第 4 章 支持 FIPS 加密
您可以在 x86_64
、ppc64le
和 s390x
架构上安装使用 FIPS 验证的/Modules in Process 加密库的 OpenShift Container Platform 集群。
对于集群中的 Red Hat Enterprise Linux CoreOS(RHCOS)机器,当机器根据 install-config.yaml
文件中的选项的状态进行部署时,会应用这个更改,该文件管理用户在集群部署过程中可以更改的集群选项。在 Red Hat Enterprise Linux(RHEL)机器中,您必须在计划用作 worker 机器的机器上安装操作系统时启用 FIPS 模式。这些配置方法可确保集群满足 FIPS 合规审核的要求:在初始系统引导前,只启用经 FIPS 验证的/Modules in Process 加密软件包。
因为 FIPS 必须在集群首次引导的操作系统前启用,所以您不能在部署集群后启用 FIPS。
4.1. OpenShift Container Platform 中的 FIPS 验证
OpenShift Container Platform 在 RHEL 和 RHCOS 中使用特定的 FIPS 验证的/Modules in Process 模块用于使用它们的操作系统组件。请参阅 RHEL8 core crypto 组件。例如,当用户 SSH 到 OpenShift Container Platform 集群和容器时,这些连接会被正确加密。
OpenShift Container Platform 组件以 Go 语言编写,并使用红帽的 golang 编译器构建。当您为集群启用 FIPS 模式时,需要加密签名的所有 OpenShift Container Platform 组件都会调用 RHEL 和 RHCOS 加密库。
属性 | 限制 |
---|---|
RHEL 8 和 RHCOS 操作系统支持 FIPS。 | FIPS 实现不提供单个函数来计算哈希函数并验证基于该哈希的键。在以后的 OpenShift Container Platform 版本中,将继续评估并改进此限制。 |
CRI-O 运行时支持 FIPS。 | |
OpenShift Container Platform 服务支持 FIPS。 | |
FIPS 验证的/Modules in Process 的加密模块和算法,它们从 RHEL 8 和 RHCOS 二进制文件和镜像中获得。 | |
使用 FIPS 兼容 golang 编译器。 | TLS FIPS 并不完善,但计划在将来的 OpenShift Container Platform 版本中被支持。 |
支持多个架构中的 FIPS。 |
目前,只有使用 |