- 2020 년 11 월 30 일
- 읽는 데 4 분
-
-
r
-
FIPS 140-2 표준 개요
FIPS (Federal Information Processing Standard) 간행물 140-2는 정보 기술 제품의 암호화 모듈에 대한 최소 보안 요구 사항을 정의하는 미국 정부 표준으로, 1996 년 정보 기술 관리 개혁법의 섹션 5131에 정의되어 있습니다.
미국 NIST (National Institute of Standards and Technology)와 CCCS (Canadian Center for Cyber Security)의 공동 노력 인 암호화 모듈 검증 프로그램 (CMVP)은 암호화 모듈에 대한 보안 요구 사항 표준 (예 : , FIPS 140-2) 및 관련 FIPS 암호화 표준. FIPS 140-2 보안 요구 사항은 암호화 모듈의 설계 및 구현과 관련된 11 가지 영역을 다룹니다. NIST 정보 기술 연구소는 모듈에서 FIPS 승인 암호화 알고리즘을 검증하는 관련 프로그램을 운영합니다.
FIPS 140-2 검증에 대한 Microsoft의 접근 방식
Microsoft는 140-2 요구 사항, 2001 년 표준이 시작된 이래 암호화 모듈의 유효성을 검사했습니다. Microsoft는 NIST (National Institute of Standards and Technology) CMVP (암호화 모듈 유효성 검사 프로그램)에 따라 암호화 모듈의 유효성을 검사합니다. 많은 클라우드 서비스를 포함한 여러 Microsoft 제품에서 이러한 암호화 모듈을 사용합니다.
Microsoft Windows 암호화 모듈에 대한 기술 정보, 각 모듈의 보안 정책 및 CMVP 인증서 세부 정보 카탈로그는 Windows 및 Windows를 참조하십시오. 서버 FIPS 140-2 콘텐츠.
Microsoft 범위 내 클라우드 서비스
현재 CMVP FIPS 140-2 구현 지침에서는 클라우드 서비스 자체에 대한 FIPS 140-2 유효성 검사를 배제합니다. 클라우드 서비스 공급자는 클라우드 서비스를 구성하는 컴퓨팅 요소에 대해 FIPS 140 검증 된 암호화 모듈을 획득하고 운영하도록 선택할 수 있습니다. FIPS 140-2로 검증 된 구성 요소를 포함하는 Microsoft 온라인 서비스에는 다음이 포함됩니다.
- Azure 및 Azure Government
- Dynamics 365 및 Dynamics 365 Government
- Office 365, Office 365 US Government 및 Office 365 US Government Defense
자주 묻는 질문
“FIPS 140 Validated”와 “FIPS 140 준수”?
“FIPS 140 검증 됨”은 암호화 모듈 또는 모듈이 포함 된 제품이 FIPS 140-2 요구 사항을 충족하는 것으로 CMVP에 의해 검증 ( “인증”)되었음을 의미합니다. . “FIPS 140 준수”는 암호화 기능을 위해 FIPS 140 Validated 제품에 의존하는 IT 제품에 대한 업계 용어입니다.
Microsoft는 언제 FIPS 140 유효성 검사를 수행합니까?
시작주기 모듈 유효성 검사는 Windows 10 및 Windows Server의 기능 업데이트와 일치합니다. 소프트웨어 산업이 발전함에 따라 운영 체제는 월별 소프트웨어 업데이트를 통해 더 자주 릴리스됩니다. Microsoft는 기능 릴리스에 대한 유효성 검사를 수행하지만 릴리스 사이에 변경 사항을 최소화하려고합니다.
FIPS 140 유효성 검사에는 어떤 컴퓨터가 포함 되나요?
Microsoft는 Windows 10 및 Windows Server를 실행하는 대표적인 하드웨어 구성 샘플에서 암호화 모듈의 유효성을 검사합니다. 환경에서 검증 프로세스에 사용 된 샘플과 유사한 하드웨어를 사용할 때이 FIPS 140-2 검증을 수락하는 업계 관행입니다.
NIST 웹 사이트에 나열된 많은 모듈이 있습니다. 내 기관에 어떤 것이 적용되는지 알고 있습니까?
FIPS 140-2를 통해 검증 된 암호화 모듈을 사용해야하는 경우 사용하는 버전이 검증 목록에 나타나는지 확인해야합니다. CMVP와 Microsoft는 Windows 시스템에 설치된 모듈을 식별하기위한 지침과 함께 제품 릴리스별로 구성된 검증 된 암호화 모듈 목록을 유지 관리합니다. 호환되도록 시스템을 구성하는 방법에 대한 자세한 내용은 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하십시오.
인증서에서 “FIPS 모드에서 작동 할 때”는 무엇을 의미합니까?
이 경고는 독자에게 FIPS 140-2 보안 정책과 일치하는 방식으로 암호화 모듈을 사용하기 위해 필요한 구성 및 보안 규칙을 따라야 함을 알려줍니다. 각 모듈에는 자체 보안 정책 (작동 할 보안 규칙의 정확한 사양)이 있으며 승인 된 암호화 알고리즘, 암호화 키 관리 및 인증 기술을 사용합니다. 보안 규칙은 각 모듈의 보안 정책에 정의되어 있습니다.CMVP를 통해 검증 된 각 모듈의 보안 정책에 대한 링크를 포함한 자세한 내용은 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하십시오.
FedRAMP에 FIPS 140-2 검증이 필요합니까?
예, FedRAMP (Federal Risk and Authorization Management Program)는 FIPS 검증 암호화 또는 NSA 승인 암호화 사용을 의무화하는 SC-13 암호화 보호를 포함하여 NIST SP 800-53 개정 4에서 정의한 제어 기준에 의존합니다.
Microsoft Azure는 FIPS 140-2를 어떻게 지원하나요?
Azure는 하드웨어, 상용 운영 체제 (Linux 및 Windows) 및 Azure 관련 Windows 버전의 조합으로 구축되었습니다. . Microsoft SDL (보안 개발 수명주기)을 통해 모든 Azure 서비스는 데이터 보안을 위해 FIPS 140-2 승인 알고리즘을 사용합니다. 운영 체제는 하이퍼 스케일 클라우드에서 작동하는 동안 FIPS 140-2 승인 알고리즘을 사용하기 때문입니다.
가능 기관의 인증 프로세스에서 Microsoft의 FIPS 140-2 준수를 사용합니까?
FIPS 140-2를 준수하려면 시스템이 FIPS 승인 작동 모드에서 실행되도록 구성되어야합니다. 암호화 모듈은 FIPS 승인 알고리즘 만 사용합니다. 규정을 준수하도록 시스템을 구성하는 방법에 대한 자세한 내용은 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하세요.
FIPS 140-2와 공통 기준 간의 관계는 무엇입니까?
서로 다르지만 보완적인 목적을 가진 두 개의 별도 보안 표준입니다. FIPS 140-2는 소프트웨어 및 하드웨어 암호화 모듈 검증을 위해 특별히 설계되었으며 Common Criteria는 IT 소프트웨어 및 하드웨어 제품의 보안 기능을 평가하도록 설계되었습니다. Common Criteria 평가는 기본 암호화 기능이 제대로 구현되었는지 확인하기 위해 FIPS 140-2 검증에 의존하는 경우가 많습니다.