红帽 OpenShift AI 版本 2.21 及更高版本现已针对联邦信息处理标准(FIPS)完成了专项设计。这一重要成果印证了我们始终致力于提供具有强大安全态势的企业级 AI 平台,让各企业组织能够在最高级别的信任保障与合规框架下,安全部署和管理 AI 工作负载。
介绍这项全新 FIPS 功能的博客系列由两部分组成,本文为第一部分。第 1 部分介绍了 OpenShift AI 的具体实践方案;第 2 部分将围绕 FIPS 在美国联邦部门 AI 平台中的应用展开实践性探讨。
客户可获享的优势
OpenShift AI 获得“专为 FIPS 而设计”认证标志,这可带来诸多优势,尤其适用于具有严格安全与合规要求的企业组织:
- 强化测试:2.21 版之后的所有 OpenShift AI 版本,都将在 FIPS 模式下的 OpenShift 集群中接受额外测试。
- 简化合规流程:对于政府机构和受监管的行业而言,在 FIPS 环境中开展工作变得更为便捷。OpenShift AI 为在 FIPS 模式下的 OpenShift 集群中开展 AI 运维提供了必要的基础。
- 跨混合云一致性:无论您是在本地还是在支持 FIPS 的云环境中运行 OpenShift AI,都能获得始终如一的安全防护与合规能力。
“专为 FIPS 而设计”是什么意思?
对于许多政府机构和受监管的行业而言,遵守 FIPS 140 不仅是一项最佳实践,更是一项强制性要求。FIPS 针对加密模块设定了严格的标准,确保敏感数据通过经验证的加密方法获得保护。
当我们说 OpenShift AI 是“专为 FIPS 而设计”,这意味着其底层组件经过精心构建和测试,因此当 OpenShift AI 部署在支持 FIPS 的 OpenShift 集群上时,其加密操作将使用由底层红帽企业 Linux(RHEL)操作系统提供的、经 FIPS 验证的加密模块。
OpenShift AI 获得“专为 FIPS 而设计”认证的历程
OpenShift AI 成功获得这项认证,这一成就充分彰显了我们工程团队的专业精神与技术实力。整个过程需全面验证 OpenShift AI 的每个层级是否符合 FIPS 要求。其中关键在于完成三项重要工作:
1.升级到通用基础镜像(UBI)9
OpenShift AI 容器镜像的基础已全面升级到红帽通用基础镜像(UBI)9。基于 RHEL 9 构建的 UBI 9 带来了众多安全增强功能,其中最关键的是一个强大的 FIPS 就绪型加密堆栈。通过对 UBI 9 进行标准化,我们可确保 OpenShift AI 组件使用的加密原语,均由 RHEL 9 中经过 FIPS 140 验证的模块提供支持。这为所有 OpenShift AI 工作负载提供了一个安全且一致的基础。
2.设置相关的 Go 编译器标志,以确保符合 FIPS 要求
OpenShift AI 中的许多组件都是用 Go 语言编写的。为确保这些 Go 二进制文件正确使用由 RHEL 提供的、经 FIPS 验证的加密库,我们的工程团队设置了所有相关的 Go 编译器标志。这意味着,我们编译的二进制文件不会使用 Go 的标准加密模块,而是正确集成并利用由 RHEL 提供的、经 FIPS 验证的 OpenSSL 库。这是在 FIPS 模式下运行软件的基本要求,可确保所有加密操作均遵循严格的 FIPS 标准执行。
3.更加关注 FIPS 模式下集群上的发布测试
对于过去多个版本,我们虽已在 FIPS 集群上对 OpenShift AI 进行测试,但并非所有组件都专为使用经 FIPS 验证的加密模块而构建。因此,我们的测试主要侧重于验证 OpenShift AI 在这类集群上的功能。如今,随着各组件实现 FIPS 合规设计(如果尝试执行非 FIPS 加密操作,则可能会导致失败),在此模式下进行测试的重要性显著提升。
在 OpenShift AI 2.21 版本中,我们对测试流程进行了多项优化。首先,我们会执行静态验证,确保所有容器镜像均遵循上述规则构建。接着,运行一整套现有的回归测试,以验证组件间通信无误。第三,执行基本的合理性测试——采用已发布的、广为人知的研讨会(如欺诈检测研讨会)并对其进行一些调整——以确认我们仅与支持传输层安全(TLS)要求的端点进行通信。
这种强化测试的实践,有效揭示了 FIPS 与非 FIPS 环境间的差异,其中一个示例就是:当在支持 FIPS 的集群中部署的 OpenShift AI 需要与外部系统交互时。例如,如果工件存储在外部对象存储服务中,则此外部服务需要提供使用 TLS v1.2(支持 EMS)或 TLS v1.3 进行连接的功能。有关此问题的更多信息,以及当上述两种方案均不可行时的替代方案,请参阅以下红帽文章:The TLS Extended Master Secret and FIPS in Red Hat Enterprise Linux(红帽企业 Linux 中的 TLS 扩展主密钥与 FIPS)。
展望未来
红帽 OpenShift AI 获得“专为 FIPS 而设计”认证,该成就标志着我们向交付具备更强安全性及简化合规工具的 AI 解决方案这一承诺迈出了重要一步。我们深知政府与行业法规不断演变,并将持续投入资源以强化我们产品的安全性与合规性。
我们鼓励受监管行业的客户探索红帽 OpenShift AI 的新功能,并利用其“专为 FIPS 而设计”这一强大基础,自信地加速推进 AI 计划。有关通过 OpenShift 容器平台和 OpenShift AI 配置 FIPS 模式的更多详细信息,请参阅我们的官方文档。
我们将始终将安全性和信任放在首位,不断突破企业 AI 的边界,敬请期待更多创新成果。
其他资源
关于作者
James first started at Red Hat in 2008 as a technical support engineer. Now he spends most of his time fondly looking at a vim editor in tmux session on a dark themed terminal and generally enjoys creating new software projects to solve problems.
Gerard works as a software engineer on the OpenShift AI team at Red Hat. He is very enthusiastic about free and open source software, security, and the environment.
Scott works as a software quality engineer on the OpenShift AI team at Red Hat.
