Azure Kubernetes Service (AKS) ノード プールに対して Federal Information Process Standard (FIPS) を有効にする
Federal Information Processing Standards (FIPS) 140-2 は、情報技術の製品やシステムに含まれる暗号モジュールに関して最低限のセキュリティ要件を規定する米国政府の標準です。 Azure Kubernetes Service (AKS) を使用すると、FIPS 140-2 対応の Linux および Windows ノード プールを作成できます。 FIPS 対応ノード プール上で実行されるデプロイは、そうした暗号モジュールを使用してセキュリティを高め、FedRAMP 準拠の一環としてセキュリティ規制への準拠を促進することができます。 FIPS 140-2 の詳細については、Federal Information Processing Standards (FIPS) 140 に関するページを参照してください。
前提条件
- Azure CLI バージョン 2.32.0 以降がインストールされ構成されていること。 バージョンを確認するには、
az --version
を実行します。 Azure CLI のインストールまたはアップグレードの詳細については、「Azure CLI のインストール」を参照してください。
Note
AKS Monitoring Addon では、エージェント バージョン 3.1.17 (Linux) および Win-3.1.17 (Windows) 以降の Ubuntu、Azure Linux、Windows を使用した FIPS 対応ノード プールがサポートされています。
制限事項
- FIPS 対応ノード プールには、次の制限があります。
- FIPS 対応ノードプールには、Kubernetes バージョン 1.19 以降が必要です。
- FIPS に使用される基になるパッケージまたはモジュールを更新するには、ノードイメージのアップグレードを使用する必要があります。
- FIPS ノードのコンテナー イメージは、FIPS 準拠について評価されていません。
- FIPS によって一部の認証モジュールが無効になるため、CIFS 共有のマウントは失敗します。 この問題を回避するには、FIPS 対応ノード プールにファイル共有をマウントしたときのエラーに関するページを参照してください。
重要
FIPS 対応の Linux イメージは、Linux ベースのノード プールに使用される既定の Linux イメージとは異なります。 ノード プールで FIPS を有効にするには、新しく Linux ベースのノード プールを作成する必要があります。 既存のノードプールで FIPS を有効にすることはできません。
FIPS 対応のノード イメージは、FIPS 非対応のイメージとは異なるバージョン番号 (カーネル バージョンなど) を持つことがあります。 また、FIPS 対応ノード プールおよびノード イメージは、FIPS 非対応のノード プールおよびイメージとは更新サイクルが異なることがあります。
サポートされている OS バージョン
FIPS 対応ノード プールは、サポートされているすべての OS の種類 (Linux および Windows) で作成できます。 ただし、すべての OS バージョンで FIPS 対応ノードプールがサポートされているわけではありません。 新しい OS バージョンがリリースされた後は、通常、FIPS に準拠する前に待機期間があります。
次の表に、サポートされている OS バージョンを示します。
OS の種類 | OS SKU | FIPS 準拠 |
---|---|---|
Linux | Ubuntu | サポートされています |
Linux | Azure Linux | サポートされています |
Windows | Windows Server 2019 | サポートされています |
Windows | Windows Server 2022 | サポートされています |
FIPS 対応 Ubuntu を要求するときに、既定の Ubuntu バージョンで FIPS をサポートしていない場合、AKS は既定で、最新の FIPS でサポートされているバージョンの Ubuntu に設定されます。 たとえば、Ubuntu 22.04 は Linux ノード プールの既定です。 22.04 では現在 FIPS をサポートしていないため、Linux FIPS 対応ノードプールの場合、AKS は既定で Ubuntu 20.04 になります。
Note
以前は、GetOSOptions API を使用して、特定の OS で FIPS をサポートしているかどうかを判断できました。 GetOSOptions API は非推奨になり、2024-05-01 以降の新しい AKS API バージョンには含まれません。
FIPS 対応 Linux ノード プールを作成する
--enable-fips-image
パラメーターを指定してaz aks nodepool add
コマンドを使用して、FIPS 対応の Linux ノード プールを作成します。az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name fipsnp \ --enable-fips-image
注意
クラスターの作成時に
az aks create
コマンドで--enable-fips-image
パラメーターを使用して、既定のノード プールで FIPS を有効にすることもできます。 このようにして作成したクラスターにノード プールを追加する場合でも、FIPS 対応ノード プールを作成するためには、ノード プールを追加する際に、--enable-fips-image
パラメーターを使用する必要があります。az aks show
コマンドと agentPoolProfiles の enableFIPS 値のクエリを使用して、ノード プールが FIPS 対応であることを確認します。az aks show \ --resource-group myResourceGroup \ --name myAKSCluster \ --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \ -o table
次の出力例は、fipsnp ノード プールが FIPS 対応であることを示しています。
Name enableFips --------- ------------ fipsnp True nodepool1 False
kubectl get nodes
コマンドを使用してノードを一覧表示します。kubectl get nodes
次の出力例は、クラスター内のすべてのノードを示しています。
aks-fipsnp
で始まるノードが FIPS 対応ノード プールに属しています。NAME STATUS ROLES AGE VERSION aks-fipsnp-12345678-vmss000000 Ready agent 6m4s v1.19.9 aks-fipsnp-12345678-vmss000001 Ready agent 5m21s v1.19.9 aks-fipsnp-12345678-vmss000002 Ready agent 6m8s v1.19.9 aks-nodepool1-12345678-vmss000000 Ready agent 34m v1.19.9
kubectl debug
を使用して FIPS 対応ノード プールのノードの 1 つに、対話型セッションのデプロイを実行します。kubectl debug node/aks-fipsnp-12345678-vmss000000 -it --image=mcr.microsoft.com/dotnet/runtime-deps:6.0
対話型セッションの出力から、FIPS 暗号ライブラリが有効であることを確認します。 出力は次の出力例のようになります。
root@aks-fipsnp-12345678-vmss000000:/# cat /proc/sys/crypto/fips_enabled 1
また、FIPS 対応ノード プールは、kubernetes.azure.com/fips_enabled=true というラベルを持ち、デプロイではこれを使用して、これらのノード プールをターゲットにすることができます。
FIPS 対応 Windows ノード プールを作成する
--enable-fips-image
パラメーターを指定してaz aks nodepool add
コマンドを使用して、FIPS 対応の Windows ノード プールを作成します。 Linux ベースのノード プールとは異なり、Windows ノード プールは同じイメージ セットを共有します。az aks nodepool add \ --resource-group myResourceGroup \ --cluster-name myAKSCluster \ --name fipsnp \ --enable-fips-image \ --os-type Windows
az aks show
コマンドと agentPoolProfiles の enableFIPS 値のクエリを使用して、ノード プールが FIPS 対応であることを確認します。az aks show \ --resource-group myResourceGroup \ --name myAKSCluster \ --query="agentPoolProfiles[].{Name:name enableFips:enableFips}" \ -o table
FIPS 対応ノード プール内に Windows ノードへの RDP 接続を作成することで、Windows ノード プールが FIPS 暗号化ライブラリにアクセスできることを確認し、レジストリをチェックします。 実行アプリケーションから、
regedit
を入力します。レジストリで
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
を探します。Enabled
が 1 に設定されている場合、FIPS は有効になっています。
また、FIPS 対応ノード プールは、kubernetes.azure.com/fips_enabled=true というラベルを持ち、デプロイではこれを使用して、これらのノード プールをターゲットにすることができます。
次のステップ
AKS のセキュリティの詳細については、「Azure Kubernetes Service (AKS) でのクラスターのセキュリティとアップグレードに関するベスト プラクティス」をご覧ください。
Azure Kubernetes Service
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示