Red Hat OpenShift AI: projetado para FIPS, oferece confiança e inovação

A versão 2.21 e posteriores do Red Hat OpenShift AI agora oferecem suporte aos Padrões de Processamento de Informações Federais (FIPS). Essa conquista ressalta nosso compromisso em oferecer uma plataforma de IA de nível empresarial com uma forte postura de segurança, permitindo que as organizações implantem e gerenciem cargas de trabalho de IA com os mais altos níveis de confiança e conformidade.

Este é o primeiro de uma série de dois artigos no blog sobre a introdução desta nova funcionalidade FIPS. A parte 1 descreve o que está sendo feito com o OpenShift AI, e a parte 2 traz uma discussão prática sobre o FIPS em plataformas de IA para o setor federal dos EUA. 

Benefícios

A designação "projetado para FIPS" para o OpenShift AI oferece vários benefícios, particularmente para organizações com requisitos rigorosos de segurança e conformidade:

• Testes reforçados: todas as versões do OpenShift AI posteriores à versão 2.21 passarão por testes adicionais nos clusters do OpenShift no modo FIPS.
• Otimização da conformidade: para agências governamentais e setores regulamentados, o trabalho em um ambiente FIPS foi simplificado. O OpenShift AI oferece a base necessária para operações de IA em um cluster do OpenShift no modo FIPS.
• Consistência na nuvem híbrida: esteja você executando o OpenShift AI on-premises ou em um ambiente de nuvem habilitado para FIPS, você terá recursos consistentes de segurança e conformidade.

O que significa "projetado para FIPS"?

Para muitas agências governamentais e setores regulamentados, a adesão ao FIPS 140 não é somente uma prática recomendada, é uma obrigação. O FIPS define padrões rigorosos para módulos criptográficos, protegendo dados confidenciais com métodos de criptografia validados.

Quando dizemos que o OpenShift AI é "projetado para FIPS", isso significa que os componentes subjacentes foram construídos e testados. Assim, quando o OpenShift AI for implantado em um cluster do OpenShift habilitado para FIPS, suas operações criptográficas usarão os módulos criptográficos validados para FIPS fornecidos pelo sistema operacional subjacente Red Hat Enterprise Linux (RHEL).

A jornada do OpenShift AI para se tornar "projetado para FIPS"

Alcançar essa designação atesta a dedicação e a experiência de nossas equipes de engenharia. Foi um esforço abrangente para verificar se todas as camadas do OpenShift AI estavam alinhadas aos requisitos FIPS. Três iniciativas críticas foram fundamentais para isso:

1. Atualização para a Universal Base Image (UBI) 9

A base das imagens de containers do OpenShift AI foi totalmente atualizada para o Red Hat Universal Base Image (UBI) 9. O UBI 9, baseado no RHEL 9, traz várias melhorias de segurança e, principalmente, um stack criptográfico robusto e pronto para FIPS. Ao padronizar no UBI 9, garantimos que os primitivos criptográficos usados pelos componentes do OpenShift AI sejam apoiados pelos módulos validados pelo FIPS 140 presentes no RHEL 9. Isso oferece uma base segura e consistente para todas as cargas de trabalho do OpenShift AI.

2. Definição de sinalizadores de compilador Go relevantes para conformidade com FIPS

Muitos componentes do OpenShift AI são escritos em Go. Para garantir que esses binários Go usem corretamente as bibliotecas criptográficas validadas para FIPS do RHEL, nossa equipe de engenharia definiu todos os sinalizadores de compilador Go relevantes. Isso significa que, em vez de usar o módulo criptográfico padrão do Go, nossos binários compilados se integram corretamente e utilizam as bibliotecas OpenSSL validadas por FIPS fornecidas pelo RHEL. Esse é um requisito fundamental para o software operar no modo FIPS, portanto, as operações criptográficas são realizadas de acordo com os rigorosos padrões FIPS.

3. Aumentando o foco nos testes de lançamento em clusters no modo FIPS

Em várias versões, testamos o OpenShift AI em clusters FIPS, mas nem todos os componentes foram criados para usar exclusivamente módulos criptográficos validados para FIPS. Portanto, nossos testes se concentraram principalmente na verificação da funcionalidade do OpenShift AI nesses clusters. Agora, com componentes projetados para conformidade com FIPS (e potencialmente falhando se forem tentadas operações criptográficas não FIPS), nossos testes nesse modo ficaram mais importantes. 

Com a versão 2.21 do OpenShift AI, adicionamos algumas melhorias aos nossos testes. Primeiro, executamos uma validação estática para garantir que todas as imagens de containers são construídas de acordo com as regras descritas acima. Em seguida, executamos um conjunto completo de testes de regressão existentes para verificar se a comunicação entre componentes está livre de erros. Em seguida, realizamos um teste básico de sanidade — usando workshops conhecidos, como o Fraud Detection workshop com algumas modificações — para confirmar que estamos nos comunicando somente com endpoints compatíveis com os requisitos do Transport Layer Security (TLS).

Um exemplo em que esse foco maior nos testes destacou a diferença entre os ambientes FIPS e não FIPS foi onde o OpenShift AI em um cluster habilitado para FIPS precisa interagir com um sistema externo. Por exemplo, se os artefatos estiverem sendo armazenados em um serviço de armazenamento de objetos externo, esse serviço externo precisará oferecer a capacidade de se conectar usando TLS v1.2 com suporte a EMS ou TLS v1.3. Para mais informações sobre isso e para saber quais opções estão disponíveis caso ocorra um cenário em que nenhuma dessas opções esteja disponível, consulte o seguinte artigo da Red Hat: The TLS Extended Master Secret and FIPS in Red Hat Enterprise Linux.

De olho no futuro

O status "projetado para FIPS" do Red Hat OpenShift AI é um avanço significativo em nosso compromisso de oferecer soluções de IA com segurança reforçada e ferramentas de conformidade simplificadas. Entendemos a evolução contínua das regulamentações governamentais e do setor e continuaremos a investir no fortalecimento da segurança e conformidade de nossas ofertas.

Incentivamos nossos clientes de setores regulamentados a explorar os novos recursos do Red Hat OpenShift AI e usar sua base "projetado para FIPS" para acelerar suas iniciativas de IA com confiança. Para informações mais detalhadas sobre como configurar o modo FIPS com o OpenShift Container Platform e o OpenShift AI, consulte a nossa documentação oficial.

Fique ligado para mais inovações à medida que continuamos a desafiar os limites da IA empresarial, sempre com segurança e confiança em primeiro lugar.

Outros recursos

• FIPS - Federal Information Processing Standards
• Componentes criptográficos essenciais do RHEL
• Como instalar o OpenShift Container Platform no modo FIPS