出品丨Docker公司(ID:docker-cn)
编译丨小东
每周一、三、五,与您不见不散!
我们很高兴地宣布 Docker 已经从美国国家标准与技术研究院(NIST)为 Docker EE 加密库获得了正式的 FIPS 140-2 认证(证书#3304)。通过对加密模块的认证和业界认可,我们能够进一步实现信息安全的基本机密性、完整性和可用性目标,并为我们的商业客户提供一个经过验证的、安全的应用平台。根据联邦信息安全管理法案(FISMA)和其他监管技术框架(如HIPAA和PCI)的要求,FIPS 140-2是一种重要的认证机制,用于保护关键任务系统中信息的敏感性和隐私性。
Docker EE 18.03 及其以上版本包含了上述经过认证的加密模块。此模块已经经过了 FIPS 140-2 的1级认证。Docker EE 正式版的加密库安全策略调用了该模块来支持 Docker EE 中的特定安全功能,包括以下内容:
- ID hashes;
- Swarm 模式分布式状态存储和 Raft 日志(安全存储 Docker - Secrets 和 Docker Configs);
- Swarm 模式覆盖网络(仅限于控制平面);
- Swarm 模式相互 TLS 实现;
- Docker 守护程序套接字 TLS 绑定;
在 Docker EE 中激活 FIPS 操作模式就像在底层主机操作系统上启用 FIPS 模式并重启引擎(如果它已在运行)一样简单。Docker EE 的 FIPS 模式也可以通过在命令前加上 DOCKER_FIPS = 1环境变量来显式激活。此外,可以在下一个 Docker EE 发行版中尝试启用 FIPS 模式,从而为管理和注册服务以及应用程序集群提供安全的基础。
如下图所示,Docker EE 利用专有的交换库来交换启用FIPS模式时用于实现功能的加密模块。
我们将继续努力,将 FIPS 140-2 认证模块添加到 Docker EE 容器平台的其余部分中,敬请期待后续更新。
