Red Hat OpenShift AI: diseñado para FIPS, ofrece confianza e innovación

Red Hat OpenShift AI 2.21 y las versiones posteriores ahora están diseñadas para los Estándares Federales de Procesamiento de la Información (FIPS). Este logro destaca nuestro compromiso de ofrecer una plataforma de inteligencia artificial de nivel empresarial con una estrategia de seguridad sólida que permita a las empresas implementar y gestionar las cargas de trabajo de inteligencia artificial con los niveles más altos de confianza y cumplimiento normativo.

Esta es la primera de una serie de blogs de dos partes sobre la introducción de esta nueva función de FIPS. La parte 1 describe lo que se está haciendo con OpenShift AI, y la parte 2 analizará de manera práctica el uso de FIPS en las plataformas de inteligencia artificial para el sector federal de Estados Unidos. 

Ventajas para nuestros clientes

Esta designación para OpenShift AI "diseñada para FIPS" ofrece una serie de beneficios, especialmente para las empresas con requisitos estrictos de seguridad y cumplimiento normativo:

• Más pruebas: todas las versiones de OpenShift AI posteriores a la 2.21 se someterán a pruebas adicionales en clústeres de OpenShift en modo FIPS.
• Cumplimiento simplificado: los organismos gubernamentales y los sectores regulados pueden simplificar el trabajo en un entorno FIPS. OpenShift AI proporciona la base necesaria para las operaciones de inteligencia artificial en un clúster de OpenShift en modo FIPS.
• Uniformidad en toda la nube híbrida: ya sea que ejecutes OpenShift AI en las instalaciones o en un entorno de nube con FIPS habilitado, podrás contar con funciones coherentes de seguridad y cumplimiento normativo.

¿Qué significa "diseñado para FIPS"?

Para muchos organismos gubernamentales y sectores regulados, el cumplimiento de la norma FIPS 140 no es solo una práctica recomendada, sino también una obligación estricta. FIPS establece estándares rigurosos para los módulos criptográficos, protegiendo así los datos confidenciales con métodos de cifrado validados.

Cuando decimos que OpenShift AI está "diseñado para FIPS", significa que construimos y probamos los elementos subyacentes de tal forma que, cuando implementes OpenShift AI en un clúster de OpenShift compatible con FIPS, sus operaciones criptográficas utilizarán los módulos criptográficos validados para FIPS que proporciona el sistema operativo subyacente Red Hat Enterprise Linux (RHEL).

El proceso para lograr el "diseño para FIPS" de OpenShift AI

Obtener esta designación es un testimonio de la dedicación y la experiencia de nuestros equipos de ingeniería. Implicó un esfuerzo integral para verificar que cada capa de OpenShift AI se ajuste a los requisitos de FIPS. Para ello, hubo tres tareas fundamentales:

1. Actualización a Universal Base Image (UBI) 9

La base de las imágenes de contenedores de OpenShift AI se actualizó por completo a Red Hat Universal Base Image (UBI) 9. UBI 9, que se diseñó a partir de RHEL 9, trae consigo una gran cantidad de mejoras de seguridad y, lo que es más importante, una pila criptográfica sólida lista para FIPS. Al adoptar UBI 9 de manera estandarizada, nos aseguramos de que los módulos validados por FIPS 140 presentes en RHEL 9 respalden los elementos básicos criptográficos que utilizan los componentes de OpenShift AI. Esto proporciona una base segura y uniforme para todas las cargas de trabajo de OpenShift AI.

2. Configuración de indicadores relevantes del compilador de Go para el cumplimiento de FIPS

Muchos elementos de OpenShift AI están escritos en Go. Para asegurarte de que estos archivos binarios de Go utilicen correctamente las bibliotecas criptográficas validadas por FIPS de RHEL, nuestro equipo de ingeniería estableció todos los indicadores relevantes del compilador de Go. Esto significa que, en lugar de utilizar el módulo criptográfico estándar de Go, nuestros binarios compilados se integran correctamente a las bibliotecas de OpenSSL validadas por FIPS que proporciona RHEL y las utilizan. Este es un requisito fundamental para que el software funcione en modo FIPS, por lo que las operaciones criptográficas se llevan a cabo de acuerdo con los estrictos estándares de FIPS.

3. Aumentar el enfoque en las pruebas de lanzamiento en clústeres en modo FIPS

Probamos OpenShift AI en varias versiones en clústeres de FIPS, pero no todos los elementos se diseñaron para usar exclusivamente módulos criptográficos validados por FIPS. Por lo tanto, nuestras pruebas se centraron principalmente en verificar la funcionalidad de OpenShift AI en dichos clústeres. Ahora, con los elementos diseñados para el cumplimiento de FIPS, que pueden fallar si se intentan realizar operaciones criptográficas que no sean FIPS, nuestras pruebas en este modo han cobrado mayor importancia. 

Con el lanzamiento de OpenShift AI 2.21, incorporamos algunas mejoras a nuestras pruebas. Primero, ejecutamos una validación estática para asegurarnos de que todas nuestras imágenes de contenedores se hayan diseñado de acuerdo con las reglas descritas anteriormente. En segundo lugar, ejecutamos un conjunto completo de pruebas de regresión actuales para verificar que la comunicación entre los elementos no presente errores. En tercer lugar, realizamos una prueba de integridad básica con talleres conocidos publicados, como el Fraud Detection workshop con algunas modificaciones, para confirmar que solo nos comunicamos con los extremos que cumplen con los requisitos de seguridad de la capa de transporte (TLS).

Un ejemplo de cómo este enfoque fuerte en las pruebas destacó una diferencia entre los entornos FIPS y los que no son FIPS fue cuando OpenShift AI, en un clúster habilitado para FIPS, necesita interactuar con un sistema externo. Por ejemplo, si los artefactos se almacenan en un servicio de almacenamiento de objetos externo, este servicio externo deberá proporcionar la capacidad de conectarse mediante TLS v1.2 con soporte para EMS o TLS v1.3. Para obtener más información al respecto y conocer las opciones disponibles en caso de que ninguna de estas opciones esté disponible, consulta el siguiente artículo de Red Hat: The TLS Extended Master Secret and FIPS in Red Hat Enterprise Linux.

De cara al futuro

El estado de "diseñado para FIPS" de Red Hat OpenShift AI es un gran paso adelante en nuestro compromiso de ofrecer soluciones de inteligencia artificial con mayor seguridad y herramientas de cumplimiento simplificadas. Somos conscientes de la evolución constante de las normas gubernamentales y del sector, por lo que seguiremos invirtiendo para reforzar la seguridad y el cumplimiento normativo de nuestras ofertas.

Recomendamos a nuestros clientes de los sectores regulados que exploren las nuevas funciones de Red Hat OpenShift AI y utilicen su base diseñada para FIPS para agilizar sus iniciativas de inteligencia artificial con confianza. Para obtener información más detallada sobre la configuración del modo FIPS con OpenShift Container Platform y OpenShift AI, consulta nuestra documentación oficial.

Manténganse atentos a las novedades a medida que continuamos ampliando los límites de la inteligencia artificial empresarial, siempre con la seguridad y la confianza como prioridad.

Otros recursos

• FIPS - Estándares Federales de Procesamiento de la Información
• Elementos criptográficos principales de RHEL
• Instalación de OpenShift Container Platform en modo FIPS