「FIPS 140-2」ってなに? #Mirantis #Kubernetes #MKE #security #k8s #k0s

DockerKubernetesMirantis

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

このブログは「What is FIPS 140-2?」の翻訳となります。

暗号はサイバーセキュリティの心臓部であり、SSHからKubernetesクラスタのSecretsまで、あらゆるものの背後で利用されています。インターネットの歴史では、脆弱な暗号化アルゴリズムがしばしば登場します。その多くは、残念ながら重大な脆弱性が発見された後も広く利用され続けています。また、セキュリティの動きは速いため、組織は遅れをとることが無いように都度対応する事に苦労しています。

米国連邦政府は、政府機関や民間企業のサーバーにあるデータを保護するために、そのデータを扱う暗号化ソフトウェアモジュールに関する最低限の基準を定めています。

FIPS 140-2とは、Federal Information Processing Standards ( FIPS ) Publication 140-2 のことで、ソフトウェアに対する暗号セキュリティ要件を定義した文書です。現在では、FIPS 140-2 は政府機関のみならず、民間企業や世界中のあらゆる場所で重要なセキュリティ基準の一つとして広く認知されています。

FIPSコンプライアンスとは?

民間企業は、米国連邦政府のデータを扱わない限り、FIPS 140-2に準拠する必要はありません。しかし、公共規格は民間企業にとって有用なベンチマーク(企業がデータと顧客を保護するために満たすべき最低限の要件)として活用できます。

(この規格は、民間および商業団体が「利用可能」であることを親切にも明記しています。つまり、自由に使ってくださいという事です。)

米国の省庁や民間業者はユーザーとしては、FIPS 検証済みの暗号化モジュールを搭載したソフトウェアを調達し利用する必要があります。多くの場合、これはより厳格なセキュリティプロトコルの使用を強制する FIPS 準拠モードでソフトウェアを実行することを意味します。

一方、暗号モジュールを搭載したソフトウェアのプロバイダーは、米国国立標準技術研究所(NIST)とカナダ・サイバーセキュリティセンター(CCCS)が提携する「暗号モジュール検証プログラム」による検証を受ける必要があります。

FIPS 140-2におけるセキュリティ要件

FIPSには4つのレベルがあり、段階ごとにセキュリティ要素の厳しさが増えていきます。FIPS 140-2は、ソフトウェアシステムの様々な側面に対応する要件を規定しています。

次のような内容が含まれています。

  • 承認済みアルゴリズム
    • この規格は、Secure Hash Standard (SHS), SHA-3 Standard, 対称鍵暗号方式, 電子署名, メッセージ認証などの特定の実装を含む承認された暗号化アルゴリズムのセットを定義しています。
  • ロール、サービス、および認証
    • 暗号化モジュールは、様々なロール(クリプトオフィサーを含む )をサポートする必要があります。また、オペレーターのためのキーセキュリティサービスや強固な認証も提供します。
  • 動作要件
    • 暗号化モジュールには、いくつかの要件があります。他のプロセスから機密データを隔離すること、 単一オペレータであること、また、暗号化モジュールを改ざんから保護する手段がある事などが必要です。

MirantisとFIPS 140-2

FIPS準拠のコンテナプラットフォームを活用しようとする企業や、ソリューションスタック全体にわたるコンプライアンスを実現したいと考えている企業に、Mirantisではいくつかのソリューションを提供しています。

  • Mirantis Kubernetes Engine (MKE) は、KubernetesとSwarmの両方に対応するコンテナオーケストレーションプラットフォームです。FIPS準拠のコンテナレイヤーにより、企業はクラウドネイティブアプリケーション基盤のセキュリティを強固にすることができます。
  • Mirantis Container Runtime (MCR) は、コンテナプラットフォームの縁の下で動作し、実際にコンテナを実行するシステムコンポーネントを管理します。このため、FIPS コンプライアンスに対応することで、コンテナ層の基礎から統合することが可能です。ホストアクセスの制限、エンドツーエンドの暗号化、セキュアな相互TLS認証、暗号化されたノードIDなど、MCRはセキュリティに特化したコンテナランタイムと言えます。
  • k0s は軽量なオープンソースのKubernetesディストリビューションです。企業の基幹システムやエッジコンピューティングなどの用途に関わらず、大規模クラスタから小規模クラスタまで対応可能です。コントロールプレーンを分離する事により攻撃対象が限定され、さらに、ワーカーノードをファイアウォールの内側で実行でき、よりセキュリティを強固にできます。このディストリビューションは FIPS に準拠しており、エッジおよび IoT ソリューションにコンプライアンスをもたらすことが特に容易になっています。

Mirantis政府機関向けITソリューションの詳細はこちらを参照してください。

製品についてのお問い合わせはこちらまでお願いします。

新規CTA