- 30-11-2020
- 4 minuten om te lezen
-
- r
FIPS 140-2 standaardoverzicht
De Federal Information Processing Standard (FIPS) Publication 140-2 is een Amerikaanse overheidsstandaard die minimale beveiligingsvereisten definieert voor cryptografische modules in informatietechnologieproducten, zoals gedefinieerd in sectie 5131 van de Information Technology Management Reform Act van 1996.
Het Cryptographic Module Validation Program (CMVP), een gezamenlijke inspanning van het Amerikaanse National Institute of Standards and Technology (NIST) en het Canadian Centre for Cyber Security (CCCS), valideert cryptografische modules volgens de beveiligingsvereisten voor cryptografische modules (ie , FIPS 140-2) en gerelateerde FIPS-cryptografienormen. De FIPS 140-2-beveiligingsvereisten bestrijken 11 gebieden die verband houden met het ontwerp en de implementatie van een cryptografische module. Het NIST Information Technology Laboratory beheert een gerelateerd programma dat de door FIPS goedgekeurde cryptografische algoritmen in de module valideert.
Microsofts benadering van FIPS 140-2-validatie
Microsoft blijft zich actief inzetten om te voldoen aan de 140-2-vereisten, waarbij cryptografische modules zijn gevalideerd sinds de introductie van de standaard in 2001. Microsoft valideert zijn cryptografische modules onder het Cryptographic Module Validation Program (CMVP) van het National Institute of Standards and Technology (NIST). Meerdere Microsoft-producten, waaronder veel cloudservices, maken gebruik van deze cryptografische modules.
Voor technische informatie over cryptografische modules van Microsoft Windows, het beveiligingsbeleid voor elke module en de catalogus met CMVP-certificaatdetails, zie Windows en Windows Server FIPS 140-2-inhoud.
Microsoft-cloudservices binnen het bereik
Terwijl de huidige CMVP FIPS 140-2-implementatierichtlijnen een FIPS 140-2-validatie voor een cloudservice zelf uitsluiten; Cloudserviceproviders kunnen ervoor kiezen om FIPS 140-gevalideerde cryptografische modules aan te schaffen en te gebruiken voor de computerelementen waaruit hun cloudservice bestaat. Onlineservices van Microsoft die componenten bevatten die FIPS 140-2 gevalideerd zijn, zijn onder andere:
- Azure en Azure Government
- Dynamics 365 en Dynamics 365 Government
- Office 365, Office 365 US Government en Office 365 US Government Defense
Veelgestelde vragen
Wat is het verschil tussen “FIPS 140 gevalideerd” en “FIPS 140-compatibel”?
“FIPS 140 gevalideerd” betekent dat de cryptografische module, of een product waarin de module is ingebed, door de CMVP is gevalideerd (“gecertificeerd”) en voldoet aan de FIPS 140-2-vereisten . “FIPS 140-compatibel” is een industrieterm voor IT-producten die afhankelijk zijn van FIPS 140-gevalideerde producten voor cryptografische functionaliteit.
Wanneer voert Microsoft een FIPS 140-validatie uit?
De cadans voor het starten een modulevalidatie komt overeen met de functie-updates van Windows 10 en Windows Server. Naarmate de software-industrie evolueerde, worden besturingssystemen vaker uitgebracht, met maandelijkse software-updates. Microsoft voert validatie uit voor functiereleases, maar probeert tussendoor de wijzigingen te minimaliseren naar de cryptografische modules.
Welke computers zijn opgenomen in een FIPS 140-validatie?
Microsoft valideert cryptografische modules op een representatieve steekproef van hardwareconfiguraties met Windows 10 en Windows Server. Het is gebruikelijk praktijk uit de branche om deze FIPS 140-2-validatie te accepteren wanneer een omgeving hardware gebruikt, die vergelijkbaar is met de voorbeelden die worden gebruikt voor het validatieproces.
Er zijn veel modules vermeld op de NIST-website. Hoe kan ik weet welke van toepassing is op mijn bureau?
Als u cryptografische modules moet gebruiken die zijn gevalideerd via FIPS 140-2, moet u controleren of de versie die u gebruikt, voorkomt op de validatielijst. De CMVP en Microsoft houden een lijst bij van gevalideerde cryptografische modules, gerangschikt op productrelease, samen met instructies om te identificeren welke modules op een Windows-systeem zijn geïnstalleerd. Zie de Windows- en Windows Server FIPS 140-2-inhoud voor meer informatie over het configureren van systemen om aan de eisen te voldoen.
Wat betekent “Bij gebruik in FIPS-modus” op een certificaat?
Deze waarschuwing informeert de lezer dat de vereiste configuratie- en beveiligingsregels moeten worden gevolgd om de cryptografische module te gebruiken op een manier die consistent is met het FIPS 140-2-beveiligingsbeleid. Elke module heeft zijn eigen beveiligingsbeleid – een nauwkeurige specificatie van de beveiligingsregels waaronder het zal werken – en maakt gebruik van goedgekeurde cryptografische algoritmen, beheer van cryptografische sleutels en authenticatietechnieken. De beveiligingsregels zijn gedefinieerd in het beveiligingsbeleid voor elke module.Zie de Windows en Windows Server FIPS 140-2-inhoud voor meer informatie, inclusief links naar het beveiligingsbeleid voor elke module die is gevalideerd via de CMVP.
Vereist FedRAMP FIPS 140-2-validatie?
Ja, het Federal Risk and Authorization Management Program (FedRAMP) vertrouwt op controlebasislijnen die zijn gedefinieerd door de NIST SP 800-53 Revision 4, inclusief SC-13 Cryptographic Protection die het gebruik van FIPS-gevalideerde cryptografie of NSA-goedgekeurde cryptografie verplicht stelt.
Hoe ondersteunt Microsoft Azure FIPS 140-2?
Azure is gebouwd met een combinatie van hardware, commercieel verkrijgbare besturingssystemen (Linux en Windows) en Azure-specifieke versie van Windows . Via de Microsoft Security Development Lifecycle (SDL) gebruiken alle Azure-services FIPS 140-2-goedgekeurde algoritmen voor gegevensbeveiliging, omdat het besturingssysteem FIPS 140-2-goedgekeurde algoritmen gebruikt terwijl het in een hyper-scale cloud werkt.
Kan Ik gebruik Microsofts naleving van FIPS 140-2 in het certificeringsproces van mijn bureau?
Om te voldoen aan FIPS 140-2, moet uw systeem geconfigureerd zijn om te werken in een FIPS-goedgekeurde werkingsmodus, wat inhoudt dat een cryptografische module gebruikt alleen door FIPS goedgekeurde algoritmen. Zie de inhoud van Windows en Windows Server FIPS 140-2 voor meer informatie over het configureren van systemen om aan de vereisten te voldoen.
Wat is de relatie tussen FIPS 140-2 en Common Criteria?
Deze zijn twee afzonderlijke beveiligingsnormen met verschillende, maar complementaire doeleinden. FIPS 140-2 is specifiek ontworpen voor het valideren van software- en hardwarecryptografische modules, terwijl de Common Criteria is ontworpen om beveiligingsfuncties in IT-software en hardwareproducten te evalueren. Common Criteria-evaluaties vertrouwen vaak op FIPS 140-2-validaties om zekerheid te bieden dat de cryptografische basisfunctionaliteit correct is geïmplementeerd.