Red Hat OpenShift AI: progettato per FIPS, garantisce affidabilità e innovazione

Red Hat OpenShift AI versione 2.21 e successive sono ora progettate per i Federal Information Processing Standards (FIPS). Questo risultato sottolinea il nostro impegno a fornire una piattaforma di IA di livello enterprise con un solido profilo di sicurezza che consenta alle organizzazioni di distribuire e gestire i carichi di lavoro di IA con i più alti livelli di affidabilità e conformità.

Questo è il primo articolo di una serie di blog in 2 parti sull'introduzione di questa nuova funzionalità FIPS. La prima parte descrive le attività svolte con OpenShift AI, mentre la seconda parte offre un'analisi pratica dei FIPS nelle piattaforme di IA per il settore federale degli Stati Uniti. 

I vantaggi per i nostri clienti

La designazione "progettata per FIPS" per OpenShift AI  offre una serie di vantaggi, in particolare per le organizzazioni con rigidi requisiti di sicurezza e conformità.

• Test incrementati: tutte le versioni di OpenShift AI successive alla versione 2.21 saranno sottoposte a test aggiuntivi sui cluster OpenShift in modalità FIPS.
• Conformità semplificata: per gli enti governativi e i settori regolamentati, lavorare in un ambiente FIPS ora è più semplice. OpenShift AI fornisce la base necessaria per le operazioni di IA su un cluster OpenShift in modalità FIPS.
• Coerenza nel cloud ibrido: che utilizzi OpenShift AI on premise o in un ambiente cloud abilitato per FIPS, puoi contare su funzionalità di sicurezza e conformità coerenti.

Cosa significa "progettato per FIPS"?

Per molti enti governativi e settori regolamentati, l'adesione a FIPS 140 non è solo una procedura consigliata, ma un obbligo rigoroso. FIPS stabilisce standard rigorosi per i moduli crittografici, in modo che i dati sensibili siano protetti con metodi di crittografia convalidati.

Quando diciamo che OpenShift AI è "progettato per FIPS", significa che i componenti alla base sono stati creati e testati in modo che, quando OpenShift AI viene distribuito su un cluster OpenShift abilitato per FIPS, le sue operazioni crittografiche utilizzino i moduli crittografici convalidati FIPS forniti dal sistema operativo Red Hat Enterprise Linux (RHEL) alla base.

Il percorso verso la designazione "progettato for FIPS" per OpenShift AI

Il raggiungimento di questa designazione testimonia la dedizione e la competenza dei nostri team di ingegneri. Ha richiesto un impegno totale, per verificare che ogni livello di OpenShift AI fosse in linea con i requisiti FIPS. È stato possibile grazie a tre attività fondamentali.

1. Aggiornamento a Universal Base Image (UBI) 9

La base delle immagini dei container di OpenShift AI è stata completamente aggiornata a Red Hat Universal Base Image (UBI) 9. UBI 9, basato su RHEL 9; offre una serie di miglioramenti della sicurezza e, soprattutto, uno stack crittografico robusto e predisposto per FIPS. Con la standardizzazione su UBI 9, garantiamo che le primitive crittografiche utilizzate dai componenti di OpenShift AI siano supportate dai moduli convalidati FIPS 140 presenti in RHEL 9. Ciò fornisce una base sicura e coerente per tutti i carichi di lavoro di OpenShift AI.

2. Impostazione dei flag del compilatore Go per la conformità FIPS

Molti componenti di OpenShift AI sono scritti in Go. Per assicurarsi che i file binari Go utilizzino correttamente le librerie di crittografia di RHEL convalidate da FIPS, il nostro team di ingegneri ha impostato tutti i flag del compilatore Go pertinenti. Ciò significa che, anziché utilizzare il modulo crittografico standard di Go, i nostri file binari compilati si integrano correttamente e utilizzano le librerie OpenSSL fornite da RHEL convalidate da FIPS. Questo è un requisito fondamentale per il software che opera in modalità FIPS, quindi le operazioni di crittografia vengono eseguite secondo i rigorosi standard FIPS.

3. Maggiore attenzione ai test di rilascio sui cluster in modalità FIPS

Per diverse versioni, abbiamo testato OpenShift AI su cluster FIPS, ma non tutti i componenti sono stati progettati per utilizzare esclusivamente moduli crittografici convalidati da FIPS. Pertanto, i nostri test si sono concentrati principalmente sulla verifica della funzionalità di OpenShift AI su tali cluster. Oggi, con i componenti progettati per la conformità FIPS, che potrebbero non funzionare correttamente se si tentano operazioni di crittografia non FIPS, i nostri test in questa modalità hanno assunto un’importanza maggiore. 

Con la versione 2.21 di OpenShift AI abbiamo aggiunto alcuni miglioramenti ai nostri test. Innanzitutto, eseguiamo una convalida statica per assicurarci che tutte le immagini dei container siano create seguendo le regole descritte sopra. In secondo luogo, eseguiamo un set completo di test di regressione esistenti per verificare che la comunicazione tra i componenti sia priva di errori. Inoltre, eseguiamo un test di integrità di base, utilizzando workshop pubblicati noti, come il Fraud Detection workshop con alcune modifiche, per confermare che stiamo comunicando solo con gli endpoint che supportano i requisiti Transport Layer Security (TLS).

Ad esempio, questa maggiore attenzione ai test ha evidenziato una differenza tra gli ambienti FIPS e non FIPS nel caso in cui OpenShift AI su un cluster abilitato per FIPS debba interagire con un sistema esterno. Ad esempio, se gli artefatti sono archiviati in un servizio di storage di oggetti esterno, questo servizio esterno dovrà fornire la possibilità di connettersi utilizzando TLS v1.2 con supporto EMS o TLS v1.3. Per ulteriori informazioni al riguardo e per scoprire quali opzioni sono disponibili se si verifica uno scenario in cui nessuna di queste opzioni è disponibile, consulta il seguente articolo di Red Hat: The TLS Extended Master Secret and FIPS in Red Hat Enterprise Linux.

Guardando al futuro

Lo stato "designed for FIPS" per Red Hat OpenShift AI rappresenta un passo avanti significativo nel nostro impegno a fornire soluzioni di IA con maggiore sicurezza e strumenti di conformità semplificati. Comprendiamo l'evoluzione costante delle normative governative e di settore e continueremo a investire per rafforzare la sicurezza e la conformità delle nostre offerte.

Incoraggiamo i nostri clienti nei settori regolamentati a esplorare le nuove funzionalità di Red Hat OpenShift AI e a utilizzare la sua base "progettata per i FIPS" per accelerare le iniziative di IA in tutta sicurezza. Per informazioni più dettagliate sulla configurazione della modalità FIPS con OpenShift Container Platform e OpenShift AI, consulta la nostra documentazione ufficiale.

Continua a seguirci per scoprire altre innovazioni, mentre continuiamo a spingerci oltre i confini dell'IA aziendale mantenendo sicurezza e affidabilità al primo posto.

Altre risorse

• FIPS - Federal Information Processing Standards
• Componenti crittografici di base di RHEL
• Installazione di OpenShift Container Platform in modalità FIPS