# RANCHER $ ^{®} $ # Rancher Kubernetes Cryptographic Library FIPS 140-2 Non-Proprietary Security Policy Document Version 1.1 January 4, 2021 Prepared for: ![Image](/uploads/documents/b/8/7/3/b8 |---|---|---| |\[140]|FIPS 140-2, Security Requirements for Cryptographic Modules|12/3/2002| |\[140AA]|FIPS 140-2 Annex A: Approved Security Functions|6/10/2019| |\[140AC]|FIPS 140-2 Annex C: Approved Random | |\[140AD]|FIPS 140-2 Annex D: Approved Key Establishment Techniques|8/12/2020| |\[140DTR]|FIPS 140-2 Derived Test Requirements|1/4/2011| |\[140IG]|Implementation Guidance for FIPS 140-2 and the Cryptographic

OPENSHIFT CONTAINER PLATFORM 集群 3872 # 第 27 章 支持 FIPS 加密 3874 27.1. OPENSHIFT CONTAINER PLATFORM 中的 FIPS 验证 3874 27.2. 集群使用的组件支持 FIPS 3875 27.3. 在 FIPS 模式下安装集群 3875 ## 第1章 OPENSHIFT CONTAINER PLATFORM 义区域。 您还可以将集群机器配置为使用RHEL加密库在安装过程中为FIPS140-2/140-3Validation提交给 NIST。  ## 重要 当以FIPS模式运行Red Hat Enterprise Linux（RHEL）或Red Enterprise Linux CoreOS（RHCOS）时，OpenShift Container Platform核心组件使用RHEL加密库，在 x86_64、ppc64le和s390x架构上提交到NIST FIPS140-2/140-3Validation。 ## 2.2. 安装后为用户准备集群 在安装集群时不需要进行一些配置，但建议在用户访问集群前进行操作。您可以通过自定义组成集群的 Operator

.... 7 2.3. 节点类型 ..... 8 第3章 内部存储服务 ..... 10 第4章 外部存储服务 ..... 11 第5章 安全考虑 ..... 12 5.1. FIPS-140-2 ..... 12 5.2. 代理环境 ..... 12 5.3. 数据加密选项 ..... 12 5.4. TRANSIT 中的加密 ..... 14 第6章 订阅 1. FIPS-140-2 Federal Information Processing Standard Publication 140-2 (FIPS-140-2) 是定义使用加密模块的一系列安全要求的标准。这个标准受到美国政府机构和承包商的强制要求，在其他国际和行业特定的标准中也会引用该标准。 Red Hat OpenShift Data Foundation 现在使用 FIPS 验证的加密模块。Red Platform 上启用 FIPS 模式。OpenShift Container Platform 必须在 RHCOS 节点上运行，因为该功能不支持在 Red Hat Enterprise Linux 7(RHEL 7) 上部署 OpenShift Data Foundation。 如需更多信息，请参阅 OpenShift Container Platform 文档中的安装指南的在 FIPS 模式下安装集群和对

SCEaaS  RKE2 FIPS Validated 140-2 Kubernetes 

Platform 专为 FIPS 设计。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 Red Hat Enterprise Linux CoreOS (RHCOS) 时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le、s390x 架构上提交给 NIST 的 FIPS 140-2/140-3 |在节点上控制过量使用和管理容器密度|不支持|不支持| |Cron 作业|支持|支持| |Descheduler|支持|支持| |Egress IP|支持|支持| |加密数据存储在 etcd 中|支持|支持| |FIPS 加密|支持|支持| |Helm|支持|支持| |Pod 横向自动扩展|支持|支持| |IBM 安全执行|不支持|支持| |IBM Power® Virtual Server Block CSI Driver

OpenShift Container Platform 发行注记中已弃用和删除的功能部分。 - 如果以 FIPS 模式部署 OpenShift Container Platform，则需要在 RHEL 机器上启用 FIPS，然后才能引导它。请参阅 RHEL 8 文档中的启用 FIPS 模式安装 RHEL 8 系统。  ## 重要 要为集群启用 FIPS 模式，您必须从配置为以 FIPS 模式操作的 Red Hat Enterprise Linux (RHEL) 计算机运行安装程序。有关在 RHEL 中配置 FIPS 模式的更多信息，请参阅在 FIPS 模式中安装该系统。当以 FIPS 模式运行 Red Hat Enterprise Linux (RHEL) 或 CoreOS (RHCOS) 时，OpenShift Container Platform 核心组件使用 RHEL 加密库，在 x86_64、ppc64le 和 s390x 架构上提交到 NIST FIPS 140-2/140-3 Validation。 ● NetworkManager 1.0 或更高版本。 1 个 vCPU。 ● 最小 8 GB RAM。 - 最小15 GB硬盘空间，用于包含/var/的文件系统。

7f3779ad94740180a29a429f0c02/p1466_1.jpg) ## SSLFIPS Directive |Description:|SSL FIPS mode Switch| |---|---| |Syntax:|SSLFIPS on \| off| |Default:|SSLFIPS off| |Context:|server config| config| |Status:|Extension| |Module:|mod\_ssl| This directive toggles the usage of the SSL library FIPS_mode flag. It must be set in the global server context and cannot be configured with conflicting settings not support the FIPS_mode flag, SSLFIPS on will fail. Refer to the FIPS 140-2 Security Policy document of the SSL provider library for specific requirements to use mod_ssl in a FIPS 140-2 approved mode of

1e1de65bde1e02b823ca10ca2894/p1466_1.jpg) ## SSLFIPS Directive |Description:|SSL FIPS mode Switch| |---|---| |Syntax:|SSLFIPS on \| off| |Default:|SSLFIPS off| |Context:|server config| config| |Status:|Extension| |Module:|mod\_ssl| This directive toggles the usage of the SSL library FIPS_mode flag. It must be set in the global server context and cannot be configured with conflicting settings not support the FIPS_mode flag, SSLFIPS on will fail. Refer to the FIPS 140-2 Security Policy document of the SSL provider library for specific requirements to use mod_ssl in a FIPS 140-2 approved mode of

Description: SSL FIPS mode Switch Syntax: SSLFIPS on | off Default: SSLFIPS off Context: server config Status: Extension Module: mod_ssl This directive toggles the usage of the SSL library FIPS_mode not support the FIPS_mode flag, SSLFIPS on will fail. Refer to the FIPS 140-2 Security Policy document of the SSL provider library for specific requirements to use mod_ssl in a FIPS 140-2 approved mode of of operation; note that mod_ssl itself is not validated, but may be described as using FIPS 140-2 validated cryptographic module, when all components are assembled and operated under the guidelines imposed

28f68c81effaa1faf478562696c5/p1470_1.jpg) ## SSLFIPS Directive |Description:|SSL FIPS mode Switch| |---|---| |Syntax:|SSLFIPS on \| off| |Default:|SSLFIPS off| |Context:|server config| config| |Status:|Extension| |Module:|mod\_ssl| This directive toggles the usage of the SSL library FIPS_mode flag. It must be set in the global server context and cannot be configured with conflicting settings not support the FIPS_mode flag, SSLFIPS on will fail. Refer to the FIPS 140-2 Security Policy document of the SSL provider library for specific requirements to use mod_ssl in a FIPS 140-2 approved mode of