Mengaktifkan Federal Information Process Standard (FIPS) untuk kumpulan node Azure Kubernetes Service (AKS)

Artikel
03/01/2024

Federal Information Processing Standard (FIPS) 140-2 adalah standar pemerintah AS yang mendefinisikan persyaratan keamanan minimum untuk modul kriptografi dalam produk dan sistem teknologi informasi. Azure Kubernetes Service (AKS) memungkinkan Anda membuat kumpulan node Linux dan Windows dengan FIPS 140-2 diaktifkan. Penyebaran yang berjalan pada kumpulan simpul yang mendukung FIPS dapat menggunakan modul kriptografi tersebut untuk memberikan peningkatan keamanan dan membantu memenuhi kontrol keamanan sebagai bagian dari kepatuhan FedRAMP. Untuk informasi selengkapnya tentang FIPS 140-2, lihat Federal Information Process Standard (FIPS) 140.

Prasyarat

Azure CLI versi 2.32.0 atau yang lebih baru diinstal dan dikonfigurasi. Jalankan az --version untuk menemukan versinya. Untuk informasi selengkapnya tentang menginstal atau meningkatkan Azure CLI, lihat Menginstal Azure CLI.

Catatan

Addon Pemantauan AKS mendukung kumpulan simpul berkemampuan FIPS dengan Ubuntu, Azure Linux, dan Windows dimulai dengan Agen versi 3.1.17 (Linux) dan Win-3.1.17 (Windows).

Batasan

Kumpulan simpul berkemampuan FIPS memiliki batasan berikut:
- Kumpulan simpul yang diaktifkan FIPS memerlukan Kubernetes versi 1.19 dan yang lebih besar.
- Untuk memperbarui paket atau modul yang mendasari yang digunakan untuk FIPS, Anda harus menggunakan Node Image Upgrade.
- Gambar kontainer pada node FIPS belum dinilai untuk kepatuhan FIPS.
- Pemasangan berbagi CIFS gagal karena FIPS menonaktifkan beberapa modul autentikasi. Untuk mengatasi masalah ini, lihat Kesalahan saat memasang berbagi file pada kumpulan simpul berkemampuan FIPS.

Penting

Gambar Linux yang diaktifkan FIPS adalah gambar yang berbeda dari gambar Linux default yang digunakan untuk kumpulan simpul berbasis Linux. Untuk mengaktifkan FIPS pada kumpulan simpul, Anda harus membuat kumpulan simpul baru berbasis Linux. Anda tidak dapat mengaktifkan FIPS pada kumpulan simpul yang ada.

Gambar simpul berkemampuan FIPS mungkin memiliki nomor versi yang berbeda, seperti versi kernel, daripada gambar yang tidak diaktifkan FIPS. Siklus pembaruan untuk kumpulan simpul dan gambar simpul yang diaktifkan FIPS mungkin berbeda dari kumpulan simpul dan gambar yang tidak diaktifkan FIPS.

Membuat kumpulan node Linux berkemampuan FIPS

Buat kumpulan simpul Linux berkemampuan FIPS menggunakan az aks nodepool add perintah dengan --enable-fips-image parameter .
```
az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image
```
Catatan

Anda juga dapat menggunakan --enable-fips-image parameter dengan az aks create perintah saat membuat kluster untuk mengaktifkan FIPS pada kumpulan simpul default. Saat menambahkan kumpulan simpul ke kluster yang dibuat dengan cara ini, Anda masih harus menggunakan --enable-fips-image parameter saat menambahkan kumpulan simpul untuk membuat kumpulan simpul yang diaktifkan FIPS.

Verifikasi bahwa kumpulan simpul Anda diaktifkan FIPS menggunakan az aks show perintah dan kueri untuk nilai enableFIPS di agentPoolProfiles.

az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

Contoh output berikut menunjukkan kumpulan simpul fipsnp diaktifkan FIPS:

Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

Cantumkan simpul menggunakan kubectl get nodes perintah .

kubectl get nodes

Contoh output berikut menunjukkan daftar simpul dalam kluster. Simpul yang dimulai adalah aks-fipsnp bagian dari kumpulan simpul yang diaktifkan FIPS.

NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

Jalankan penyebaran dengan sesi interaktif pada salah satu simpul di kumpulan simpul berkemampuan FIPS menggunakan kubectl debug perintah .
```
kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
```
Dari output sesi interaktif, verifikasi pustaka kriptografi FIPS diaktifkan. Output Anda akan terlihat mirip dengan contoh output berikut:
```
root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1
```

Kumpulan simpul berkemampuan FIPS juga memiliki label kubernetes.azure.com/fips_enabled=true , yang dapat digunakan penyebaran untuk menargetkan kumpulan simpul tersebut.

Membuat kumpulan node Windows berkemampuan FIPS

Buat kumpulan simpul Windows berkemampuan FIPS menggunakan az aks nodepool add perintah dengan --enable-fips-image parameter . Tidak seperti kumpulan node berbasis Linux, kumpulan node Windows memiliki set gambar yang sama.
```
az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image \
    --os-type Windows
```

Verifikasi bahwa kumpulan simpul Anda diaktifkan FIPS menggunakan az aks show perintah dan kueri untuk nilai enableFIPS di agentPoolProfiles.

az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

Verifikasi bahwa kumpulan simpul Windows memiliki akses ke pustaka kriptografi FIPS dengan membuat koneksi RDP ke simpul Windows di kumpulan simpul berkemampuan FIPS dan memeriksa registri. Dari Jalankan aplikasi, masukkan regedit.
Cari HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy di registri.
Jika Enabled diatur ke 1, maka FIPS diaktifkan.

Screenshot shows a picture of the registry editor to the FIPS Algorithm Policy, and it being enabled.