Red Hat OpenShift AI: zuverlässig, innovativ und für FIPS konzipiert

Red Hat OpenShift AI ab Version 2.21 und höher ist jetzt für Federal Information Processing Standards (FIPS) konzipiert. Diese Leistung unterstreicht unser Engagement für die Bereitstellung einer unternehmensgerechten KI-Plattform mit einem starken Sicherheitsstatus, der es Unternehmen ermöglicht, KI-Workloads mit einem Höchstmaß an Vertrauen und Compliance bereitzustellen und zu verwalten.

Dies ist der erste Teil einer zweiteiligen Blog-Reihe über die Einführung dieser neuen FIPS-Funktion. Teil 1 beschreibt, was mit OpenShift AI umgesetzt wird, und Teil 2 ist eine praktische Diskussion über FIPS in KI-Plattformen für den US-Bundessektor. 

Die Vorteile für unsere Kunden

Die Kennzeichnung als „für FIPS konzipiert“ für OpenShift AI bietet eine Reihe von Vorteilen, insbesondere für Unternehmen mit strengen Sicherheits- und Compliance-Anforderungen:

• Verstärkte Tests: Sämtliche Releases von OpenShift AI nach Version 2.21 werden zusätzlichen Tests auf OpenShift-Clustern im FIPS-Modus unterzogen.
• Optimierte Compliance: Für Regierungsbehörden und regulierte Branchen vereinfacht sich das Arbeiten in einer FIPS-Umgebung. OpenShift AI bietet die notwendige Basis für KI-Operationen auf einem OpenShift-Cluster im FIPS-Modus.
• Konsistenz in der gesamten Hybrid Cloud: Unabhängig davon, ob Sie OpenShift AI lokal oder in einer FIPS-fähigen Cloud-Umgebung ausführen, können Sie sich auf konsistente Sicherheits- und Compliance-Funktionen verlassen.

Was bedeutet „für FIPS konzipiert“?

Für viele Regierungsbehörden und regulierte Branchen ist die Einhaltung von FIPS 140 nicht nur eine Best Practice, sondern eine zwingende Vorgabe. FIPS legt strenge Standards für kryptografische Module fest, um sensible Daten mit validierten Verschlüsselungsmethoden zu schützen.

Wenn wir sagen, dass OpenShift AI „für FIPS konzipiert“ ist, bedeutet dies, dass die zugrunde liegenden Komponenten entsprechend entwickelt und getestet wurden. Wird OpenShift AI auf einem FIPS-fähigen OpenShift-Cluster bereitgestellt, nutzen seine kryptografischen Operationen die FIPS-validierten kryptografischen Module des zugrunde liegenden Betriebssystems Red Hat Enterprise Linux (RHEL).

Der Weg von OpenShift AI zum Status „für FIPS konzipiert“

Dieser Status ist ein Beweis für das Engagement und die Expertise unserer Engineering-Teams. Es erforderte einen umfassenden Aufwand, um zu überprüfen, ob die einzelnen Schichten von OpenShift AI den FIPS-Anforderungen entsprechen. Der Schlüssel dazu waren drei kritische Unterfangen:

1. Upgrade auf Universal Base Image (UBI) 9

Die Basis der Container Images von OpenShift AI wurde vollständig auf Red Hat Universal Base Image (UBI) 9 aktualisiert. UBI 9, das auf RHEL 9 basiert, bietet zahlreiche Sicherheitsverbesserungen und, was entscheidend ist, einen robusten FIPS-fähigen kryptografischen Stack. Durch die Standardisierung auf UBI 9 stellen wir sicher, dass die von den Komponenten von OpenShift AI verwendeten kryptografischen Primitiven durch die in RHEL 9 vorhandenen FIPS 140-validierten Module unterstützt werden. Damit erhalten Sie eine sichere und konsistente Basis für die verschiedenen OpenShift AI-Workloads.

2. Setzen relevanter Go-Compiler-Flags für die FIPS-Compliance

Zahlreiche Komponenten in OpenShift AI sind in Go geschrieben. Um sicherzustellen, dass diese Go-Binärdateien die FIPS-validierten kryptografischen Libraries von RHEL ordnungsgemäß verwenden, hat unser Engineering-Team sämtliche relevanten Go-Compiler-Flags festgelegt. Dies bedeutet, dass unsere kompilierten Binärdateien sich anstatt des standardmäßigen kryptografischen Moduls von Go korrekt in die von RHEL bereitgestellten FIPS-validierten OpenSSL-Libraries integrieren und diese nutzen. Dies ist eine grundlegende Anforderung für Software, die im FIPS-Modus ausgeführt wird, damit kryptografische Vorgänge gemäß den strengen FIPS-Standards erfolgen.

3. Verstärkter Fokus auf Release-Tests auf Clustern im FIPS-Modus

Im Rahmen verschiedener Releases haben wir OpenShift AI auf FIPS-Clustern getestet, aber nicht sämtliche Komponenten wurden ausschließlich für die Verwendung von FIPS-validierten kryptografischen Modulen entwickelt. Daher konzentrierten sich unsere Tests in erster Linie auf die Überprüfung der Funktionalität von OpenShift AI auf solchen Clustern. Da die Komponenten jedoch für die FIPS-Compliance ausgelegt sind und potenziell versagen können, falls nicht-FIPS-kryptografische Operationen versucht werden, haben unsere Tests in diesem Modus noch an Bedeutung gewonnen. 

Mit dem Release von OpenShift AI 2.21 haben wir einige Verbesserungen in unseren Tests hinzugefügt. Zuerst führen wir eine statische Validierung durch, um sicherzustellen, dass sämtliche unserer Container-Images gemäß den oben beschriebenen Regeln erstellt werden. Zweitens führen wir eine vollständige Reihe bestehender Regressionstests durch, um zu überprüfen, ob die Kommunikation zwischen den Komponenten fehlerfrei ist. In einem dritten Schritt führen wir einen grundlegenden Integritätstest durch – mit bekannten veröffentlichten Workshops wie dem Fraud Detection Workshop (mit einigen Änderungen) – um sicherzustellen, dass wir nur mit Endpunkten kommunizieren, die die TLS-Anforderungen (Transport Layer Security) unterstützen.

Ein Beispiel, bei dem der verstärkte Fokus auf das Testen einen Unterschied zwischen FIPS- und Nicht-FIPS-Umgebungen aufzeigte, war die Interaktion von OpenShift AI auf einem FIPS-fähigen Cluster mit einem externen System. Wenn ein externer Objekt-Storage-Service Artefakte speichert, muss dieser Service die Möglichkeit bieten, eine Verbindung über TLS v1.2 mit EMS-Unterstützung oder TLS v1.3 herzustellen. Weitere Informationen dazu und darüber, welche Optionen verfügbar sind, wenn in einem Szenario keine dieser Optionen verfügbar sind, finden Sie in diesem Artikel von Red Hat: TLS Extended Master Secret und FIPS in Red Hat Enterprise Linux.

Blick in die Zukunft

Der Status „für FIPS konzipiert“ von Red Hat OpenShift AI ist ein wichtiger Schritt im Hinblick auf unser Engagement für die Bereitstellung von KI-Lösungen mit erhöhter Sicherheit und vereinfachten Compliance-Tools. Wir kennen die ständige Weiterentwicklung von behördlichen und branchenspezifischen Vorschriften und werden daher weiterhin in die Verbesserung der Sicherheit und Compliance unserer Angebote investieren.

Wir ermutigen unsere Kunden in regulierten Branchen, die neuen Funktionen von Red Hat OpenShift AI zu erkunden und die für FIPS konzipierte Basis zu nutzen, um ihre KI-Initiativen zuverlässig zu beschleunigen. Ausführlichere Informationen zur Konfiguration des FIPS-Modus mit OpenShift Container Platform und OpenShift AI finden Sie in unserer offiziellen Dokumentation.

Seien Sie gespannt auf weitere Innovationen, denn wir werden auch weiterhin die Grenzen der Unternehmens-KI erweitern, wobei Sicherheit und Vertrauen stets im Vordergrund stehen.

Weitere Ressourcen

• FIPS - Federal Information Processing Standards
• Kryptografische Kernkomponenten von RHEL
• Installieren von OpenShift Container Platform im FIPS-Modus