FIPS

目录

什么是 FIPS 140?

FIPS 140 是美国政府的一项标准,定义了保护敏感信息的加密模块的安全要求。它广泛用于政府、医疗保健和金融服务等受监管的环境中。

FIPS 认证由 NIST 加密模块验证计划 (CMVP) 管理,该计划确保加密模块符合严格的安全标准。

为何 FIPS 合规性很重要

在许多需要保护敏感数据的受监管环境中,例如政府、医疗保健、金融和国防,FIPS 140 合规性是必需或强烈推荐的。这些标准确保使用经过审查、受信任的算法在安全模块中执行加密操作。

使用依赖经过验证的加密模块的软件组件可以帮助组织:

  • 满足联邦和行业强制要求(例如 FedRAMP),这些要求或强烈推荐 FIPS 140 验证的加密技术。
  • 展示审计准备情况,并提供安全、基于标准的加密实践的可验证证据。
  • 通过阻止未经批准或不安全的算法(例如 MD5)并确保跨环境的一致行为,降低安全风险。

Docker 强化镜像如何支持 FIPS 合规性

Docker 强化镜像 (DHI) 包含使用 FIPS 140 下验证的加密模块的变体。这些镜像旨在通过整合符合标准的组件来帮助组织满足合规性要求。

  • FIPS 镜像变体使用已在 FIPS 140 下验证的加密模块。
  • 这些变体由 Docker 构建和维护,以支持具有法规或合规性需求的环境。
  • Docker 提供签署的测试认证,记录了经过验证的加密模块的使用。这些认证可以支持内部审计和合规性报告。
注意

使用 FIPS 镜像变体有助于满足合规性要求,但不能使应用程序或系统完全合规。合规性取决于镜像在更广泛的系统中的集成和使用方式。

识别支持 FIPS 的镜像

支持 FIPS 的 Docker 强化镜像在 Docker 强化镜像目录中被标记为 FIPS 合规。

要查找包含 FIPS 镜像变体的 DHI 存储库,请浏览镜像并:

  • 在目录页面上使用 FIPS 筛选器
  • 在单个镜像列表中查找 FIPS 合规性标记

这些指示器可帮助您快速找到支持基于 FIPS 的合规性需求的存储库。包含 FIPS 支持的镜像变体将具有以 -fips 结尾的标签,例如 3.13-fips

查看 FIPS 认证

Docker 强化镜像的 FIPS 变体包含一个 FIPS 认证,其中列出了镜像中包含的实际加密模块。

您可以使用 Docker Scout CLI 检索和检查 FIPS 认证。

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/fips/v0.1 \
  --predicate \
  <your-namespace>/dhi-<image>:<tag>

例如:

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/fips/v0.1 \
  --predicate \
  docs/dhi-python:3.13-fips

认证输出是一个 JSON 数组,描述了镜像中包含的加密模块及其合规状态。例如:

[
  {
    "certification": "CMVP #4985",
    "certificationUrl": "https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4985",
    "name": "OpenSSL FIPS Provider",
    "package": "pkg:dhi/openssl-provider-fips@3.1.2",
    "standard": "FIPS 140-3",
    "status": "active",
    "sunsetDate": "2030-03-10",
    "version": "3.1.2"
  }
]
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.