第 6 章 Red Hat OpenStack Services on Red Hat OpenStack Services on OpenShift 的联邦信息处理标准
联邦信息处理标准(FIPS)是由国家标准与技术研究院(NIST)开发的一系列安全要求。在 Red Hat Enterprise Linux 9 中,支持的标准是 FIPS 出版物 140-3: Cryptographic 模块的安全要求。有关支持的标准的详情,请查看 联邦信息处理标准 140-3。
FIPS 140-3 验证的加密模块是已完成的 NIST CMVP 进程的加密库,并且已经从 NIST 收到了证书。有关 Red Hat FIPS 140 验证模块的当前信息,请参阅 Compliance Activities 和 Government Standards。
当在启用了 FIPS 的 Red Hat OpenShift Container Platform (RHOCP)集群中安装 RHOSO 时,OpenShift (RHOSO)上的 Red Hat OpenStack Services 中默认启用 FIPS。您必须在 RHOCP 的初始安装中启用 FIPS。有关以 FIPS 模式安装 RHOCP 集群的更多信息,请参阅 在 FIPS 模式中安装集群。
当您使用系统范围的加密策略时,FIPS 140 模式
、RHEL 和 CoreOS 被设计为将核心加密模块和库的使用限制为 FIPS 验证的已验证。但是,paramiko 在代码中实施加密功能,且未经过 FIPS 验证。RHOSO 核心组件使用提交到 NIST 进行 FIPS 验证的 RHEL 加密库,除非它们调用 paramiko。
6.1. 准备在 OpenShift control plane 上安装启用了 FIPS 的 Red Hat OpenStack Services
在 OpenShift (RHOSO) control plane 上安装 Red Hat OpenStack Services 前,您必须修改 iscsi.conf
以删除 MD5 和 SHA1。control plane 的 iSCSId 配置不是由 RHOSO operator 处理,因此您必须在 Red Hat OpenShift Container Platform (RHOCP)集群上完成此步骤。
先决条件
- 您有一个已存在的 RHOCP 集群,启用了 FIPS。有关 RHOCP 上的 FIPS 的更多信息,请参阅对 FIPS 加密的支持。
流程
-
在每个节点上,确保
/etc/iscsi/iscsi.conf
文件中的node.session.auth.chap_algs
的值设置为SHA3-256,SHA256
。