出品丨Docker公司（ID：docker-cn）
编译丨小东
每周一、三、五，与您不见不散！

我们很高兴地宣布 Docker 已经从美国国家标准与技术研究院（NIST）为 Docker EE 加密库获得了正式的 FIPS 140-2 认证（证书＃3304）。通过对加密模块的认证和业界认可，我们能够进一步实现信息安全的基本机密性、完整性和可用性目标，并为我们的商业客户提供一个经过验证的、安全的应用平台。根据联邦信息安全管理法案（FISMA）和其他监管技术框架（如HIPAA和PCI）的要求，FIPS 140-2是一种重要的认证机制，用于保护关键任务系统中信息的敏感性和隐私性。

Docker EE 18.03 及其以上版本包含了上述经过认证的加密模块。此模块已经经过了 FIPS 140-2 的1级认证。Docker EE 正式版的加密库安全策略调用了该模块来支持 Docker EE 中的特定安全功能，包括以下内容：

• ID hashes；
• Swarm 模式分布式状态存储和 Raft 日志（安全存储 Docker - Secrets 和 Docker Configs）；
• Swarm 模式覆盖网络（仅限于控制平面）；
• Swarm 模式相互 TLS 实现；
• Docker 守护程序套接字 TLS 绑定；

在 Docker EE 中激活 FIPS 操作模式就像在底层主机操作系统上启用 FIPS 模式并重启引擎（如果它已在运行）一样简单。Docker EE 的 FIPS 模式也可以通过在命令前加上 DOCKER_FIPS = 1环境变量来显式激活。此外，可以在下一个 Docker EE 发行版中尝试启用 FIPS 模式，从而为管理和注册服务以及应用程序集群提供安全的基础。

如下图所示，Docker EE 利用专有的交换库来交换启用FIPS模式时用于实现功能的加密模块。

我们将继续努力，将 FIPS 140-2 认证模块添加到 Docker EE 容器平台的其余部分中，敬请期待后续更新。