密算法。

    2. 重启系统:
    3. 验证是否启用了 FIPS:

      fips-mode-setup --check
    4. 安装和配置 Red Hat OpenStack Platform director。有关更多信息,请参阅在 undercloud 上安装 director
  2. 为 overcloud 准备启用了 FIPS 的镜像。

    1. 为 overcloud 安装镜像:

      sudo dnf -y install rhosp-director-images-uefi-fips-x86_64
    2. stack 用户的主目录中创建 images 目录:

      $ mkdir /home/stack/images
      $ cd /home/stack/images
    3. 将镜像提取到您的主目录中:

      for i in /usr/share/rhosp-director-images/*fips*.tar; do tar -xvf $i; done
    4. 在上传镜像前,您必须创建符号链接:

      ln -s ironic-python-agent-fips.initramfs       ironic-python-agent.initramfs
      ln -s ironic-python-agent-fips.kernel          ironic-python-agent.kernel
      ln -s overcloud-hardened-uefi-full-fips.qcow2  overcloud-hardened-uefi-full.qcow2
    5. 将启用了 FIPS 的 overcloud 镜像上传到镜像服务:

       openstack overcloud image upload --update-existing --whole-disk
      注意

      即使当前没有 OpenStack 镜像服务中的镜像,您必须使用 --update-existing 标志。

  3. 在 overcloud 上启用 FIPS。

    为特定于您的环境的 overcloud 部署配置模板。在部署命令中包含所有配置模板,包括 fips.yaml :

    openstack overcloud deploy
    ...
    -e /usr/share/openstack-tripleo-heat-templates/environments/fips.yaml
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.