Mengaktifkan Federal Information Process Standard (FIPS) untuk kumpulan node Azure Kubernetes Service (AKS)
Federal Information Processing Standard (FIPS) 140-2 adalah standar pemerintah AS yang mendefinisikan persyaratan keamanan minimum untuk modul kriptografi dalam produk dan sistem teknologi informasi. Azure Kubernetes Service (AKS) memungkinkan Anda membuat kumpulan node Linux dan Windows dengan FIPS 140-2 diaktifkan. Penyebaran yang berjalan pada kumpulan simpul yang mendukung FIPS dapat menggunakan modul kriptografi tersebut untuk memberikan peningkatan keamanan dan membantu memenuhi kontrol keamanan sebagai bagian dari kepatuhan FedRAMP. Untuk informasi selengkapnya tentang FIPS 140-2, lihat Federal Information Process Standard (FIPS) 140.
Prasyarat
- Azure CLI versi 2.32.0 atau yang lebih baru diinstal dan dikonfigurasi. Jalankan
az --version
untuk menemukan versinya. Untuk informasi selengkapnya tentang menginstal atau meningkatkan Azure CLI, lihat Menginstal Azure CLI.
Catatan
Addon Pemantauan AKS mendukung kumpulan simpul berkemampuan FIPS dengan Ubuntu, Azure Linux, dan Windows dimulai dengan Agen versi 3.1.17 (Linux) dan Win-3.1.17 (Windows).
Batasan
- Kumpulan simpul berkemampuan FIPS memiliki batasan berikut:
- Kumpulan simpul yang diaktifkan FIPS memerlukan Kubernetes versi 1.19 dan yang lebih besar.
- Untuk memperbarui paket atau modul yang mendasari yang digunakan untuk FIPS, Anda harus menggunakan Node Image Upgrade.
- Gambar kontainer pada node FIPS belum dinilai untuk kepatuhan FIPS.
- Pemasangan berbagi CIFS gagal karena FIPS menonaktifkan beberapa modul autentikasi. Untuk mengatasi masalah ini, lihat Kesalahan saat memasang berbagi file pada kumpulan simpul berkemampuan FIPS.
Penting
Gambar Linux yang diaktifkan FIPS adalah gambar yang berbeda dari gambar Linux default yang digunakan untuk kumpulan simpul berbasis Linux. Untuk mengaktifkan FIPS pada kumpulan simpul, Anda harus membuat kumpulan simpul baru berbasis Linux. Anda tidak dapat mengaktifkan FIPS pada kumpulan simpul yang ada.
Gambar simpul berkemampuan FIPS mungkin memiliki nomor versi yang berbeda, seperti versi kernel, daripada gambar yang tidak diaktifkan FIPS. Siklus pembaruan untuk kumpulan simpul dan gambar simpul yang diaktifkan FIPS mungkin berbeda dari kumpulan simpul dan gambar yang tidak diaktifkan FIPS.
Membuat kumpulan node Linux berkemampuan FIPS
Buat kumpulan simpul Linux berkemampuan FIPS menggunakan
az aks nodepool add
perintah dengan--enable-fips-image
parameter .az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name fipsnp \ --enable-fips-image
Catatan
Anda juga dapat menggunakan
--enable-fips-image
parameter denganaz aks create
perintah saat membuat kluster untuk mengaktifkan FIPS pada kumpulan simpul default. Saat menambahkan kumpulan simpul ke kluster yang dibuat dengan cara ini, Anda masih harus menggunakan--enable-fips-image
parameter saat menambahkan kumpulan simpul untuk membuat kumpulan simpul yang diaktifkan FIPS.Verifikasi bahwa kumpulan simpul Anda diaktifkan FIPS menggunakan
az aks show
perintah dan kueri untuk nilai enableFIPS di agentPoolProfiles.az aks show \ --resource-group myResourceGroup \ --name myAKSCluster \ --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \ -o table
Contoh output berikut menunjukkan kumpulan simpul fipsnp diaktifkan FIPS:
Name enableFips --------- ------------ fipsnp True nodepool1 False
Cantumkan simpul menggunakan
kubectl get nodes
perintah .kubectl get nodes
Contoh output berikut menunjukkan daftar simpul dalam kluster. Simpul yang dimulai adalah
aks-fipsnp
bagian dari kumpulan simpul yang diaktifkan FIPS.NAME STATUS ROLES AGE VERSION aks-fipsnp-12345678-vmss000000 Ready agent 6m4s v1.19.9 aks-fipsnp-12345678-vmss000001 Ready agent 5m21s v1.19.9 aks-fipsnp-12345678-vmss000002 Ready agent 6m8s v1.19.9 aks-nodepool1-12345678-vmss000000 Ready agent 34m v1.19.9
Jalankan penyebaran dengan sesi interaktif pada salah satu simpul di kumpulan simpul berkemampuan FIPS menggunakan
kubectl debug
perintah .kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
Dari output sesi interaktif, verifikasi pustaka kriptografi FIPS diaktifkan. Output Anda akan terlihat mirip dengan contoh output berikut:
root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled 1
Kumpulan simpul berkemampuan FIPS juga memiliki label kubernetes.azure.com/fips_enabled=true , yang dapat digunakan penyebaran untuk menargetkan kumpulan simpul tersebut.
Membuat kumpulan node Windows berkemampuan FIPS
Buat kumpulan simpul Windows berkemampuan FIPS menggunakan
az aks nodepool add
perintah dengan--enable-fips-image
parameter . Tidak seperti kumpulan node berbasis Linux, kumpulan node Windows memiliki set gambar yang sama.az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name fipsnp \ --enable-fips-image \ --os-type Windows
Verifikasi bahwa kumpulan simpul Anda diaktifkan FIPS menggunakan
az aks show
perintah dan kueri untuk nilai enableFIPS di agentPoolProfiles.az aks show \ --resource-group myResourceGroup \ --name myAKSCluster \ --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \ -o table
Verifikasi bahwa kumpulan simpul Windows memiliki akses ke pustaka kriptografi FIPS dengan membuat koneksi RDP ke simpul Windows di kumpulan simpul berkemampuan FIPS dan memeriksa registri. Dari Jalankan aplikasi, masukkan
regedit
.Cari
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
di registri.Jika
Enabled
diatur ke 1, maka FIPS diaktifkan.
Kumpulan simpul berkemampuan FIPS juga memiliki label kubernetes.azure.com/fips_enabled=true , yang dapat digunakan penyebaran untuk menargetkan kumpulan simpul tersebut.
Langkah berikutnya
Untuk mempelajari lebih lanjut tentang keamanan AKS, lihat Praktik terbaik untuk keamanan kluster dan peningkatan di Azure Kubernetes Service (AKS).