F5 NGINX 在 AWS Marketplace 上提供基于 Red Hat Enterprise Linux 的 FIPS 就绪应用交付
联邦信息处理标准 (FIPS) 最初是作为美国政府系统加密和信息安全的标准而设计的,现已成为许多其他行业加密和数据处理的黄金安全印章。 传统上,在多个组件中维护 FIPS 合规性一直是一项挑战。
我们的新打包解决方案解决了这一挑战,并使在 AWS 中部署和维护符合 FIPS 的 F5 NGINX Plus 实例变得更加容易。 这提供了一种新的、更好的方法来确保在云中运行的应用、API 和人工智能组件的安全交付,同时满足受监管和敏感用例的严格安全性和合规性要求。
什么是 FIPS 以及它为何重要
FIPS 是美国发布的标准和指南。 联邦计算机系统的国家标准与技术研究所 (NIST)。 FIPS(尤其是 FIPS 140-2 和较新的 FIPS 140-3)的核心目的是确保加密模块(处理加密和解密的组件)满足严格的安全要求。 这对于保护从公民数据到政府内部通信的敏感但非机密信息至关重要。
此外,美国联邦政府机构及其合作的承包商必须对运行政府系统的应用和基础设施使用经过 FIPS 验证的加密模块。 不遵守规定会导致重大风险,包括失去合同,美国政府近年来加强了对 FIPS 合规性的执法力度。
FIPS 标准还确保不同系统遵守通用安全协议,从而促进不同系统之间的互操作性。 FIPS 互操作性允许更轻松地创建打包解决方案,例如本博客中描述的解决方案。 我们新的 Red Hat Enterprise Linux 和 NGINX 解决方案利用 Red Hat 团队在 OpenSSL 模块上的加密工作,并将其应用于 F5 NGINX Plus 映像。
本质上,符合 FIPS 意味着产品的加密功能符合美国政府的高安全标准,确保数据得到妥善保护。 在符合 FIPS 标准的平台上运行的应用呈现出强化的目标,既可以阻止攻击者,又可以保护用户和系统。
简化 FIPS 合规性
我们在新市场上提供的是一个完整的软件包,其中包括 Red Hat Enterprise Linux 上的 NGINX Plus。 它通过以下功能显著简化了在云中运行的应用、API 和 AI 的 FIPS 合规性:
- 利用 FIPS 验证的加密技术。 Red Hat Enterprise Linux 的加密模块已经获得 FIPS 140-2/3 认证,我们的新软件包将其与 F5 NGINX Plus 捆绑在一起。 一个关键组件是其 OpenSSL 库,它提供加密、解密和散列等基本加密功能。
- 直接使用经过 FIPS 验证的 OpenSSL。 在这个集成包中,NGINX Plus 经过专门配置,可以利用 Red Hat Enterprise Linux 操作系统提供的经过 FIPS 验证的 OpenSSL 加密库。 这意味着当 NGINX Plus 执行加密操作(如处理 HTTPS 流量)时,它直接依赖于这些已经经过严格 FIPS 验证的 Red Hat Enterprise Linux 提供的模块。 这确保了 NGINX Plus 处理的加密功能符合 FIPS 要求。
- 开箱即用的合规性。 客户会收到一个预先配置的包,其中 Red Hat Enterprise Linux 基础内已启用 FIPS。 这减少了自行采购、构建、配置和验证符合 FIPS 的加密模块的复杂且耗时的过程。
- 简化 AWS 上的部署和管理。 通过 AWS Marketplace 提供此集成包作为“类似设备”的体验,我们简化了 FIPS 约束环境中 NGINX Plus 的部署和持续管理。 它是 FIPS 环境的“插入式”解决方案,可以在几分钟内(而不是几天或几周)启动并运行。
- 持续遵守和支持。 一个联合包涵盖操作系统、加密模块和 NGINX Plus。 Red Hat 和 F5 提供协调的补丁,将整个堆栈保持在经过验证的边界内,从而简化续订并降低运营风险。
使用 NGINX Plus 解锁高级功能
NGINX Plus 是广泛采用的 NGINX 流量管理解决方案的企业级版本,旨在为现代应用提供高级功能。 它将成熟的性能和可扩展性与以企业为中心的功能结合在一起。 通过利用 NGINX Plus,组织可以确保其应用环境中的高可用性、强大的安全性和深度可观察性。 下面详细介绍一下现在可通过 AWS Marketplace 上的新打包解决方案获得的一些强大功能。
NGINX Plus 通过 JWT 身份验证、用于单点登录的 OpenID Connect 集成以及对 F5 NGINX App Protect(WAF 和 DoS 保护)的支持等高级功能提供强大的安全性。 F5 NGINX One AI Assistant 通过配置和上下文感知的安全建议增强开发人员和 DevOps 团队的专业知识。
用户可以通过 JSON API 获取超过 240 个扩展状态指标,实时查看应用、API 和 AI,从而获得全面的可观察性。此外,用户还可以轻松集成并导出第三方仪表板和监控工具,或使用 NGINX One SaaS 管理控制台。
F5。 NGINX Plus 通过多种负载平衡算法、轻量级运行时环境、高效的数据平面和主动健康检查来提供性能、高可用性和弹性,以确保可靠性。 高可用性功能包括主动-主动集群和状态共享。
该解决方案还通过 NGINX Plus API 简化管理并减少管理开销,从而提高运营效率,无需中断服务即可动态配置上游服务器和键值存储。 它会自动与 NGINX One SaaS 管理控制台集成,为所有 NGINX 实例提供单一的可观察性、安全性和管理平面。
全新 F5 和 Red Hat FIPs 解决方案的优势(按行业划分)
| 部门 | 合规驱动 |
为什么 FIPS 验证的加密很重要 |
新形象如何发挥作用 |
|---|---|---|---|
| 政府与国防 | FedRAMP 要求所有中等和高基线都采用 FIPS-140 验证的模块。 | 使用已经验证的 TLS 前端可以缩短操作授权 (ATO) 时间表,避免加密豁免,并在模块进入“历史”阶段时保持机构合规。 | 在 GovCloud 或机密区域启动 Amazon 机器映像 (AMI);协调的 Red Hat 和 F5 补丁使整个堆栈在系统生命周期内保持在其验证的边界内。 |
| 医疗保健与生命科学 | HHS 违规通知指南将 NIST 测试(FIPS)加密称为受保护健康信息(PHI)的“安全港”。 | 使用 FIPS 验证模块加密 ePHI 可减少违规通知的风险和审计范围。 | 一张图像涵盖了 Web、API 和 AI 推理层;合规性证据可追溯到单个验证证书。 |
| 公共安全与司法 | FBI 安全政策要求刑事司法信息服务 (CJIS) 采用经过 FIPS 验证的加密方式。 | 随身摄像机、911 和电子传票供应商继承了 CJIS 的准备状态,而不必为每个版本重建 OpenSSL。 | 打包堆栈将固件级加密、配置基线和流量加密保存在一条支持路径中。 |
| 北美电力可靠性公司关键基础设施保护 (NERC CIP) | NERC CIP 实施指南将 FIPS 140-2 列为软件完整性和加密的可接受控制。 | 公用事业记录 CIP-010 控制,而无需将 HSM 安装到每个变电站网关上。 | 打包堆栈将固件级加密、配置基线和流量加密保存在一条支持路径中。 |
| 云和 SaaS 提供商 | AWS 公开仅 FIPS 的 TLS 端点,以便租户可以满足 FedRAMP 和类似的要求。 | 企业和公共部门客户越来越需要“FIPS 模式”服务选项。 | 在任何区域启动 AMI,继承 Red Hat Enterprise Linux 验证,并使用单个证书满足客户问卷。 |
准备好实现 FIPS 合规性的现代化和简化了吗?
无论您身处政府、金融、医疗保健还是其他行业,采用 Red Hat Enterprise Linux 的 F5 打包解决方案都可以帮助您通过唯一经过 FIPS 验证的应用程序交付堆栈来确保关键基础设施的未来发展,该堆栈可在易于安装的映像中提供高性能、深度可观察性、易于部署和扩展。
从AWS Marketplace部署 NGINX Plus FIPS-Ready AMI,并在下一个合规期限之前上线。