Partilhar via

Habilitar o FIPS (Federal Information Process Standard) para pools de nós do Serviço Kubernetes do Azure (AKS)

  • Artigo

O Federal Information Processing Standard (FIPS) 140-2 é uma norma do governo dos Estados Unidos que define os requisitos mínimos de segurança para módulos criptográficos nos produtos e sistemas das tecnologias de informação. O Serviço Kubernetes do Azure (AKS) permite criar pools de nós Linux e Windows com o FIPS 140-2 habilitado. As implementações em execução nos conjuntos de nós com o FIPS ativado podem utilizar esses módulos criptográficos para fornecer maior segurança e ajudar a satisfazer os controlos de segurança como parte da conformidade com o FedRAMP. Para obter mais informações sobre o FIPS 140-2, consulte Federal Information Processing Standard (FIPS) 140.

Pré-requisitos

  • Azure CLI versão 2.32.0 ou posterior instalado e configurado. Para localizar a versão, execute az --version. Para obter mais informações sobre como instalar ou atualizar a CLI do Azure, consulte Instalar a CLI do Azure.

Nota

O AKS Monitoring Addon suporta pools de nós habilitados para FIPS com Ubuntu, Azure Linux e Windows a partir da versão 3.1.17 (Linux) e Win-3.1.17 (Windows).

Limitações

  • Os pools de nós habilitados para FIPS têm as seguintes limitações:
    • Os pools de nós habilitados para FIPS exigem o Kubernetes versão 1.19 e superior.
    • Para atualizar os pacotes ou módulos subjacentes usados para FIPS, você deve usar o Node Image Upgrade.
    • As imagens de contêiner nos nós FIPS não foram avaliadas quanto à conformidade com FIPS.
    • A montagem de um compartilhamento CIFS falha porque o FIPS desabilita alguns módulos de autenticação. Para contornar esse problema, consulte Erros ao montar um compartilhamento de arquivos em um pool de nós habilitado para FIPS.

Importante

A imagem Linux habilitada para FIPS é uma imagem diferente da imagem Linux padrão usada para pools de nós baseados em Linux.

As imagens de nó habilitadas para FIPS podem ter números de versão diferentes, como a versão do kernel, do que as imagens que não são habilitadas para FIPS. O ciclo de atualização para pools de nós habilitados para FIPS e imagens de nós pode diferir de pools de nós e imagens que não são habilitados para FIPS.

Versões de SO suportadas

Você pode criar pools de nós habilitados para FIPS em todos os tipos de sistema operacional suportados, Linux e Windows. No entanto, nem todas as versões do sistema operacional suportam nodepools habilitados para FIPS. Depois que uma nova versão do sistema operacional é lançada, normalmente há um período de espera antes que ele seja compatível com FIPS.

A tabela abaixo inclui as versões de SO suportadas:

Tipo de SO OS SKU Conformidade com FIPS
Linux Ubuntu Suportado
Linux Azure Linux Suportado
Windows Windows Server 2019 Suportado
Windows Windows Server 2022 Suportado

Ao solicitar o Ubuntu habilitado para FIPS, se a versão padrão do Ubuntu não suportar FIPS, o AKS assumirá como padrão a versão mais recente suportada pelo FIPS do Ubuntu. Por exemplo, o Ubuntu 22.04 é padrão para pools de nós do Linux. Como o 22.04 atualmente não suporta FIPS, o AKS assume como padrão o Ubuntu 20.04 para nodepools habilitados para FIPS Linux.

Nota

Anteriormente, você podia usar a API GetOSOptions para determinar se um determinado sistema operacional suportava FIPS. A API GetOSOptions agora foi preterida e não será mais incluída nas novas versões da API AKS a partir de 2024-05-01.

Criar um pool de nós Linux habilitado para FIPS

  1. Crie um pool de nós Linux habilitado para FIPS usando o az aks nodepool add comando com o --enable-fips-image parâmetro.

    az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image

    Nota

    Você também pode usar o --enable-fips-image parâmetro com o az aks create comando ao criar um cluster para habilitar o FIPS no pool de nós padrão. Ao adicionar pools de nós a um cluster criado dessa maneira, você ainda deve usar o --enable-fips-image parâmetro ao adicionar pools de nós para criar um pool de nós habilitado para FIPS.

  2. Verifique se o pool de nós está habilitado para FIPS usando o comando e a az aks show consulta para o valor enableFIPS em agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    A saída de exemplo a seguir mostra que o pool de nós fipsnp é habilitado para FIPS:

    Name       enableFips
---------  ------------
fipsnp     True
nodepool1  False

  3. Liste os nós usando o kubectl get nodes comando.

    kubectl get nodes

    A saída de exemplo a seguir mostra uma lista dos nós no cluster. Os nós que começam com aks-fipsnp fazem parte do pool de nós habilitado para FIPS.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-fipsnp-12345678-vmss000000      Ready    agent   6m4s    v1.19.9
aks-fipsnp-12345678-vmss000001      Ready    agent   5m21s   v1.19.9
aks-fipsnp-12345678-vmss000002      Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  4. Execute uma implantação com uma sessão interativa em um dos nós no pool de nós habilitado para FIPS usando o kubectl debug comando.

    kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  5. Na saída da sessão interativa, verifique se as bibliotecas criptográficas FIPS estão habilitadas. Sua saída deve ser semelhante à saída de exemplo a seguir:

    root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

Os pools de nós habilitados para FIPS também têm um rótulo de kubernetes.azure.com/fips_enabled=true , que as implantações podem usar para direcionar esses pools de nós.

Criar um pool de nós do Windows habilitado para FIPS

  1. Crie um pool de nós do Windows habilitado para FIPS usando o az aks nodepool add comando com o --enable-fips-image parâmetro. Ao contrário dos pools de nós baseados em Linux, os pools de nós do Windows compartilham o mesmo conjunto de imagens.

    az aks nodepool add \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name fipsnp \
    --enable-fips-image \
    --os-type Windows

  2. Verifique se o pool de nós está habilitado para FIPS usando o comando e a az aks show consulta para o valor enableFIPS em agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

  3. Verifique se os pools de nós do Windows têm acesso às bibliotecas criptográficas FIPS criando uma conexão RDP com um nó do Windows em um pool de nós habilitado para FIPS e verifique o registro. No aplicativo Executar, digite regedit.

  4. Procure HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy no registo.

  5. Se Enabled estiver definido como 1, o FIPS estará ativado.

A captura de tela mostra uma imagem do editor do Registro para a Política de Algoritmo FIPS e ela está sendo ativada.

Os pools de nós habilitados para FIPS também têm um rótulo de kubernetes.azure.com/fips_enabled=true , que as implantações podem usar para direcionar esses pools de nós.

Atualizar um pool de nós existente para habilitar ou desabilitar o FIPS

Os pools de nós Linux existentes podem ser atualizados para habilitar ou desabilitar o FIPS. Se você estiver planejando migrar seus pools de nós de não-FIPS para FIPS, primeiro valide se seu aplicativo está funcionando corretamente em um ambiente de teste antes de migrá-lo para um ambiente de produção. Validar seu aplicativo em um ambiente de teste deve evitar problemas causados pelo kernel FIPS bloqueando algum algoritmo de cifra ou criptografia fraco, como um algoritmo MD4 que não é compatível com FIPS.

Nota

Ao atualizar um pool de nós Linux existente para habilitar ou desabilitar o FIPS, a atualização do pool de nós será movida entre a imagem fips e não-fips. Esta atualização do pool de nós acionará uma nova imagem para concluir a atualização. Isso pode fazer com que a atualização do pool de nós demore alguns minutos para ser concluída.

Pré-requisitos

Habilitar FIPS em um pool de nós existente

Os pools de nós Linux existentes podem ser atualizados para habilitar o FIPS. Quando você atualiza um pool de nós existente, a imagem do nó mudará da imagem atual para a imagem FIPS recomendada da mesma SKU do sistema operacional.

  1. Atualize um pool de nós usando o comando [az aks nodepool update[az-aks-nodepool-update] com o --enable-fips-image parâmetro.

    az aks nodepool update \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name np \
    --enable-fips-image

O comando acima dispara uma nova imagem do pool de nós imediatamente para implantar o sistema operacional compatível com FIPS. Essa nova imagem ocorre durante a atualização do pool de nós. Não são necessárias etapas adicionais.

  1. Verifique se o pool de nós está habilitado para FIPS usando o az aks show comando e consulte o valor enableFIPS em agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    A saída de exemplo a seguir mostra que o pool de nós np é habilitado para FIPS:

    Name       enableFips
---------  ------------
np         True
nodepool1  False

  2. Liste os nós usando o kubectl get nodes comando.

    kubectl get nodes

    A saída de exemplo a seguir mostra uma lista dos nós no cluster. Os nós que começam com aks-np fazem parte do pool de nós habilitado para FIPS.

    NAME                                STATUS   ROLES   AGE     VERSION
aks-np-12345678-vmss000000          Ready    agent   6m4s    v1.19.9
aks-np-12345678-vmss000001          Ready    agent   5m21s   v1.19.9
aks-np-12345678-vmss000002          Ready    agent   6m8s    v1.19.9
aks-nodepool1-12345678-vmss000000   Ready    agent   34m     v1.19.9

  3. Execute uma implantação com uma sessão interativa em um dos nós no pool de nós habilitado para FIPS usando o kubectl debug comando.

    kubectl debug node/aks-np-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0

  4. Na saída da sessão interativa, verifique se as bibliotecas criptográficas FIPS estão habilitadas. Sua saída deve ser semelhante à saída de exemplo a seguir:

    root@aks-np-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled
1

Os pools de nós habilitados para FIPS também têm um rótulo de kubernetes.azure.com/fips_enabled=true , que as implantações podem usar para direcionar esses pools de nós.

Desabilitar FIPS em um pool de nós existente

Os pools de nós Linux existentes podem ser atualizados para desativar o FIPS. Ao atualizar um pool de nós existente, a imagem do nó mudará da imagem FIPS atual para a imagem não-FIPS recomendada da mesma SKU do sistema operacional. A alteração da imagem do nó ocorrerá após uma nova imagem.

  1. Atualize um pool de nós Linux usando o comando [az aks nodepool update[az-aks-nodepool-update] com o --disable-fips-image parâmetro.

    az aks nodepool update \
    --resource-group myResourceGroup \
    --cluster-name myAKSCluster \
    --name np \
    --disable-fips-image

O comando acima dispara uma nova imagem do pool de nós imediatamente para implantar o sistema operacional compatível com FIPS. Essa nova imagem ocorre durante a atualização do pool de nós. Não são necessárias etapas adicionais.

  1. Verifique se o pool de nós não está habilitado para FIPS usando o comando e a az aks show consulta para o valor enableFIPS em agentPoolProfiles.

    az aks show \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \
    -o table

    A saída de exemplo a seguir mostra que o pool de nós np não está habilitado para FIPS:

    Name       enableFips
---------  ------------
np         False
nodepool1  False

Próximos passos

Para saber mais sobre a segurança do AKS, consulte Práticas recomendadas para segurança de cluster e atualizações no Serviço Kubernetes do Azure (AKS).