Respect de la norme FIPS
Les gouvernements des États-Unis et du Canada ont publié la publication FIPS (Federal Information Processing Standard) 140-2, qui spécifie les spécifications de sécurité pour les modules cryptographiques qui protègent les données privées.
Les clients fédéraux doivent utiliser des produits logiciels compatibles avec la norme FIPS. La section 5131 de la loi de 1996 sur la réforme de la gestion des technologies de l'information exige la validation de la norme FIPS 140-2 pour chaque produit vendu aux agences gouvernementales aux États-Unis.
Vous pouvez installer Instana sur des clusters Self-Hosted Custom Edition ( Kubernetes ou Red Hat OpenShift Container Platform ). Instana utilise six bases de données tierces et leurs opérateurs pour traiter et stocker divers types de données. La plupart des magasins de données et leurs opérateurs ne disposent pas des modules de chiffrement requis pour se conformer aux normes FIPS. C'est pourquoi Instana fournit aux bases de données et aux opérateurs les modules cryptographiques nécessaires pour assurer leur conformité à la norme FIPS. Vous pouvez également utiliser les nouvelles images d' Docker, qui ont été créées avec les modifications nécessaires.
Prérequis
Avant d'installer Instana, assurez-vous que vous disposez d'un cluster compatible FIPS.
Installez les composants suivants dans le cluster:
Installation d' Red Hat OpenShift Container Platform en mode FIPS
Vous pouvez configurer des clusters OpenShift Container Platform pour qu'ils fonctionnent en mode FIPS. Pour plus d'informations, consultez la section « Prise en charge de la cryptographie FIPS 
».
Vérification
Pour vérifier si votre cluster est configuré avec le mode FIPS, procédez comme suit:
Connectez-vous au cluster en tant qu'utilisateur.
Remarque : vous devez disposer des droits d'administrateur de cluster.Pour vérifier si FIPS est activé, exécutez la commande suivante:
kubectl get cm cluster-config-v1 -n kube-system -o json | jq -r '.data."install-config"' | grep -i "fips"Dans la sortie de la commande, vous devez remplacer
fipspartrue, comme indiqué dans l'exemple suivant :fips: true name: instanta-fips-test-01 root@instanta-fips-test-01Pour obtenir les noms des configurations de machine, exécutez la commande suivante:
kubectl get mcpDans le résultat de la commande, le nom de configuration se trouve dans la colonne
CONFIG. Par exemple, consultez la sortie suivante:NAME CONFIG UPDATED UPDATING DEGRADED MACHINECOUNT READYMACHINECOUNT UPDATEDMACHINECOUNT DEGRADEDMACHINECOUNT AGE master rendered-master-9315fe98ae7415bae951bd94e210ea13 True False False 3 3 3 0 75d worker rendered-worker-9c1c2865c14e5edf0c5c6c285678abb7 True False False 5 5 5 0 75d
Pour chaque configuration, afin de vérifier que
Fips:est défini surtrue, exécutez la commande suivante:kubectl describe mc <CONFIG> | grep Fipsa. L'exemple précédent renvoie deux configurations. Par conséquent, vous devez exécuter la commande sur chaque configuration. Par exemple, voir la commande suivante:
kubectl describe rendered-master-9315fe98ae7415bae951bd94e210ea13 | grep Fipsb. La sortie de la commande doit comporter
Fips: true. Par exemple, consultez la sortie suivante:Fips: true
Images conformes à la norme FIPS des magasins de données et opérateurs tiers
Pour obtenir la liste complète des images conformes à la norme FIPS des opérateurs tiers et des référentiels de données, consultez la section « Mise en miroir des images d'opérateurs dans le registre d'images (hôte bastion) ».
Installation d'Instana
Une fois que vous avez vérifié la configuration FIPS sur votre cluster, vous pouvez installer Instana. Pour plus d'informations, consultez la section « Utilisation d'opérateurs d' Kubernetes s tiers ».