Red Hat OpenShift AI: FIPS 준수 설계로 신뢰를 구축하고 혁신 가속화

Red Hat OpenShift AI 2.21 이상 버전은 연방 정보 처리 표준(FIPS)을 준수하도록 설계되었습니다. 이러한 성과는 강력한 보안 태세를 갖춘 엔터프라이즈급 AI 플랫폼을 제공하여 조직이 가장 높은 수준의 신뢰와 컴플라이언스를 기반으로 AI 워크로드를 배포하고 관리할 수 있도록 돕기 위한 Red Hat의 노력을 보여줍니다.

이 블로그는 이 새로운 FIPS 기능을 소개하는 2부작 블로그 시리즈 중 첫 번째 포스트입니다. 1부에서는 OpenShift AI와 관련하여 진행 중인 작업에 관해 설명하고, 2부에서는 미국 연방 부문 AI 플랫폼의 FIPS에 대한 실질적인 논의를 진행합니다. 

고객을 위한 이점

OpenShift AI의 'FIPS 준수 설계' 지정은 특히 엄격한 보안 및 컴플라이언스 요구 사항이 적용되는 조직에 다음과 같은 다양한 이점을 제공합니다.

• 테스트 추가: 버전 2.21 이후의 모든 OpenShift AI 릴리스는 FIPS 모드의 OpenShift 클러스터에서 추가 테스트를 거치게 됩니다.
• 간소화된 컴플라이언스: 정부 기관과 규제 대상 산업의 경우 FIPS 환경에서의 작업이 간소화되었습니다. OpenShift AI는 FIPS 모드의 OpenShift 클러스터에서 AI 작업에 필요한 기반을 제공합니다.
• 하이브리드 클라우드 전반의 일관성: OpenShift AI를 온프레미스에서 실행하든 FIPS 지원 클라우드 환경에서 실행하든 상관없이 일관된 보안 및 컴플라이언스 기능을 누릴 수 있습니다.

'FIPS 준수 설계'란 무엇인가요?

많은 정부 기관과 규제 대상 산업에서 FIPS 140을 준수하는 것은 단순한 모범 사례에 그치는 것이 아니라 엄격하게 적용되는 의무입니다. FIPS는 암호화 모듈에 대한 엄격한 표준을 확립하여 민감한 데이터가 검증된 암호화 방법으로 보호되도록 합니다.

OpenShift AI가 'FIPS를 준수하도록 설계'되었다고 하는 것은 기반 구성 요소가 구축되고 테스트되었으므로 OpenShift AI가 FIPS 지원 OpenShift 클러스터에 배포될 때 암호화 연산에서 기본 Red Hat Enterprise Linux(RHEL) 운영 체제에서 제공하는 FIPS 인증 암호화 모듈이 사용됨을 의미합니다.

OpenShift AI가 'FIPS 준수 설계'로 지정되기 위해 지나온 여정

이 지정의 취득은 Red Hat 엔지니어링 팀의 헌신과 전문성을 보여줍니다. 여기에는 OpenShift AI의 모든 계층이 FIPS 요구 사항에 부합하는지 확인하기 위한 다각적인 노력이 필요했습니다. 이를 위한 핵심 과제는 다음 세 가지였습니다.

1. Universal Base Image(UBI) 9로 업그레이드

OpenShift AI 컨테이너 이미지의 기반은 Red Hat Universal Base Image(UBI) 9로 완전히 업그레이드되었습니다. RHEL 9를 기반으로 구축된 UBI 9는 다수의 보안 개선 사항과 함께 강력한 FIPS 지원 암호화 스택을 제공합니다. Red Hat은 UBI 9 기반의 표준화를 통해 OpenShift AI의 구성 요소에서 사용하는 암호화 프리미티브가 RHEL 9에 포함된 FIPS 140 인증 모듈을 기반으로 하는 것을 보장합니다. 이를 통해 모든 OpenShift AI 워크로드를 위한 안전하고 일관된 기반을 제공합니다.

2. FIPS 컴플라이언스를 위한 관련 Go 컴파일러 플래그 설정

OpenShift AI 내의 많은 구성 요소는 Go로 작성됩니다. 이러한 Go 바이너리가 RHEL의 FIPS 인증 암호화 라이브러리를 올바르게 사용하도록 하기 위해 Red Hat 엔지니어링 팀은 모든 관련 Go 컴파일러 플래그를 설정했습니다. 즉, Go의 표준 암호화 모듈을 사용하는 대신 컴파일된 바이너리가 RHEL에서 제공하는 FIPS 인증 OpenSSL 라이브러리와 올바르게 통합되고 이를 활용합니다. 이는 FIPS 모드에서 작동하는 소프트웨어의 기본 요구 사항이므로 암호화 연산은 엄격한 FIPS 표준에 따라 수행됩니다.

3. FIPS 모드의 클러스터에 대한 릴리스 테스트에 더 집중

Red Hat은 여러 릴리스에 대해 FIPS 클러스터에서 OpenShift AI를 테스트해 왔지만, 모든 구성 요소가 FIPS 인증 암호화 모듈만 사용하도록 설계된 것은 아니었습니다. 따라서 테스트는 주로 이러한 클러스터에서 OpenShift AI 기능을 확인하는 데 중점을 두었습니다. 이제 비 FIPS 암호화 연산이 시도되는 경우 실패할 수 있는 FIPS 준수 설계 구성 요소로 인해 이 모드에서의 테스트의 중요성이 더욱 커졌습니다. 

OpenShift AI 2.21 릴리스에서는 테스트에 몇 가지 개선 사항을 추가했습니다. 먼저 정적 유효성 검사를 실행하여 모든 컨테이너 이미지가 위에서 설명한 규칙에 따라 구축되었는지 확인합니다. 둘째, 기존 회귀 테스트 세트를 모두 실행하여 구성 요소 간 통신에 오류가 없는지 확인합니다. 셋째, 기본적인 기능 및 정상 작동 테스트를 실행합니다. 이를 위해 널리 알려진 공개 워크숍(예: 사기 감지 워크숍)을 약간 수정하여 전송 계층 보안(Transport Layer Security, TLS) 요구 사항을 지원하는 엔드포인트하고만 통신하는지 확인합니다.

이처럼 테스트에 대한 집중도가 높아짐에 따라 FIPS 환경과 비 FIPS 환경의 차이점이 강조된 사례는 FIPS 지원 클러스터의 OpenShift AI가 외부 시스템과 상호작용해야 하는 경우였습니다. 예를 들어 아티팩트가 외부 오브젝트 스토리지 서비스에 저장되는 경우 이 외부 서비스는 EMS가 지원되는 TLS v1.2 또는 TLS v1.3을 사용하여 연결하는 기능을 제공해야 합니다. 이에 대한 자세한 내용과 이러한 옵션을 모두 사용할 수 없는 시나리오가 발생하는 경우 사용할 수 있는 옵션은 Red Hat Enterprise Linux의 TLS 확장 마스터 시크릿 및 FIPS 문서를 참조하세요.

전망

Red Hat OpenShift AI의 'FIPS 준수 설계' 지정은 강화된 보안과 간소화된 컴플라이언스 툴을 통해 AI 솔루션을 제공하기 위한 Red Hat의 여정에서 일보 진전을 의미합니다. Red Hat은 정부 및 산업 관련 규제가 계속해서 진화하는 것을 잘 이해하고 있으며 Red Hat 제품의 보안과 컴플라이언스를 강화하기 위해 지속적으로 투자할 것입니다.

규제 대상 산업의 고객은 Red Hat OpenShift AI의 새로운 기능을 살펴보고 'FIPS를 준수하도록 설계된' 기반을 사용하여 AI 이니셔티브를 자신 있게 가속화할 수 있습니다. OpenShift Container Platform 및 OpenShift AI를 사용하여 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 공식 도큐멘테이션을 참조하세요.

항상 보안과 신뢰를 최우선으로 엔터프라이즈 AI의 경계를 넓히고 있는 Red Hat의 다음 혁신을 기대해 주세요.

기타 리소스

• FIPS - 연방 정보 처리 표준
• RHEL 핵심 암호화 구성 요소
• FIPS 모드에서 OpenShift Container Platform 설치