FIPS
目錄
什麼是 FIPS 140?
FIPS 140 是美國政府的一項標準,定義了保護敏感資訊的加密模組的安全要求。它廣泛用於政府、醫療保健和金融服務等受監管的環境中。
FIPS 認證由 NIST 加密模組驗證計劃 (CMVP) 管理,該計劃確保加密模組符合嚴格的安全標準。
為何 FIPS 合規性很重要
在許多需要保護敏感資料的受監管環境中,例如政府、醫療保健、金融和國防,FIPS 140 合規性是必需或強烈推薦的。這些標準確保使用經過審查、受信任的演算法在安全模組中執行加密操作。
使用依賴經過驗證的加密模組的軟體元件可以幫助組織:
- 滿足聯邦和行業強制要求(例如 FedRAMP),這些要求或強烈推薦 FIPS 140 驗證的加密技術。
- 展示審計準備情況,並提供安全、基於標準的加密實踐的可驗證證據。
- 透過阻止未經批准或不安全的演算法(例如 MD5)並確保跨環境的一致行為,降低安全風險。
Docker 強化映象如何支援 FIPS 合規性
Docker 強化映象 (DHI) 包含使用 FIPS 140 下驗證的加密模組的變體。這些映象旨在透過整合符合標準的元件來幫助組織滿足合規性要求。
- FIPS 映象變體使用已在 FIPS 140 下驗證的加密模組。
- 這些變體由 Docker 構建和維護,以支援具有法規或合規性需求的環境。
- Docker 提供簽署的測試認證,記錄了經過驗證的加密模組的使用。這些認證可以支援內部審計和合規性報告。
注意使用 FIPS 映象變體有助於滿足合規性要求,但不能使應用程式或系統完全合規。合規性取決於映象在更廣泛的系統中的整合和使用方式。
識別支援 FIPS 的映象
支援 FIPS 的 Docker 強化映象在 Docker 強化映象目錄中被標記為 FIPS 合規。
要查詢包含 FIPS 映象變體的 DHI 儲存庫,請瀏覽映象並:
- 在目錄頁面上使用 FIPS 篩選器
- 在單個映象列表中查詢 FIPS 合規性標記
這些指示器可幫助您快速找到支援基於 FIPS 的合規性需求的儲存庫。包含 FIPS 支援的映象變體將具有以 -fips 結尾的標籤,例如 3.13-fips。
檢視 FIPS 認證
Docker 強化映象的 FIPS 變體包含一個 FIPS 認證,其中列出了映象中包含的實際加密模組。
您可以使用 Docker Scout CLI 檢索和檢查 FIPS 認證。
$ docker scout attest get \
--predicate-type https://docker.com/dhi/fips/v0.1 \
--predicate \
<your-namespace>/dhi-<image>:<tag>
例如:
$ docker scout attest get \
--predicate-type https://docker.com/dhi/fips/v0.1 \
--predicate \
docs/dhi-python:3.13-fips
認證輸出是一個 JSON 陣列,描述了映象中包含的加密模組及其合規狀態。例如:
[
{
"certification": "CMVP #4985",
"certificationUrl": "https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4985",
"name": "OpenSSL FIPS Provider",
"package": "pkg:dhi/openssl-provider-fips@3.1.2",
"standard": "FIPS 140-3",
"status": "active",
"sunsetDate": "2030-03-10",
"version": "3.1.2"
}
]