FIPS 要件への準拠
米国とカナダ政府は、プライベート・データを保護する暗号モジュールのセキュリティー仕様を規定する連邦情報処理標準 (FIPS) 資料 140-2 を公開しました。
連邦政府のお客様は、FIPS 準拠のソフトウェア製品を使用する必要があります。 1996 年の情報技術管理改革法の第 5131 条では、米国の政府機関に販売されるすべての製品に対して FIPS 140-2 検証が要求されています。
Instana は、セルフホスト型カスタムエディション( Kubernetes または Red Hat OpenShift Container Platform ) のクラスターにインストールできます。 Instana 6つのサードパーティ製データストアとそのオペレーターを利用して、さまざまな種類のデータを処理・保存しています。 ほとんどのデータ・ストアとそのオペレーターには、FIPS 標準に準拠するために必要な暗号化モジュールがありません。 したがって、 Instana は、データストアおよびオペレーターがFIPS準拠となるよう、必要な暗号モジュールを提供します。 また、必要な変更が加えられた新しい Docker イメージをご利用いただけます。
前提条件
Instana をインストールする前に、FIPS 対応のクラスタが構築されていることを確認してください。
以下のコンポーネントをクラスターにインストールします。
Red Hat OpenShift Container Platform をFIPSモードでインストールする
FIPS モードで動作するように OpenShift Container Platform クラスターを構成できます。 詳細については、以下を参照してください FIPS暗号化のサポート 。
検証
クラスターが FIPS モードで構成されているかどうかを確認するには、以下の手順を実行します。
ユーザーとしてクラスターにログインします。
注: クラスタ管理者権限が必要です。FIPS が有効になっているかどうかを確認するには、以下のコマンドを実行します。
kubectl get cm cluster-config-v1 -n kube-system -o json | jq -r '.data."install-config"' | grep -i "fips"コマンド出力では、以下の例のように
fipsをtrueに設定する必要がある:fips: true name: instanta-fips-test-01 root@instanta-fips-test-01マシン構成の名前を取得するには、次のコマンドを実行します。
kubectl get mcpコマンド出力では、構成名は
CONFIG列にあります。 例えば、以下の出力を参照してください。NAME CONFIG UPDATED UPDATING DEGRADED MACHINECOUNT READYMACHINECOUNT UPDATEDMACHINECOUNT DEGRADEDMACHINECOUNT AGE master rendered-master-9315fe98ae7415bae951bd94e210ea13 True False False 3 3 3 0 75d worker rendered-worker-9c1c2865c14e5edf0c5c6c285678abb7 True False False 5 5 5 0 75d
構成ごとに、
Fips:がtrueに設定されていることを確認するために、以下のコマンドを実行します。kubectl describe mc <CONFIG> | grep Fipsa. 前の例では、2 つの構成が返されます。 したがって、各構成でこのコマンドを実行する必要があります。 例えば、以下のコマンドを参照してください。
kubectl describe rendered-master-9315fe98ae7415bae951bd94e210ea13 | grep Fipsb. コマンド出力には
Fips: trueが含まれている必要があります。 例えば、以下の出力を参照してください。Fips: true
サードパーティ製データストアおよびオペレーターのFIPS準拠イメージ
サードパーティ製オペレーターおよびデータストアのFIPS準拠イメージの完全な一覧については、 「イメージレジストリ(バスティオンホスト)でのオペレーターイメージのミラーリング」 を参照してください。
インスタナのインストール
クラスタのFIPS設定を確認した後、 Instana をインストールできます。 詳細については、 「サードパーティ製 Kubernetes オペレーターの使用」 を参照してください。