A Federal Information Process Standard (FIPS) engedélyezése az Azure Kubernetes Service (AKS) csomópontkészleteihez

A Federal Information Processing Standard (FIPS) 140-2 az Egyesült Államok kormányzati szabványa, amely az informatikai termékek és rendszerek titkosítási moduljaira vonatkozó minimális biztonsági követelményeket határozza meg. Az Azure Kubernetes Service (AKS) lehetővé teszi Linux- és Windows-csomópontkészletek létrehozását a FIPS 140-2 engedélyezésével. A FIPS-kompatibilis csomópontkészleteken futó üzemelő példányok a titkosítási modulokkal megnövelt biztonságot nyújthatnak, és segíthetnek biztosítani a biztonsági ellenőrzéseknek való megfelelőséget a FedRAMP-megfelelőség részeként. További információ a FIPS 140-2-ről: Federal Information Processing Standard (FIPS) 140.

Előfeltételek

• Az Azure CLI 2.32.0-s vagy újabb verziója telepítve és konfigurálva van. A verzió megkereséséhez futtassa a következőt: az --version. Az Azure CLI telepítésével vagy frissítésével kapcsolatos további információkért lásd az Azure CLI telepítését ismertető témakört.

Feljegyzés

Az AKS Monitorozási bővítmény támogatja a FIPS-kompatibilis csomópontkészleteket az Ubuntu, az Azure Linux és a Windows 3.1.17-es (Linux) és Win-3.1.17 -es (Windows) verziójától kezdve.

Korlátozások

• A FIPS-kompatibilis csomópontkészletek a következő korlátozásokkal rendelkeznek:
  • A FIPS-kompatibilis csomópontkészletekhez a Kubernetes 1.19-es és újabb verziója szükséges.
  • A FIPS-hez használt mögöttes csomagok vagy modulok frissítéséhez csomópontrendszerkép-frissítést kell használnia.
  • A FIPS-csomópontokon lévő tárolórendszerképek nem lettek értékelve a FIPS-megfelelőség szempontjából.
  • A CIFS-megosztás csatlakoztatása meghiúsul, mert a FIPS letilt néhány hitelesítési modult. A probléma megkerüléséhez tekintse meg a fájlmegosztás FIPS-kompatibilis csomópontkészletre való csatlakoztatásának hibáit.

Fontos

A FIPS-kompatibilis Linux-rendszerkép más rendszerkép, mint a Linux-alapú csomópontkészletekhez használt alapértelmezett Linux-rendszerkép.

A FIPS-kompatibilis csomópontrendszerképek verziószáma eltérő lehet, például kernelverzió, mint a FIPS-kompatibilis rendszerképek. A FIPS-kompatibilis csomópontkészletek és csomópontlemezképek frissítési ciklusa eltérhet a FIPS-kompatibilis csomópontkészletektől és rendszerképektől.

Támogatott operációsrendszer-verziók

FIPS-kompatibilis csomópontkészleteket minden támogatott operációsrendszer-típuson, Linuxon és Windowson létrehozhat. Azonban nem minden operációsrendszer-verzió támogatja a FIPS-kompatibilis csomópontkészleteket. Az új operációsrendszer-verzió kiadása után általában van egy várakozási időszak, mielőtt a FIPS-kompatibilis lenne.

Az alábbi táblázat a támogatott operációsrendszer-verziókat tartalmazza:

Operációs rendszer típusa	Operációsrendszer-termékváltozat	FIPS-megfelelőség
Linux	Ubuntu	Támogatott
Linux	Azure Linux	Támogatott
Windows	Windows Server 2019	Támogatott
Windows	Windows Server 2022	Támogatott

A FIPS-kompatibilis Ubuntu kérése esetén, ha az alapértelmezett Ubuntu-verzió nem támogatja a FIPS-t, az AKS alapértelmezés szerint az Ubuntu legújabb FIPS által támogatott verziójára lesz alapértelmezett. Az Ubuntu 22.04 például alapértelmezett a Linux-csomópontkészletekhez. Mivel a 22.04 jelenleg nem támogatja a FIPS-t, az AKS alapértelmezés szerint Ubuntu 20.04 linuxos FIPS-kompatibilis csomópontkészletekhez.

Feljegyzés

Korábban a GetOSOptions API-val meghatározhatja, hogy egy adott operációs rendszer támogatja-e a FIPS-t. A GetOSOptions API elavult, és a 2024-05-01-től kezdődően már nem fog szerepelni az új AKS API-verziókban.

FIPS-kompatibilis Linux-csomópontkészlet létrehozása

1. Hozzon létre egy FIPS-kompatibilis Linux-csomópontkészletet a az aks nodepool add paraméterrel rendelkező --enable-fips-image paranccsal.

   az aks nodepool add \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name fipsnp \
       --enable-fips-image
   

   Feljegyzés

   A paramétert a --enable-fips-image az aks create paranccsal is használhatja a fürt létrehozásakor a FIPS alapértelmezett csomópontkészleten való engedélyezéséhez. Ha így létrehozott fürthöz ad hozzá csomópontkészleteket, akkor is a paramétert kell használnia, --enable-fips-image amikor csomópontkészleteket ad hozzá egy FIPS-kompatibilis csomópontkészlet létrehozásához.

2. Ellenőrizze, hogy a csomópontkészlet FIPS-kompatibilis-e az az aks show agentPoolProfiles enableFIPS értékének parancsával és lekérdezésével.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

   Az alábbi példakimenet azt mutatja, hogy a fipsnp-csomópontkészlet FIPS-kompatibilis:

   Name       enableFips
   ---------  ------------
   fipsnp     True
   nodepool1  False  
   

3. A parancs használatával listázhatja a kubectl get nodes csomópontokat.

   kubectl get nodes
   

   Az alábbi példakimenet a fürt csomópontjainak listáját jeleníti meg. A kezdő aks-fipsnp csomópontok a FIPS-kompatibilis csomópontkészlet részét képezik.

   NAME                                STATUS   ROLES   AGE     VERSION
   aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
   aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
   aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
   aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9
   

4. Futtasson egy üzembe helyezést egy interaktív munkamenettel a FIPS-kompatibilis csomópontkészlet egyik csomópontján a kubectl debug paranccsal.

   kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
   

5. Az interaktív munkamenet kimenetében ellenőrizze, hogy a FIPS titkosítási kódtárak engedélyezve vannak-e. A kimenetnek a következő példakimenethez hasonlóan kell kinéznie:

   root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
   1
   

A FIPS-kompatibilis csomópontkészletek kubernetes.azure.com/fips_enabled=true címkével is rendelkeznek, amellyel az üzemelő példányok megcélozhatják ezeket a csomópontkészleteket.

FIPS-kompatibilis Windows-csomópontkészlet létrehozása

1. Hozzon létre egy FIPS-kompatibilis Windows-csomópontkészletet a az aks nodepool add paraméterrel rendelkező --enable-fips-image paranccsal. A Linux-alapú csomópontkészletekkel ellentétben a Windows-csomópontkészletek ugyanazt a rendszerképkészletet használják.

   az aks nodepool add \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name fipsnp \
       --enable-fips-image \
       --os-type Windows
   

2. Ellenőrizze, hogy a csomópontkészlet FIPS-kompatibilis-e az az aks show agentPoolProfiles enableFIPS értékének parancsával és lekérdezésével.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

3. Ellenőrizze, hogy a Windows-csomópontkészletek hozzáférnek-e a FIPS-titkosítási kódtárakhoz . Ehhez hozzon létre RDP-kapcsolatot egy Windows-csomóponthoz egy FIPS-kompatibilis csomópontkészletben, és ellenőrizze a beállításjegyzéket. A Futtatás alkalmazásból írja be a következőtregedit:

4. Keresse meg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy a beállításjegyzékben.

5. Ha Enabled 1 értékre van állítva, akkor a FIPS engedélyezve van.

A FIPS-kompatibilis csomópontkészletek kubernetes.azure.com/fips_enabled=true címkével is rendelkeznek, amellyel az üzemelő példányok megcélozhatják ezeket a csomópontkészleteket.

Meglévő csomópontkészlet frissítése a FIPS engedélyezéséhez vagy letiltásához

A meglévő Linux-csomópontkészletek frissíthetők a FIPS engedélyezéséhez vagy letiltásához. Ha a csomópontkészleteket nem FIPS-ről FIPS-re szeretné migrálni, először ellenőrizze, hogy az alkalmazás megfelelően működik-e egy tesztkörnyezetben, mielőtt éles környezetbe migrálja. Az alkalmazás tesztelési környezetben való érvényesítésének meg kell akadályoznia a FIPS-kernel által okozott problémákat, amelyek blokkolnak néhány gyenge titkosítási vagy titkosítási algoritmust, például egy nem FIPS-kompatibilis MD4-algoritmust.

Feljegyzés

Ha egy meglévő Linux-csomópontkészletet frissít a FIPS engedélyezéséhez vagy letiltásához, a csomópontkészlet frissítése a fips és a nem fips rendszerkép között mozog. Ez a csomópontkészlet-frissítés elindít egy újraimázst a frissítés befejezéséhez. Emiatt a csomópontkészlet frissítése eltarthat néhány percig.

Előfeltételek

• Az Azure CLI 2.64.0-s vagy újabb verziója. A verzió megkereséséhez futtassa a következőt: az --version. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.

FIPS engedélyezése meglévő csomópontkészleten

A meglévő Linux-csomópontkészletek frissíthetők a FIPS engedélyezéséhez. Meglévő csomópontkészlet frissítésekor a csomópont lemezképe az aktuális rendszerképről az ugyanazon operációsrendszer-termékváltozat ajánlott FIPS-rendszerképére változik.

1. Frissítsen egy csomópontkészletet az [az aks nodepool update][az-aks-nodepool-update] paranccsal a --enable-fips-image paraméterrel.

   az aks nodepool update \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name np \
       --enable-fips-image
   

A fenti parancs azonnal elindítja a csomópontkészlet újratelepítését a FIPS-kompatibilis operációs rendszer üzembe helyezéséhez. Ez az újraimázs a csomópontkészlet frissítése során történik. Nincs szükség további lépésekre.

2. Ellenőrizze, hogy a csomópontkészlet FIPS-kompatibilis-e az az aks show agentPoolProfiles enableFIPS értékének parancsával és lekérdezésével.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

   Az alábbi példakimenet azt mutatja, hogy az np csomópontkészlet FIPS-kompatibilis:

   Name       enableFips
   ---------  ------------
   np         True
   nodepool1  False  
   

3. A parancs használatával listázhatja a kubectl get nodes csomópontokat.

   kubectl get nodes
   

   Az alábbi példakimenet a fürt csomópontjainak listáját jeleníti meg. A kezdő aks-np csomópontok a FIPS-kompatibilis csomópontkészlet részét képezik.

   NAME                                STATUS   ROLES   AGE     VERSION
   aks-np-12345678-vmss000000          Ready    agent   6m4s    v1.19.9
   aks-np-12345678-vmss000001          Ready    agent   5m21s   v1.19.9
   aks-np-12345678-vmss000002          Ready    agent   6m8s    v1.19.9
   aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9
   

4. Futtasson egy üzembe helyezést egy interaktív munkamenettel a FIPS-kompatibilis csomópontkészlet egyik csomópontján a kubectl debug paranccsal.

   kubectl debug node/aks-np-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
   

5. Az interaktív munkamenet kimenetében ellenőrizze, hogy a FIPS titkosítási kódtárak engedélyezve vannak-e. A kimenetnek a következő példakimenethez hasonlóan kell kinéznie:

   root@aks-np-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
   1
   

A FIPS-kompatibilis csomópontkészletek kubernetes.azure.com/fips_enabled=true címkével is rendelkeznek, amellyel az üzemelő példányok megcélozhatják ezeket a csomópontkészleteket.

FIPS letiltása meglévő csomópontkészleten

A meglévő Linux-csomópontkészletek frissíthetők a FIPS letiltásához. Meglévő csomópontkészlet frissítésekor a csomópont lemezképe az aktuális FIPS-lemezképről az ugyanazon operációsrendszer-termékváltozat ajánlott nem FIPS-rendszerképére változik. A csomópont képének módosítása az újraimálás után következik be.

1. Linux-csomópontkészlet frissítése az [az aks nodepool update][az-aks-nodepool-update] paranccsal a --disable-fips-image paraméterrel.

   az aks nodepool update \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name np \
       --disable-fips-image
   

A fenti parancs azonnal elindítja a csomópontkészlet újratelepítését a FIPS-kompatibilis operációs rendszer üzembe helyezéséhez. Ez az újraimázs a csomópontkészlet frissítése során történik. Nincs szükség további lépésekre.

2. Ellenőrizze, hogy a csomópontkészlet nincs-e FIPS-kompatibilis az az aks show agentPoolProfiles enableFIPS értékének parancsával és lekérdezésével.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

   Az alábbi példakimenet azt mutatja, hogy az np csomópontkészlet nem FIPS-kompatibilis:

   Name       enableFips
   ---------  ------------
   np         False
   nodepool1  False  
   

Következő lépések

Az AKS biztonságával kapcsolatos további információkért tekintse meg az Azure Kubernetes Service (AKS) fürtbiztonságának és frissítéseinek ajánlott eljárásait.