FIPS 要件への準拠

米国とカナダ政府は、プライベート・データを保護する暗号モジュールのセキュリティー仕様を規定する連邦情報処理標準 (FIPS) 資料 140-2 を公開しました。

連邦政府のお客様は、FIPS 準拠のソフトウェア製品を使用する必要があります。 1996 年の情報技術管理改革法の第 5131 条では、米国の政府機関に販売されるすべての製品に対して FIPS 140-2 検証が要求されています。

Instana は、セルフホスト型カスタムエディション( Kubernetes または Red Hat OpenShift Container Platform ) のクラスターにインストールできます。 Instana 6つのサードパーティ製データストアとそのオペレーターを利用して、さまざまな種類のデータを処理・保存しています。 ほとんどのデータ・ストアとそのオペレーターには、FIPS 標準に準拠するために必要な暗号化モジュールがありません。 したがって、 Instana は、データストアおよびオペレーターがFIPS準拠となるよう、必要な暗号モジュールを提供します。 また、必要な変更が加えられた新しい Docker イメージをご利用いただけます。

Red Hat OpenShift Container Platform をFIPSモードでインストールする

FIPS モードで動作するように OpenShift Container Platform クラスターを構成できます。 詳細については、以下を参照してください FIPS暗号化のサポート 外部リンク・アイコン

検証

クラスターが FIPS モードで構成されているかどうかを確認するには、以下の手順を実行します。

  1. ユーザーとしてクラスターにログインします。

    注: クラスタ管理者権限が必要です。
  2. FIPS が有効になっているかどうかを確認するには、以下のコマンドを実行します。

    kubectl get cm cluster-config-v1 -n kube-system -o json | jq -r '.data."install-config"' | grep -i "fips"
     
  3. コマンド出力では、以下の例のようにfipstrueに設定する必要がある:

    fips: true
      name: instanta-fips-test-01
      root@instanta-fips-test-01
     
  4. マシン構成の名前を取得するには、次のコマンドを実行します。

    kubectl get mcp
     
    • コマンド出力では、構成名は CONFIG 列にあります。 例えば、以下の出力を参照してください。

      NAME     CONFIG                                             UPDATED   UPDATING   DEGRADED   MACHINECOUNT   READYMACHINECOUNT   UPDATEDMACHINECOUNT   DEGRADEDMACHINECOUNT   AGE
      master   rendered-master-9315fe98ae7415bae951bd94e210ea13   True      False      False      3              3                   3                     0                      75d
      worker   rendered-worker-9c1c2865c14e5edf0c5c6c285678abb7   True      False      False      5              5                   5                     0                      75d
       
  5. 構成ごとに、 Fips:trueに設定されていることを確認するために、以下のコマンドを実行します。

    kubectl describe mc <CONFIG> | grep Fips
     

    a. 前の例では、2 つの構成が返されます。 したがって、各構成でこのコマンドを実行する必要があります。 例えば、以下のコマンドを参照してください。

    kubectl describe rendered-master-9315fe98ae7415bae951bd94e210ea13 | grep Fips
     

    b. コマンド出力には Fips: trueが含まれている必要があります。 例えば、以下の出力を参照してください。

    Fips:  true