- 30/11/2020
- 4 minutes de lecture
-
- r
Présentation de la norme FIPS 140-2
La Publication 140-2 de la Federal Information Processing Standard (FIPS) est une norme du gouvernement américain qui définit les exigences de sécurité minimales pour les modules cryptographiques des produits de technologie de linformation, telles que définies dans la section 5131 de la loi de réforme de la gestion des technologies de linformation de 1996.
Le programme de validation des modules cryptographiques (CMVP), un effort conjoint du National Institute of Standards and Technology (NIST) des États-Unis et du Centre canadien pour la cybersécurité (CCCS), valide les modules cryptographiques conformément à la norme Security Requirements for Cryptographic Modules (c.-à-d. , FIPS 140-2) et les normes de cryptographie FIPS associées. Les exigences de sécurité FIPS 140-2 couvrent 11 domaines liés à la conception et à la mise en œuvre dun module cryptographique. Le laboratoire de technologie de linformation du NIST gère un programme connexe qui valide les algorithmes cryptographiques approuvés par FIPS dans le module.
Lapproche de Microsoft en matière de validation FIPS 140-2
Microsoft sengage activement à respecter les 140-2, ayant validé les modules cryptographiques depuis la création de la norme en 2001. Microsoft valide ses modules cryptographiques dans le cadre du programme de validation des modules cryptographiques (CMVP) du National Institute of Standards and Technology (NIST). Plusieurs produits Microsoft, y compris de nombreux services cloud, utilisent ces modules cryptographiques.
Pour obtenir des informations techniques sur les modules cryptographiques Microsoft Windows, la politique de sécurité de chaque module et le catalogue des détails du certificat CMVP, consultez Windows et Windows Contenu du serveur FIPS 140-2.
Services cloud Microsoft dans le champ dapplication
Alors que les directives dimplémentation CMVP FIPS 140-2 actuelles excluent une validation FIPS 140-2 pour un service cloud lui-même; Les fournisseurs de services cloud peuvent choisir dobtenir et dexploiter des modules cryptographiques validés FIPS 140 pour les éléments informatiques qui composent leur service cloud. Les services en ligne de Microsoft qui incluent des composants validés FIPS 140-2 incluent, entre autres:
- Azure et Azure Government
- Dynamics 365 et Dynamics 365 Government
- Office 365, Office 365 US Government et Office 365 US Government Defense
Foire aux questions
Quelle est la différence entre «FIPS 140 Validated» et « Conforme à la norme FIPS 140 »?
« Validé FIPS 140 » signifie que le module cryptographique ou un produit qui intègre le module a été validé (« certifié ») par la CMVP comme répondant aux exigences FIPS 140-2 . «Conforme à la norme FIPS 140» est un terme du secteur désignant les produits informatiques qui reposent sur les produits validés FIPS 140 pour la fonctionnalité cryptographique.
Quand Microsoft entreprend-il une validation FIPS 140?
La cadence de démarrage une validation de module saligne sur les mises à jour des fonctionnalités de Windows 10 et Windows Server. À mesure que lindustrie du logiciel a évolué, les systèmes dexploitation sont publiés plus fréquemment, avec des mises à jour logicielles mensuelles. Microsoft entreprend la validation des versions de fonctionnalités, mais entre les versions, cherche à minimiser les changements aux modules cryptographiques.
Quels ordinateurs sont inclus dans une validation FIPS 140?
Microsoft valide les modules cryptographiques sur un échantillon représentatif de configurations matérielles exécutant Windows 10 et Windows Server. Cest courant pratique de lindustrie daccepter cette validation FIPS 140-2 lorsquun environnement utilise du matériel, qui est similaire aux exemples utilisés pour le processus de validation.
De nombreux modules sont répertoriés sur le site Web du NIST. Comment puis-je savoir lequel sapplique à mon agence?
Si vous devez utiliser des modules cryptographiques validés via FIPS 140-2, vous devez vérifier que la version que vous utilisez apparaît dans la liste de validation. Le CMVP et Microsoft maintiennent une liste de modules cryptographiques validés, organisés par version de produit, ainsi que des instructions pour identifier les modules installés sur un système Windows. Pour plus dinformations sur la configuration des systèmes afin quils soient conformes, consultez le contenu FIPS 140-2 de Windows et Windows Server.
Que signifie «Lorsquil est utilisé en mode FIPS» sur un certificat?
Cette mise en garde informe le lecteur que les règles de configuration et de sécurité requises doivent être suivies pour utiliser le module cryptographique dune manière cohérente avec sa politique de sécurité FIPS 140-2. Chaque module a sa propre politique de sécurité – une spécification précise des règles de sécurité sous lesquelles il fonctionnera – et utilise des algorithmes cryptographiques approuvés, une gestion des clés cryptographiques et des techniques dauthentification. Les règles de sécurité sont définies dans la politique de sécurité de chaque module.Pour plus dinformations, y compris des liens vers la politique de sécurité pour chaque module validé via le CMVP, consultez le contenu FIPS 140-2 de Windows et Windows Server.
FedRAMP nécessite-t-il une validation FIPS 140-2?
Oui, le programme fédéral de gestion des risques et des autorisations (FedRAMP) repose sur des lignes de base de contrôle définies par le NIST SP 800-53 Révision 4, y compris la protection cryptographique SC-13 exigeant lutilisation dune cryptographie validée FIPS ou dune cryptographie approuvée par la NSA.
Comment Microsoft Azure prend-il en charge FIPS 140-2?
Azure est conçu avec une combinaison de matériel, de systèmes dexploitation disponibles dans le commerce (Linux et Windows) et dune version de Windows spécifique à Azure . Grâce au cycle de vie de développement de la sécurité de Microsoft (SDL), tous les services Azure utilisent des algorithmes approuvés FIPS 140-2 pour la sécurité des données, car le système dexploitation utilise des algorithmes approuvés FIPS 140-2 tout en fonctionnant dans un cloud à grande échelle.
Peut Jutilise ladhésion de Microsoft à la norme FIPS 140-2 dans le processus de certification de mon agence?
Pour être conforme à la norme FIPS 140-2, votre système doit être configuré pour fonctionner dans un mode de fonctionnement approuvé FIPS, ce qui inclut la vérification Le module cryptographique utilise uniquement des algorithmes approuvés par FIPS. Pour plus dinformations sur la configuration des systèmes afin quils soient conformes, consultez le contenu FIPS 140-2 de Windows et Windows Server.
Quelle est la relation entre FIPS 140-2 et les critères communs?
Ces sont deux normes de sécurité distinctes avec des objectifs différents, mais complémentaires. FIPS 140-2 est spécialement conçu pour valider les modules cryptographiques logiciels et matériels, tandis que les Critères Communs sont conçus pour évaluer les fonctions de sécurité dans les produits logiciels et matériels informatiques. Les évaluations Critères Communs sappuient souvent sur les validations FIPS 140-2 pour garantir que les fonctionnalités cryptographiques de base sont correctement implémentées.