Noticias

Cree y ejecute contenedores FIPS en Ubuntu

Independientemente de si se ejecutan en la cirro pública o en una cirro privada, el uso de contenedores está anclado en los flujos de trabajo actuales orientados a devops. Por lo tanto, para rendir al mayor el potencial de los contenedores, es necesario configurar las cargas de trabajo de tal modo que cumplan con los requisitos de cumplimiento prescritos. Este artículo negociación sobre la construcción y operación de contenedores que cumplen con el típico de protección de datos FIPS140-2 de los gobiernos de EE. UU. Y Canadá. Para crear contenedores compatibles con Ubuntu FIPS140-2, necesita los paquetes certificados FIPS140-2, a los que se puede entrar con una suscripción a Ubuntu Advantage o con Ubuntu Pro en AWS o Azure

Nuestro ejemplo muestra cómo crear un contenedor FIPS en una imagen FIPS de Ubuntu Pro. Las imágenes de Ubuntu Pro FIPS están disponibles en AWS Marketplace y Azure Marketplace. Están preconfigurados y optimizados para el típico de protección de datos FIPS140-2 de los gobiernos de EE. UU. Y Canadá. Estas son imágenes premium desarrolladas por Canonical que ofrecen los beneficios de Ubuntu Advantage sin la carestia de una suscripción. Las características secreto incluyen parches de kernel en vivo que permiten un longevo tiempo de actividad y componentes certificados FIPS140-2 que se pueden usar para casos de uso de FedRAMP, HIPAA y PCI. Ubuntu Pro está respaldado por un compromiso de mantenimiento de 10 abriles de Canonical.

Sin entrar en los detalles de FIPS140-2, es importante acentuar que un concepto secreto de FIPS es que sus requisitos cubren todo el sistema, desde el kernel hasta los paquetes criptográficos FIPS. Entonces, cuando nos referimos a un contenedor FIPS, nos referimos a una imagen de contenedor que contiene los paquetes criptográficos FIPS de Ubuntu (por ejemplo, libgcrypt, openssl). Utilice el kernel del host, este contenedor, como imágenes de contenedor debe valer ejecutándose en un kernel preparado para FIPS de Ubuntu para cumplir con los requisitos de FIPS. Como regla común, cada contenedor FIPS de Ubuntu debe ejecutarse bajo el sistema de interpretación de Ubuntu correspondiente, con FIPS preparado en el kernel.

El sistema que genera el contenedor FIPS debe tener asociada una suscripción a Ubuntu Advantage. De lo contrario, podría ser una imagen FIPS de Ubuntu Pro. Las imágenes de Ubuntu Pro FIPS están disponibles en AWS Marketplace y Azure Marketplace.

En aras de la simplicidad, este artículo muestra cómo se genera dicho contenedor en una instancia de cirro pública (AWS o Azure). Bajo AWS EC2 usamos la AMI ‘Ubuntu Pro FIPS 18.04 LTS’ y bajo Azure la imagen ‘Ubuntu Pro FIPS 18.04 LTS’. El ejemplo es muy similar si está utilizando un sistema Ubuntu con una suscripción a Ubuntu Advantage adjunta y FIPS preparado

Genere el contenedor con los componentes FIPS necesarios

Inicie un ‘Ubuntu Pro FIPS 18.04 LTS’ en AWS o Azure. De forma predeterminada, las instancias se envían con FIPS preparado. La instancia puyazo se usa para crear y ejecutar los contenedores con los paquetes FIPS.

Una vez que su instancia de trabajador de FIPS esté en funcionamiento, puede suscitar un contenedor compatible con FIPS de la ulterior modo. Puede personalizar la letanía de paquetes instalados para incluir solo los paquetes necesarios para su carga de trabajo.

$ mkdir -p ubuntu18-fips/packages

# install docker
$ sudo apt-get update
$ sudo apt-get install -y docker.io

#start the docker daemon
$ sudo systemctl start docker

# download the FIPS components to be included in the container
$ sudo apt-get clean
$ sudo apt-get install -y --reinstall --download-only 
    openssh-client openssh-client-hmac openssh-server 
    openssh-server-hmac strongswan strongswan-hmac 
    openssh-sftp-server libstrongswan libstrongswan-standard-plugins 
    strongswan-starter strongswan-libcharon strongswan-charon 
    openssl libssl1.1 libssl1.1-hmac kcapi-tools libkcapi1

# Next you’ll want to copy those deb packages to your build directory
$ cp /var/cache/apt/archives/*.deb ubuntu18-fips/packages/
$ cd ubuntu18-fips
$ cat >Dockerfile <<_EOF_
FROM ubuntu:18.04

RUN apt-get update
ADD packages packages/
RUN apt-get install -y ./packages/*.deb 
RUN apt-get clean
RUN rm -rf ./packages
_EOF_

$ sudo docker build -t ubuntu18-fips .

Para probar su contenedor recién creado en la ejecución de Ubuntu FIPS 18.04 LTS:

$ sudo docker run -it ubuntu18-fips bash

Su contenedor ahora está despierto para moverse a su registro privado y estar de moda para controlar sus cargas de trabajo.

Breviario

  • Puede crear y ejecutar contenedores habilitados para FIPS en cualquier host con una suscripción válida a Ubuntu Advantage o en imágenes FIPS de Ubuntu Pro.
  • Solo puede ejecutar contenedores habilitados para FIPS en hosts habilitados para FIPS para cumplir con los requisitos de FIPS140-2.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba