- 30/11/2020
- 4 minuti per la lettura
-
- r
Panoramica dello standard FIPS 140-2
La pubblicazione FIPS (Federal Information Processing Standard) 140-2 è uno standard del governo degli Stati Uniti che definisce i requisiti minimi di sicurezza per i moduli crittografici nei prodotti di tecnologia dellinformazione, come definito nella Sezione 5131 dellInformation Technology Management Reform Act del 1996.
Il Cryptographic Module Validation Program (CMVP), uno sforzo congiunto del National Institute of Standards and Technology (NIST) degli Stati Uniti e del Canadian Center for Cyber Security (CCCS), convalida i moduli crittografici secondo lo standard Security Requirements for Cryptographic Modules (ie , FIPS 140-2) e relativi standard di crittografia FIPS. I requisiti di sicurezza FIPS 140-2 coprono 11 aree relative alla progettazione e allimplementazione di un modulo crittografico. Il NIST Information Technology Laboratory gestisce un programma correlato che convalida gli algoritmi crittografici approvati FIPS nel modulo.
Lapproccio di Microsoft alla convalida FIPS 140-2
Microsoft mantiene un impegno attivo per soddisfare il 140-2, avendo convalidato i moduli crittografici sin dallintroduzione dello standard nel 2001. Microsoft convalida i propri moduli crittografici nellambito del National Institute of Standards and Technology (NIST) Cryptographic Module Validation Program (CMVP). Più prodotti Microsoft, inclusi molti servizi cloud, utilizzano questi moduli crittografici.
Per informazioni tecniche sui moduli crittografici di Microsoft Windows, i criteri di sicurezza per ogni modulo e il catalogo dei dettagli del certificato CMVP, vedere Windows e Windows Contenuto FIPS 140-2 del server.
Servizi cloud nellambito di Microsoft
Mentre lattuale guida allimplementazione di FIPS 140-2 CMVP preclude una convalida FIPS 140-2 per un servizio cloud stesso; i fornitori di servizi cloud possono scegliere di ottenere e utilizzare moduli crittografici convalidati FIPS 140 per gli elementi informatici che compongono il loro servizio cloud. I servizi online Microsoft che includono componenti convalidati FIPS 140-2 includono, tra gli altri:
- Azure e Azure Government
- Dynamics 365 e Dynamics 365 Government
- Office 365, Office 365 US Government e Office 365 US Government Defense
Domande frequenti
Qual è la differenza tra “FIPS 140 Validated” e “FIPS 140 compliant”?
“FIPS 140 Validated” significa che il modulo crittografico o un prodotto che incorpora il modulo è stato convalidato (“certificato”) dal CMVP come conforme ai requisiti FIPS 140-2 . “Conforme a FIPS 140” è un termine di settore per i prodotti IT che si basano su prodotti convalidati FIPS 140 per la funzionalità crittografica.
Quando intraprende una convalida FIPS 140 Microsoft?
La cadenza di avvio una convalida del modulo si allinea con gli aggiornamenti delle funzionalità di Windows 10 e Windows Server. Con levoluzione del settore del software, i sistemi operativi vengono rilasciati più frequentemente, con aggiornamenti software mensili. Microsoft si impegna a convalidare i rilasci delle funzionalità, ma tra i rilasci cerca di ridurre al minimo i cambiamenti ai moduli crittografici.
Quali computer sono inclusi in una convalida FIPS 140?
Microsoft convalida i moduli crittografici su un campione rappresentativo di configurazioni hardware che eseguono Windows 10 e Windows Server. È comune prassi del settore di accettare questa convalida FIPS 140-2 quando un ambiente utilizza hardware, che è simile agli esempi utilizzati per il processo di convalida.
Ci sono molti moduli elencati nel sito Web NIST. Come faccio a sai quale si applica alla mia agenzia?
Se ti viene richiesto di utilizzare moduli crittografici convalidati tramite FIPS 140-2, devi verificare che la versione che utilizzi appaia nellelenco di convalida. Il CMVP e Microsoft mantengono un elenco di moduli crittografici convalidati, organizzati per versione del prodotto, insieme alle istruzioni per identificare quali moduli sono installati su un sistema Windows. Per ulteriori informazioni sulla configurazione dei sistemi in modo che siano conformi, vedere il contenuto FIPS 140-2 di Windows e Windows Server.
Cosa significa “Se utilizzato in modalità FIPS” su un certificato?
Questo avvertimento informa il lettore che la configurazione richiesta e le regole di sicurezza devono essere seguite per utilizzare il modulo crittografico in modo coerente con la sua politica di sicurezza FIPS 140-2. Ogni modulo ha la propria politica di sicurezza – una specifica precisa delle regole di sicurezza in base alle quali opererà – e impiega algoritmi crittografici approvati, gestione delle chiavi crittografiche e tecniche di autenticazione. Le regole di sicurezza sono definite nella politica di sicurezza per ogni modulo.Per ulteriori informazioni, inclusi i collegamenti ai criteri di sicurezza per ogni modulo convalidato tramite CMVP, vedere il contenuto FIPS 140-2 di Windows e Windows Server.
FedRAMP richiede la convalida FIPS 140-2?
Sì, il programma FedRAMP (Federal Risk and Authorization Management Program) si basa sulle linee di base di controllo definite dal NIST SP 800-53 Revisione 4, inclusa la protezione crittografica SC-13 che impone luso della crittografia con convalida FIPS o della crittografia approvata dalla NSA.
In che modo Microsoft Azure supporta FIPS 140-2?
Azure è costruito con una combinazione di hardware, sistemi operativi disponibili in commercio (Linux e Windows) e versioni di Windows specifiche per Azure . Attraverso il Microsoft Security Development Lifecycle (SDL), tutti i servizi di Azure utilizzano algoritmi approvati FIPS 140-2 per la sicurezza dei dati perché il sistema operativo utilizza algoritmi approvati FIPS 140-2 durante il funzionamento su un cloud iper-scalabile.
Può Utilizzo ladesione di Microsoft a FIPS 140-2 nel processo di certificazione della mia agenzia?
Per essere conforme a FIPS 140-2, il sistema deve essere configurato per funzionare in una modalità operativa approvata da FIPS, che include la garanzia che un Il modulo crittografico utilizza solo algoritmi approvati da FIPS. Per ulteriori informazioni sulla configurazione dei sistemi in modo che siano conformi, vedere il contenuto FIPS 140-2 di Windows e Windows Server.
Qual è la relazione tra FIPS 140-2 e Common Criteria?
Questi sono due standard di sicurezza separati con scopi diversi, ma complementari. FIPS 140-2 è progettato specificamente per la convalida di moduli crittografici software e hardware, mentre Common Criteria è progettato per valutare le funzioni di sicurezza nei prodotti software e hardware IT. Le valutazioni Common Criteria spesso si basano sulle convalide FIPS 140-2 per garantire che la funzionalità crittografica di base sia implementata correttamente.