F5 NGINX、AWS Marketplace の Red Hat Enterprise Linux 上で FIPS 対応application配信を提供開始
連邦情報処理規格 (FIPS) は、もともと米国政府システムの暗号化と情報セキュリティの標準として設計されましたが、他の多くの業界でも暗号化とデータ処理のゴールド セキュリティ シールとなっています。 従来、複数のコンポーネントにわたって FIPS 準拠を維持することは困難でした。
当社の新しいパッケージソリューションは、この課題に対処し、AWS での FIPS 準拠の F5 NGINX Plus インスタンスの導入と保守を容易にします。 これにより、規制対象で機密性の高いユースケースに対する厳格なセキュリティとコンプライアンスの要件を満たしながら、クラウドで実行されるapplications、API、人工知能コンポーネントの安全な配信を保証する新しい、より優れた方法が提供されます。
FIPSとは何か、そしてなぜ重要なのか
FIPS は米国が発行する標準およびガイドラインです。 連邦コンピュータ システム用の米国国立標準技術研究所 (NIST)。 FIPS、特に FIPS 140-2 と新しい FIPS 140-3 の主な目的は、暗号化モジュール (暗号化と復号化を処理するコンポーネント) が厳格なセキュリティ要件を満たしていることを確認することです。 これは、国民データから政府の内部通信まで、機密扱いではないが機密扱いではない情報を保護する上で不可欠です。
さらに、米国連邦政府機関およびそれらと協力する請負業者は、政府システムを実行するapplicationsおよびインフラストラクチャに FIPS 認定の暗号化モジュールを使用する必要があります。 準拠しない場合は契約の失効など重大なリスクにつながる可能性があり、米国政府は近年 FIPS 準拠の施行を強化しています。
FIPS 標準は、共通のセキュリティ プロトコルに準拠していることを保証することで、さまざまなシステム間の相互運用性も促進します。 FIPS の相互運用性により、このブログで説明されているようなパッケージ化されたソリューションを簡単に作成できるようになります。 当社の新しい Red Hat Enterprise Linux および NGINX ソリューションは、Red Hat チームの OpenSSL モジュールの暗号化の取り組みを活用し、それを F5 NGINX Plus イメージに適用します。
基本的に、FIPS 準拠とは、製品の暗号化機能が米国政府の高いセキュリティ基準を満たし、データが適切に保護されることを意味します。 FIPS 準拠のプラットフォームで実行されるapplicationsは、攻撃者を阻止し、ユーザーとシステムを保護する強化されたターゲットとなります。
FIPSコンプライアンスの合理化
当社の新しいマーケットプレイス オファリングは、Red Hat Enterprise Linux 上の NGINX Plus を含む完全なパッケージです。 次の機能により、クラウドで実行されるapplications、API、AI の FIPS コンプライアンスが大幅に簡素化されます。
- FIPS 認定の暗号化を活用します。 Red Hat Enterprise Linux はすでに暗号化モジュールの FIPS 140-2/3 認証を取得しており、新しいパッケージではこれを F5 NGINX Plus にバンドルしています。 重要なコンポーネントは OpenSSL ライブラリであり、暗号化、復号化、ハッシュなどの基本的な暗号化機能を提供します。
- FIPS 検証済みの OpenSSL を直接使用します。 この統合パッケージ内で、NGINX Plus は、Red Hat Enterprise Linux オペレーティング システムによって提供される FIPS 検証済みの OpenSSL 暗号化ライブラリを利用するように特別に構成されています。 つまり、NGINX Plus は暗号化操作 (HTTPS トラフィックの処理など) を実行するときに、厳格な FIPS 検証をすでに受けている Red Hat Enterprise Linux 提供のモジュールに直接依存することになります。 これにより、NGINX Plus によって処理される暗号化機能が FIPS 要件に従って動作することが保証されます。
- すぐに使えるコンプライアンス。 お客様は、Red Hat Enterprise Linux 基盤内で FIPS がすでに有効になっている事前構成済みパッケージを受け取ります。 これにより、FIPS 準拠の暗号化モジュールを独自に調達、構築、構成、検証するという複雑で時間のかかるプロセスが削減されます。
- AWS での簡素化された導入と管理。 この統合パッケージを AWS Marketplace を通じて利用できる「アプライアンスのような」エクスペリエンスとして提供することで、FIPS 制約環境での NGINX Plus の導入と継続的な管理を効率化します。 これは、数日または数週間ではなく、数分で起動して実行できる FIPS 環境向けの「ドロップイン」ソリューションです。
- 継続的なコンプライアンスとサポート。 1 つの共同パッケージで、OS、暗号モジュール、NGINX Plus がカバーされます。 Red Hat と F5 は、スタック全体を検証済みの境界内に保つ調整されたパッチを出荷し、更新を簡素化し、運用リスクを軽減します。
NGINX Plus で高度な機能を実現
NGINX Plus は、広く採用されている NGINX トラフィック管理ソリューションのエンタープライズ グレード バージョンであり、最新のapplicationsに高度な機能を提供するように設計されています。 実証済みのパフォーマンスとスケーラビリティをエンタープライズ向けの機能と組み合わせています。 NGINX Plus を活用することで、組織はapplication環境全体にわたって高可用性、堅牢なセキュリティ、詳細な観測性を確保できます。 ここでは、AWS Marketplace の新しいパッケージソリューションを通じて利用できるようになった強力な機能の一部について詳しく説明します。
NGINX Plus は、JWT 認証、シングル サインオンのための OpenID Connect 統合、F5 NGINX App Protect (WAF および DoS 保護) のサポートなどの高度な機能を通じて、強力なセキュリティを提供します。 F5 NGINX One AI Assistant は、構成とコンテキストに応じたセキュリティの提案により、開発者と DevOps チームの専門知識を強化します。
ユーザーは、JSON APIを介した240以上の拡張ステータスメトリクスにより、applications、API、AIのリアルタイム可視性を備えた包括的なオブザーバビリティを実現できます。また、サードパーティ製のダッシュボードや監視ツール、またはNGINX One SaaS管理コンソールとの容易な統合およびエクスポート機能も利用できます。
F5 キーを押します。 NGINX Plus は、幅広い負荷分散アルゴリズム、軽量ランタイム環境、効率的なデータプレーン、および信頼性を確保するためのアクティブなヘルスチェックを通じて、パフォーマンス、高可用性、および回復力を実現します。 高可用性機能には、アクティブ/アクティブ クラスタリングと状態共有が含まれます。
このソリューションは、NGINX Plus API を使用して管理を簡素化し、管理オーバーヘッドを削減することで、サービスを中断することなくアップストリーム サーバーとキー値ストアを動的に構成し、運用効率を合理化します。 これは、NGINX One SaaS 管理コンソールと自動的に統合され、すべての NGINX インスタンスに対して単一の可観測性、セキュリティ、および管理プレーンを提供します。
新しいF5とRed Hat FIPsソリューションの業界別メリット
| セクタ | コンプライアンスドライバー |
FIPS認証済み暗号が重要な理由 |
新しいイメージがどのように役立つか |
|---|---|---|---|
| 政府と防衛 | FedRAMP では、すべての中程度および高いベースラインに対して FIPS-140 検証済みモジュールが必要です。 | すでに検証済みの TLS フロントエンドを使用すると、運用権限 (ATO) のタイムラインが大幅に短縮され、暗号化の免除が回避され、モジュールが「履歴」化された場合でも機関のコンプライアンスが維持されます。 | GovCloud または分類されたリージョンで Amazon マシンイメージ (AMI) を起動します。調整された Red Hat と F5 のパッチにより、システムの存続期間中、スタック全体が検証済みの境界内に維持されます。 |
| ヘルスケアとライフサイエンス | HHS の侵害通知ガイダンスでは、NIST テスト済み (FIPS) 暗号化を保護された医療情報 (PHI) の「セーフ ハーバー」として指定しています。 | FIPS 検証済みモジュールを使用して ePHI を暗号化すると、違反通知の露出と監査の範囲が縮小されます。 | 1 つのイメージで Web、API、AI 推論層がカバーされ、コンプライアンスの証拠は単一の検証証明書に遡ります。 |
| 公共の安全と司法 | FBI セキュリティ ポリシーでは、刑事司法情報サービス (CJIS) に FIPS 認定の暗号化が要求されています。 | ボディカメラ、911、電子引用ベンダーは、リリースごとに OpenSSL を再構築する代わりに、CJIS の準備を継承します。 | パッケージ化されたスタックは、ファームウェア レベルの暗号化、構成ベースライン、およびトラフィック暗号化を 1 つのサポート パスに保持します。 |
| 北米電力信頼性協会重要インフラ保護(NERC CIP) | NERC CIP 実装ガイダンスでは、ソフトウェアの整合性と暗号化のための承認された制御として FIPS 140-2 がリストされています。 | 公益事業会社は、すべての変電所ゲートウェイに HSM をボルトで固定することなく、CIP-010 制御を文書化します。 | パッケージ化されたスタックは、ファームウェア レベルの暗号化、構成ベースライン、およびトラフィック暗号化を 1 つのサポート パスに保持します。 |
| クラウド&SaaSプロバイダー | AWS は FIPS のみの TLS エンドポイントを公開しているため、テナントは FedRAMP や同様の規制を満たすことができます。 | 企業や公共部門の顧客の間では、「FIPS モード」のサービス オプションに対する需要が高まっています。 | AMI を任意のリージョンで起動し、Red Hat Enterprise Linux の検証を継承し、単一の証明書で顧客アンケートに答えることができます。 |
FIPS コンプライアンスを最新化・簡素化する準備はできていますか?
政府、金融、医療、その他の業界のいずれであっても、Red Hat Enterprise Linux を搭載した F5 のパッケージ ソリューションは、簡単にインストールできるイメージで、高いパフォーマンス、詳細な監視、簡単な導入、拡張性を実現する唯一の FIPS 検証済みアプリケーション配信スタックを使用して、将来を見据えた重要なインフラストラクチャを実現します。
AWS Marketplaceから NGINX Plus FIPS-Ready AMI をデプロイし、次のコンプライアンス期限前に稼働させます。