A Federal Information Process Standard (FIPS) engedélyezése az Azure Kubernetes Service (AKS) csomópontkészleteihez

  • Cikk

A Federal Information Processing Standard (FIPS) 140-2 az Egyesült Államok kormányzati szabványa, amely az informatikai termékek és rendszerek titkosítási moduljaira vonatkozó minimális biztonsági követelményeket határozza meg. Az Azure Kubernetes Service (AKS) lehetővé teszi Linux- és Windows-csomópontkészletek létrehozását a FIPS 140-2 engedélyezésével. A FIPS-kompatibilis csomópontkészleteken futó üzemelő példányok a titkosítási modulokkal megnövelt biztonságot nyújthatnak, és segíthetnek biztosítani a biztonsági ellenőrzéseknek való megfelelőséget a FedRAMP-megfelelőség részeként. További információ a FIPS 140-2-ről: Federal Information Processing Standard (FIPS) 140.

Előfeltételek

  • Az Azure CLI 2.32.0-s vagy újabb verziója telepítve és konfigurálva van. A verzió azonosításához futtassa a következőt: az --version. Az Azure CLI telepítésével vagy frissítésével kapcsolatos további információkért lásd az Azure CLI telepítését ismertető témakört.

Feljegyzés

Az AKS Monitorozási bővítmény támogatja a FIPS-kompatibilis csomópontkészleteket az Ubuntu, az Azure Linux és a Windows 3.1.17-es (Linux) és Win-3.1.17 -es (Windows) verziójától kezdve.

Korlátozások

  • A FIPS-kompatibilis csomópontkészletek a következő korlátozásokkal rendelkeznek:
    • A FIPS-kompatibilis csomópontkészletekhez a Kubernetes 1.19-es és újabb verziója szükséges.
    • A FIPS-hez használt mögöttes csomagok vagy modulok frissítéséhez csomópontrendszerkép-frissítést kell használnia.
    • A FIPS-csomópontokon lévő tárolórendszerképek nem lettek értékelve a FIPS-megfelelőség szempontjából.
    • A CIFS-megosztás csatlakoztatása meghiúsul, mert a FIPS letilt néhány hitelesítési modult. A probléma megkerüléséhez tekintse meg a fájlmegosztás FIPS-kompatibilis csomópontkészletre való csatlakoztatásának hibáit.

Fontos

A FIPS-kompatibilis Linux-rendszerkép más rendszerkép, mint a Linux-alapú csomópontkészletekhez használt alapértelmezett Linux-rendszerkép. A FIPS csomópontkészleten való engedélyezéséhez létre kell hoznia egy új Linux-alapú csomópontkészletet. A FIPS nem engedélyezhető a meglévő csomópontkészleteken.

A FIPS-kompatibilis csomópontrendszerképek verziószáma eltérő lehet, például kernelverzió, mint a FIPS-kompatibilis rendszerképek. A FIPS-kompatibilis csomópontkészletek és csomópontlemezképek frissítési ciklusa eltérhet a FIPS-kompatibilis csomópontkészletektől és rendszerképektől.

FIPS-kompatibilis Linux-csomópontkészlet létrehozása

  1. Hozzon létre egy FIPS-kompatibilis Linux-csomópontkészletet a az aks nodepool add paraméterrel rendelkező --enable-fips-image paranccsal.

    az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image

    Feljegyzés

    A paramétert a --enable-fips-imageaz aks create paranccsal is használhatja a fürt létrehozásakor a FIPS alapértelmezett csomópontkészleten való engedélyezéséhez. Ha így létrehozott fürthöz ad hozzá csomópontkészleteket, akkor is a paramétert kell használnia, --enable-fips-image amikor csomópontkészleteket ad hozzá egy FIPS-kompatibilis csomópontkészlet létrehozásához.

  2. Ellenőrizze, hogy a csomópontkészlet FIPS-kompatibilis-e az az aks show agentPoolProfiles enableFIPS értékének parancsával és lekérdezésével.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    Az alábbi példakimenet azt mutatja, hogy a fipsnp-csomópontkészlet FIPS-kompatibilis:

    Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

  3. A parancs használatával listázhatja a kubectl get nodes csomópontokat.

    kubectl get nodes

    Az alábbi példakimenet a fürt csomópontjainak listáját jeleníti meg. A kezdő aks-fipsnp csomópontok a FIPS-kompatibilis csomópontkészlet részét képezik.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  4. Futtasson egy üzembe helyezést egy interaktív munkamenettel a FIPS-kompatibilis csomópontkészlet egyik csomópontján a kubectl debug paranccsal.

    kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  5. Az interaktív munkamenet kimenetében ellenőrizze, hogy a FIPS titkosítási kódtárak engedélyezve vannak-e. A kimenetnek a következő példakimenethez hasonlóan kell kinéznie:

    root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

A FIPS-kompatibilis csomópontkészletek kubernetes.azure.com/fips_enabled=true címkével is rendelkeznek, amellyel az üzemelő példányok megcélozhatják ezeket a csomópontkészleteket.

FIPS-kompatibilis Windows-csomópontkészlet létrehozása

  1. Hozzon létre egy FIPS-kompatibilis Windows-csomópontkészletet a az aks nodepool add paraméterrel rendelkező --enable-fips-image paranccsal. A Linux-alapú csomópontkészletekkel ellentétben a Windows-csomópontkészletek ugyanazt a rendszerképkészletet használják.

    az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image \
    --os-type Windows

  2. Ellenőrizze, hogy a csomópontkészlet FIPS-kompatibilis-e az az aks show agentPoolProfiles enableFIPS értékének parancsával és lekérdezésével.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

  3. Ellenőrizze, hogy a Windows-csomópontkészletek hozzáférnek-e a FIPS-titkosítási kódtárakhoz . Ehhez hozzon létre RDP-kapcsolatot egy Windows-csomóponthoz egy FIPS-kompatibilis csomópontkészletben, és ellenőrizze a beállításjegyzéket. A Futtatás alkalmazásból írja be a következőtregedit:

  4. Keresse meg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy a beállításjegyzékben.

  5. Ha Enabled 1 értékre van állítva, akkor a FIPS engedélyezve van.

Screenshot shows a picture of the registry editor to the FIPS Algorithm Policy, and it being enabled.

A FIPS-kompatibilis csomópontkészletek kubernetes.azure.com/fips_enabled=true címkével is rendelkeznek, amellyel az üzemelő példányok megcélozhatják ezeket a csomópontkészleteket.

Következő lépések

Az AKS biztonságával kapcsolatos további információkért tekintse meg az Azure Kubernetes Service (AKS) fürtbiztonságának és frissítéseinek ajánlott eljárásait.