Federal Information Process Standard (FIPS) inschakelen voor AKS-knooppuntgroepen (Azure Kubernetes Service)

De Federal Information Processing Standard (FIPS) 140-2 is een Amerikaanse overheidsstandaard waarin de minimale veiligheidsvereisten zijn vastgelegd voor cryptografische modules in informatietechnologieproducten en -systemen. Met Azure Kubernetes Service (AKS) kunt u Linux- en Windows-knooppuntgroepen maken waarvoor FIPS 140-2 is ingeschakeld. Implementaties die worden uitgevoerd op FIPS-knooppuntgroepen kunnen deze cryptografische modules gebruiken om betere beveiliging te bieden en om zo te voldoen aan beveiligingscontroles als onderdeel van FedRAMP-naleving. Zie Federal Information Processing Standard (FIPS) 140-2 voor meer informatie over FIPS 140.

Belangrijk

Vanaf 17 maart 2027 ondersteunt Azure Kubernetes Service (AKS) geen beveiligingsupdates meer voor Ubuntu 20.04. Bestaande knooppuntinstallatiekopieën worden verwijderd en u kunt geen knooppuntgroepen schalen met Ubuntu 20.04. Migreer naar een ondersteunde Ubuntu-versie door uw knooppuntgroepen te upgraden naar Kubernetes versie 1.35+. Zie voor meer informatie over deze afschaffing, het GitHub-issue over de afschaffing en de aankondiging over de afschaffing van Azure Updates. Als u op de hoogte wilt blijven van aankondigingen en updates, volg de AKS-release-opmerkingen.

Belangrijk

Vanaf 30 november 2025 ondersteunt Azure Kubernetes Service (AKS) geen beveiligingsupdates meer voor Azure Linux 2.0. De installatiekopieën van het Azure Linux 2.0-knooppunt zijn bevroren bij de release 202512.06.0. Vanaf 31 maart 2026 worden knooppuntafbeeldingen verwijderd en kunt u uw knooppoolen niet schalen. Migreer naar een ondersteunde Versie van Azure Linux door uw knooppuntgroepen te upgraden naar een ondersteunde Kubernetes-versie of door te migreren naar osSku AzureLinux3. Zie het Probleem met buitengebruikstelling van GitHub en de aankondiging van de buitengebruikstelling van Azure Updates voor meer informatie. Als u op de hoogte wilt blijven van aankondigingen en updates, volg de AKS-release-opmerkingen.

Vereisten

Azure CLI versie 2.32.0 of hoger geïnstalleerd en geconfigureerd. Voer az --version uit om de versie te zoeken. Zie Azure CLI installeren voor meer informatie over het installeren of upgraden van de Azure CLI.

Notitie

AKS Monitoring Addon ondersteunt FIPS-knooppuntgroepen met Ubuntu, Azure Linux en Windows vanaf agentversie 3.1.17 (Linux) en Win-3.1.17 (Windows).

Beperkingen

• Knooppuntgroepen met FIPS-functionaliteit hebben de volgende beperkingen:
  • Voor FIPS-knooppuntgroepen is Kubernetes versie 1.19 en hoger vereist.
  • Als u de onderliggende pakketten of modules wilt bijwerken die worden gebruikt voor FIPS, moet u De upgrade van de knooppuntinstallatiekopie gebruiken.
  • Containerafbeeldingen op de FIPS-knooppunten worden niet beoordeeld op FIPS-naleving.
  • Het koppelen van een CIFS-share mislukt omdat fips sommige verificatiemodules uitschakelt. Zie Fouten bij het koppelen van een bestandsshare in een knooppuntgroep met FIPS-functionaliteit om dit probleem te omzeilen.
  • Knooppuntgroepen met ARM64-VM's met FIPS worden alleen ondersteund met Azure Linux 3.0+.
  • FIPS wordt niet ondersteund met Flatcar Container Linux voor AKS (preview).

Belangrijk

De linux-installatiekopie met FIPS-functionaliteit is een andere installatiekopie dan de standaardinstallatiekopie van Linux die wordt gebruikt voor linux-knooppuntgroepen.

Knooppuntinstallatiekopieën met FIPS-functionaliteit kunnen verschillende versienummers hebben, zoals kernelversie, dan installatiekopieën die niet zijn ingeschakeld voor FIPS. De updatecyclus voor fips-knooppuntgroepen en knooppuntinstallatiekopieën kan verschillen van knooppuntgroepen en installatiekopieën die niet zijn ingeschakeld voor FIPS.

Ondersteunde besturingssysteemversies

U kunt knooppuntgroepen met FIPS-functionaliteit maken op alle ondersteunde typen besturingssystemen (Linux en Windows). Niet alle versies van het besturingssysteem ondersteunen echter FIPS-knooppuntgroepen. Nadat een nieuwe versie van het besturingssysteem is uitgebracht, is er doorgaans een wachttijd voordat deze compatibel is met FIPS.

Deze tabel bevat de ondersteunde besturingssysteemversies:

Type besturingssysteem	SKU van het besturingssysteem	FIPS-naleving
Linux	Ubuntu	Ondersteund
Linux	Azure Linux	Ondersteund
Windows	Windows Server 2019	Ondersteund
Windows	Windows Server 2022	Ondersteund

Bij het aanvragen van een FIPS-ingeschakelde versie van Ubuntu, als de standaardversie van Ubuntu geen ondersteuning biedt voor FIPS, stelt AKS standaard in op de meest recente, door FIPS ondersteunde versie van Ubuntu. Ubuntu 22.04 is bijvoorbeeld standaard voor Linux-knooppuntgroepen. Omdat 22.04 momenteel geen ondersteuning biedt voor FIPS, wordt AKS standaard ingesteld op Ubuntu 20.04 voor Linux FIPS-knooppuntgroepen.

Notitie

Eerder kunt u de GetOSOptions-API gebruiken om te bepalen of een bepaald besturingssysteem FIPS ondersteunt. De GetOSOptions-API is nu afgeschaft en wordt niet meer opgenomen in nieuwe AKS-API-versies vanaf 2024-05-01.

Een Linux-knooppuntgroep met FIPS-functionaliteit maken

1. Maak een linux-knooppuntgroep met FIPS-functionaliteit met behulp van de opdracht az aks nodepool add met de --enable-fips-image parameter.

   az aks nodepool add \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name fipsnp \
       --enable-fips-image
   

   Notitie

   U kunt de --enable-fips-image parameter ook gebruiken met de opdracht az aks create wanneer u een cluster maakt om FIPS in te schakelen in de standaardknooppuntgroep. Wanneer u knooppuntgroepen toevoegt aan een cluster dat op deze manier is gemaakt, moet u nog steeds de parameter gebruiken bij het --enable-fips-image toevoegen van knooppuntgroepen om een FIPS-knooppuntgroep te maken.

2. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de opdracht az aks show en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

   In de volgende voorbeelduitvoer ziet u dat de fipsnp-knooppuntgroep is ingeschakeld voor FIPS:

   Name       enableFips
   ---------  ------------
   fipsnp     True
   nodepool1  False  
   

3. Vermeld de knooppunten met behulp van de kubectl get nodes opdracht.

   kubectl get nodes
   

   In de volgende voorbeelduitvoer ziet u een lijst met de knooppunten in het cluster. De knooppunten die beginnen met aks-fipsnp , maken deel uit van de knooppuntgroep waarvoor FIPS is ingeschakeld.

   NAME                                STATUS   ROLES   AGE     VERSION
   aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
   aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
   aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
   aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9
   

4. Voer een implementatie uit met een interactieve sessie op een van de knooppunten in de knooppuntgroep met FIPS-functionaliteit met behulp van de kubectl debug opdracht.

   kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
   

5. Controleer in de uitvoer van de interactieve sessie of de cryptografische FIPS-bibliotheken zijn ingeschakeld. De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:

   root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
   1
   

   FIPS-knooppuntgroepen hebben ook een kubernetes.azure.com/fips_enabled=true label, die implementaties kunnen gebruiken om deze knooppuntgroepen te richten.

Een Windows-knooppuntgroep met FIPS-knooppunten maken

1. Maak een Windows-knooppuntgroep met FIPS-functionaliteit met behulp van de opdracht az aks nodepool add met de --enable-fips-image parameter. In tegenstelling tot op Linux gebaseerde knooppuntgroepen delen Windows-knooppuntgroepen dezelfde installatiekopieënset.

   az aks nodepool add \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name fipsnp \
       --enable-fips-image \
       --os-type Windows
   

2. Controleer of uw knooppuntgroep is ingeschakeld voor FIPS met behulp van de opdracht az aks show en voer een query uit voor de enableFIPS-waarde in agentPoolProfiles.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

3. Controleer of Windows-knooppuntgroepen toegang hebben tot de cryptografische FIPS-bibliotheken door een RDP-verbinding met een Windows-knooppunt in een FIPS-knooppuntgroep te maken en het register te controleren. Voer in de toepassing Uitvoeren de tekst inregedit.

4. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy Zoek naar in het register.

5. Als Enabled deze optie is ingesteld op 1, is FIPS ingeschakeld.

   

   FIPS-knooppuntgroepen hebben ook een kubernetes.azure.com/fips_enabled=true label, die implementaties kunnen gebruiken om deze knooppuntgroepen te richten.

Een bestaande knooppuntgroep bijwerken om FIPS in of uit te schakelen

Bestaande Linux-knooppuntgroepen kunnen worden bijgewerkt om FIPS in of uit te schakelen. Als u van plan bent om uw knooppuntgroepen van niet-FIPS naar FIPS te migreren, controleert u eerst of uw toepassing goed werkt in een testomgeving voordat u deze migreert naar een productieomgeving. Het valideren van uw toepassing in een testomgeving moet problemen voorkomen die worden veroorzaakt door de FIPS-kernel die een zwak coderings- of versleutelingsalgoritme blokkeert, zoals een MD4-algoritme dat niet compatibel is met FIPS.

Notitie

Wanneer u een bestaande Linux-knooppool bijwerkt om FIPS in of uit te schakelen, schakelt de update van de knooppool over tussen de fips- en niet-fips-afbeelding. Deze bijwerking van de nodepool start een herinstallatie om de update te voltooien. Hierdoor kan het enkele minuten duren voordat de update van de knooppuntgroep is voltooid.

Vereisten

Azure CLI versie 2.64.0 of hoger. Voer az --version uit om de versie te zoeken. Als u Azure CLI 2.0 wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.

FIPS inschakelen voor een bestaande knooppuntgroep

Bestaande Linux-knooppuntgroepen kunnen worden bijgewerkt om FIPS in te schakelen. Wanneer u een bestaande knooppuntgroep bijwerkt, verandert de knooppuntinstallatiekopie van de huidige installatiekopie in de aanbevolen FIPS-installatiekopie van dezelfde SKU van het besturingssysteem.

1. Werk een knooppuntgroep bij met behulp van de opdracht az aks nodepool update met de --enable-fips-image parameter.

   az aks nodepool update \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name np \
       --enable-fips-image
   

   Met deze opdracht wordt onmiddellijk een herinstallatie van de knooppuntpool geactiveerd om het FIPS-compatibele besturingssysteem te implementeren. Deze installatiekopie vindt plaats tijdens de update van de knooppuntgroep. Er zijn geen extra stappen vereist.

2. Controleer of uw knooppuntgroep FIPS is ingeschakeld met behulp van de opdracht az aks show en query naar de enableFIPS-waarde in agentPoolProfiles.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

   In de volgende voorbeelduitvoer ziet u dat de NP-knooppuntgroep IS ingeschakeld voor FIPS:

   Name       enableFips
   ---------  ------------
   np         True
   nodepool1  False  
   

3. Vermeld de knooppunten met behulp van de kubectl get nodes opdracht.

   kubectl get nodes
   

   In de volgende voorbeelduitvoer ziet u een lijst met de knooppunten in het cluster. De knooppunten die beginnen met aks-np , maken deel uit van de knooppuntgroep waarvoor FIPS is ingeschakeld.

   NAME                                STATUS   ROLES   AGE     VERSION
   aks-np-12345678-vmss000000          Ready    agent   6m4s    v1.19.9
   aks-np-12345678-vmss000001          Ready    agent   5m21s   v1.19.9
   aks-np-12345678-vmss000002          Ready    agent   6m8s    v1.19.9
   aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9
   

4. Voer een implementatie uit met een interactieve sessie op een van de knooppunten in de knooppuntgroep met FIPS-functionaliteit met behulp van de kubectl debug opdracht.

   kubectl debug node/aks-np-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
   

5. Controleer in de uitvoer van de interactieve sessie of de cryptografische FIPS-bibliotheken zijn ingeschakeld. De uitvoer moet er ongeveer uitzien als in de volgende voorbeelduitvoer:

   root@aks-np-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
   1
   

   FIPS-knooppuntgroepen hebben ook een kubernetes.azure.com/fips_enabled=true label, die implementaties kunnen gebruiken om deze knooppuntgroepen te richten.

FIPS uitschakelen voor een bestaande knooppuntgroep

Bestaande Linux-knooppuntgroepen kunnen worden bijgewerkt om FIPS uit te schakelen. Wanneer u een bestaande knooppuntgroep bijwerkt, wordt de afbeeldingsversie van het knooppunt gewijzigd van de huidige FIPS-versie naar de aanbevolen niet-FIPS-versie van hetzelfde besturingssysteem-SKU. De wijziging van de knooppuntinstallatiekopie vindt plaats na een nieuwe installatiekopie.

1. Werk een Linux-knooppuntgroep bij met behulp van de opdracht az aks nodepool update met de --disable-fips-image parameter.

   az aks nodepool update \
       --resource-group myResourceGroup \
       --cluster-name myAKSCluster \
       --name np \
       --disable-fips-image
   

   Met deze opdracht wordt onmiddellijk een herinstallatie van de knooppuntpool geactiveerd om het FIPS-compatibele besturingssysteem te implementeren. Deze installatiekopie vindt plaats tijdens de update van de knooppuntgroep. Er zijn geen extra stappen vereist.

2. Controleer of uw knooppuntgroep niet FIPS-ingeschakeld is met behulp van de opdracht az aks show en de waarde van enableFIPS opvragen in agentPoolProfiles.

   az aks show \
       --resource-group myResourceGroup \
       --name myAKSCluster \
       --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
       -o table
   

   In de volgende voorbeelduitvoer ziet u dat de NP-knooppuntgroep niet is ingeschakeld voor FIPS:

   Name       enableFips
   ---------  ------------
   np         False
   nodepool1  False  
   

Bericht van de dag

Geef de --message-of-the-day vlag door met de locatie van het bestand om het bericht van de dag op Linux-knooppunten te vervangen bij het maken van een cluster of het maken van een knooppuntgroep.

Maak een cluster met een bericht van de dag met behulp van de opdracht az aks create .

az aks create --cluster-name myAKSCluster --resource-group myResourceGroup --message-of-the-day ./newMOTD.txt

Voeg een knooppuntgroep toe met een bericht van de dag met behulp van de opdracht az aks nodepool add .

az aks nodepool add --name mynodepool1 --cluster-name myAKSCluster --resource-group myResourceGroup --message-of-the-day ./newMOTD.txt

Volgende stappen

Zie Best practices voor clusterbeveiliging en upgrades in Azure Kubernetes Service (AKS) voor meer informatie over AKS-beveiliging.