Red Hat OpenShift AI : une solution conçue pour FIPS, alliant confiance et innovation

La version 2.21 ainsi que toutes les versions ultérieures de Red Hat OpenShift AI sont désormais conçues pour répondre aux normes FIPS (Federal Information Processing Standards). Nous affirmons ainsi notre engagement à fournir une plateforme d'IA pour les entreprises dotée d'un solide profil de sécurité qui leur permet de déployer et gérer des charges de travail d'IA dans un environnement conforme et de confiance.

Il s'agit du premier volet d'un article de blog en deux parties qui présente cette nouvelle conformité FIPS. La première partie décrit l'évolution d'OpenShift AI, tandis que la seconde présente les aspects concrets des normes FIPS dans les plateformes d'IA pour le secteur fédéral des États-Unis. 

Avantages pour nos clients

La mention « solution conçue pour FIPS » appliquée à OpenShift AI offre un certain nombre d'avantages, en particulier pour les entreprises qui doivent respecter des exigences strictes en matière de sécurité et de conformité :

• Tests supplémentaires : toutes les versions d'OpenShift AI ultérieures à la version 2.21 feront l'objet de tests supplémentaires sur des clusters OpenShift en mode FIPS.
• Conformité rationalisée : les organismes publics et les entreprises des secteurs réglementés peuvent désormais travailler plus facilement dans un environnement FIPS. En effet, la plateforme OpenShift AI fournit la base nécessaire pour exploiter l'IA dans un cluster OpenShift en mode FIPS.
• Cohérence dans le cloud hybride : sur site ou dans un environnement cloud compatible FIPS, OpenShift AI offre des fonctionnalités de sécurité et de conformité cohérentes.

Qu'est-ce qu'une « solution conçue pour FIPS » ?

Pour de nombreux organismes publics et secteurs réglementés, le respect de la norme FIPS 140 est un impératif. Le système FIPS impose des normes rigoureuses pour les modules de chiffrement afin de garantir que les données sensibles sont protégées par des méthodes de chiffrement validées.

La mention « solution conçue pour FIPS » implique que les composants sous-jacents ont été créés (et testés) de manière à ce que lorsque la solution OpenShift AI est déployée sur un cluster OpenShift compatible avec les normes FIPS, ses opérations de chiffrement utilisent les modules de chiffrement certifiés FIPS fournis par le système d'exploitation Red Hat Enterprise Linux (RHEL).

Les étapes pour obtenir une « solution conçue pour FIPS »

Cette mention est la preuve de l'implication et de l'expertise de nos équipes d'ingénierie. Pour l'obtenir, il a fallu vérifier que chaque couche d'OpenShift AI était conforme aux exigences des normes FIPS. Voici les trois étapes clés qui nous ont permis d'y parvenir :

1 Mise à niveau vers une image de base universelle (UBI) 9

La base des images de conteneurs d'OpenShift AI a été entièrement mise à niveau et repose désormais sur la version 9 de la collection d'images UBI. Basée sur RHEL 9, UBI 9 apporte de nombreuses améliorations en matière de sécurité, et notamment une pile de chiffrement robuste compatible FIPS. En standardisant votre infrastructure sur UBI 9, vous avez la garantie que les primitives de chiffrement utilisées par les composants d'OpenShift AI sont prises en charge par les modules conformes FIPS 140 présents dans RHEL 9. Vous disposez ainsi d'une base cohérente et sécurisée pour toutes les charges de travail d'OpenShift AI.

2. Définition des indicateurs de compilation Go pertinents pour la conformité FIPS

De nombreux composants d'OpenShift AI sont écrits en Go. Pour s'assurer que ces binaires Go utilisent correctement les bibliothèques de chiffrement conformes à la norme FIPS de RHEL, notre équipe d'ingénierie a défini tous les indicateurs de compilation Go pertinents. Ainsi, au lieu d'utiliser le module de chiffrement standard de Go, nos fichiers binaires compilés s'intègrent correctement aux bibliothèques OpenSSL conformes avec FIPS fournies par RHEL. Il s'agit d'une condition fondamentale pour les logiciels qui fonctionnent en mode FIPS, qui garantit que les opérations de chiffrement sont effectuées conformément aux normes FIPS strictes.

3. Priorité aux tests de version pour les clusters en mode FIPS

Pour plusieurs versions, nous avons testé OpenShift AI sur des clusters FIPS, mais tous les composants n'avaient pas encore été conçus pour utiliser exclusivement des modules de chiffrement conformes avec FIPS. Par conséquent, nos tests étaient principalement axés sur la vérification du bon fonctionnement d'OpenShift AI sur ces clusters. Aujourd'hui, avec des composants conçus pour répondre aux exigences FIPS (susceptibles d'échouer en cas de tentative d'opération de chiffrement non FIPS), les tests dans ce mode revêtent une importance accrue. 

Avec la version 2.21 d'OpenShift AI, nous avons ajouté quelques améliorations à nos tests. Pour commencer, nous avons réalisé une validation statique pour nous assurer que toutes les images de conteneurs respectent les règles décrites ci-dessus. Ensuite, nous avons exécuté un ensemble complet de tests de régression pour vérifier que la communication entre les composants s'établit correctement. Pour finir, nous avons effectué un test de fonctionnement élémentaire, en nous inspirant de scénarios publiés tels que l'atelier sur la détection des fraudes, pour vérifier que la communication ne s'établit qu'avec des points de terminaison qui prennent en charge les exigences du protocole TLS (Transport Layer Security).

Ce renforcement des tests a révélé une différence entre les environnements conformes et non conformes à la norme FIPS lorsque OpenShift AI est déployé sur un cluster en mode FIPS et doit communiquer avec un système externe, par exemple quand des artéfacts se trouvent dans un service externe de stockage d'objets. Dans ce cas, le service externe en question doit autoriser la connexion via TLS v1.2 avec prise en charge ELS, ou de TLS v1.3. Pour en savoir plus à ce sujet et connaître les possibilités dans les cas où aucune de ces options n'est disponible, consultez l'article suivant de Red Hat : TLS Extended Master Secret et FIPS avec Red Hat Enterprise Linux.

Perspectives

Le statut de « solution conçue pour FIPS » de Red Hat OpenShift AI représente un pas en avant dans notre engagement à fournir des solutions d'IA dotées d'outils de conformité plus simples et plus sécurisés. Nous comprenons que les réglementations gouvernementales et sectorielles évoluent en permanence et nous continuerons à investir pour renforcer la sécurité et la conformité de nos offres.

Nous encourageons nos clients des secteurs réglementés à explorer les nouvelles fonctionnalités de Red Hat OpenShift AI et à utiliser sa base « conçue pour FIPS » afin d'accélérer leurs initiatives d'IA en toute confiance. Pour plus d'informations sur la configuration du mode FIPS avec OpenShift Container Platform et OpenShift AI, consultez notre documentation officielle.

Suivez-nous pour découvrir d'autres initiatives innovantes visant à repousser les limites de l'IA en entreprise qui mettent l'accent sur la sécurité et la confiance.

Autres ressources

• FIPS - Federal Information Processing Standards
• Composants de chiffrement de base de RHEL
• Installer OpenShift Container Platform en mode FIPS