FIPS

目錄

什麼是 FIPS 140?

FIPS 140 是一項美國政府標準,定義了保護敏感資訊的密碼模組的安全要求。它被廣泛用於政府、醫療保健和金融服務等受監管的環境中。

FIPS 認證由 NIST 密碼模組驗證計畫 (CMVP) 管理,該計畫確保密碼模組符合嚴格的安全標準。

為何 FIPS 合規性很重要

在許多必須保護敏感資料的受監管環境(如政府、醫療保健、金融和國防)中,FIPS 140 合規性是必要的或強烈建議的。這些標準確保密碼操作是使用在安全模組中實現的、經過審核且受信任的演算法來執行。

使用依賴已驗證密碼模組的軟體元件,可以幫助組織:

  • 滿足聯邦和產業要求,例如 FedRAMP,這些要求需要或強烈建議使用經 FIPS 140 驗證的密碼學。
  • 證明已為稽核做好準備,並提供安全且基於標準的密碼實踐的可驗證證據。
  • 降低安全風險,透過封鎖未經批准或不安全的演算法(例如 MD5),並確保跨環境的一致行為。

Docker 強固映像檔如何支援 FIPS 合規性

Docker 強固映像檔 (DHI) 包含使用根據 FIPS 140 驗證的密碼模組的變體。這些映像檔旨在透過納入符合該標準的元件,來協助組織滿足合規性要求。

  • FIPS 映像檔變體使用已根據 FIPS 140 驗證的密碼模組。
  • 這些變體由 Docker 建置與維護,以支援具有法規或合規需求的環境。
  • Docker 提供簽署的測試認證,記錄了已驗證密碼模組的使用情況。這些認證可以支援內部稽核與合規性報告。
注意

使用 FIPS 映像檔變體有助於滿足合規性要求,但並不會使應用程式或系統完全合規。合規性取決於該映像檔在更廣泛的系統中如何整合與使用。

識別支援 FIPS 的映像檔

支援 FIPS 的 Docker 強固映像檔在 Docker 強固映像檔目錄中被標記為 FIPS 合規。

若要尋找具有 FIPS 映像檔變體的 DHI 儲存庫,請瀏覽映像檔並:

  • 在目錄頁面上使用 FIPS 篩選器
  • 查看個別映像檔列表上的 FIPS 合規標記

這些指標可協助您快速定位支援基於 FIPS 合規需求的儲存庫。包含 FIPS 支援的映像檔變體將具有以 -fips 結尾的標籤,例如 3.13-fips

查看 FIPS 認證 (Attestation)

Docker 強固映像檔的 FIPS 變體包含一份 FIPS 認證,其中列出了映像檔中包含的實際密碼模組。

您可以使用 Docker Scout CLI 擷取並檢查 FIPS 認證:

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/fips/v0.1 \
  --predicate \
  <your-namespace>/dhi-<image>:<tag>

例如

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/fips/v0.1 \
  --predicate \
  docs/dhi-python:3.13-fips

認證輸出是一個 JSON 陣列,描述了映像檔中包含的密碼模組及其合規狀態。例如:

[
  {
    "certification": "CMVP #4985",
    "certificationUrl": "https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4985",
    "name": "OpenSSL FIPS Provider",
    "package": "pkg:dhi/openssl-provider-fips@3.1.2",
    "standard": "FIPS 140-3",
    "status": "active",
    "sunsetDate": "2030-03-10",
    "version": "3.1.2"
  }
]
© . This site is unofficial and not affiliated with Kubernetes or Docker Inc.