- 30.11.2020
- 4 minuty na przeczytanie
-
- r
Omówienie standardu FIPS 140-2
Publikacja Federal Information Processing Standard (FIPS) 140-2 to standard rządu USA, który definiuje minimalne wymagania bezpieczeństwa dla modułów kryptograficznych w produktach technologii informacyjnej, zgodnie z definicją w sekcji 5131 Ustawy o reformie zarządzania technologią informacyjną z 1996 roku.
Cryptographic Module Validation Program (CMVP), wspólny wysiłek Amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST) oraz Kanadyjskiego Centrum Cyberbezpieczeństwa (CCCS), weryfikuje moduły kryptograficzne zgodnie ze standardem Security Requirements for Cryptographic Modules (tj. , FIPS 140-2) i pokrewne standardy kryptografii FIPS. Wymagania bezpieczeństwa FIPS 140-2 obejmują 11 obszarów związanych z projektowaniem i wdrażaniem modułu kryptograficznego. Laboratorium technologii informatycznych NIST prowadzi powiązany program, który weryfikuje algorytmy kryptograficzne zatwierdzone przez FIPS w module.
Podejście firmy Microsoft do walidacji FIPS 140-2
Firma Microsoft aktywnie angażuje się w spełnianie 140-2, mając zatwierdzone moduły kryptograficzne od momentu powstania standardu w 2001 r. Firma Microsoft weryfikuje swoje moduły kryptograficzne w ramach programu walidacji modułów kryptograficznych (CMVP) Narodowego Instytutu Standardów i Technologii (NIST). Wiele produktów firmy Microsoft, w tym wiele usług w chmurze, korzysta z tych modułów kryptograficznych.
Aby uzyskać informacje techniczne o modułach kryptograficznych Microsoft Windows, zasadach bezpieczeństwa dla każdego modułu i katalogu szczegółów certyfikatu CMVP, zobacz Windows i Windows Zawartość serwera FIPS 140-2.
Usługi chmurowe Microsoft w zakresie
Podczas gdy obecne wskazówki dotyczące implementacji CMVP FIPS 140-2 wykluczają walidację FIPS 140-2 dla samej usługi w chmurze; dostawcy usług w chmurze mogą zdecydować się na zakup i obsługę zweryfikowanych modułów kryptograficznych FIPS 140 dla elementów obliczeniowych, które składają się na ich usługę w chmurze. Usługi online firmy Microsoft, które zawierają składniki, które zostały sprawdzone zgodnie ze standardem FIPS 140-2, obejmują między innymi:
- Azure i Azure Government
- Dynamics 365 i Dynamics 365 Government
- Office 365, Office 365 US Government i Office 365 US Government Defense
Często zadawane pytania
Jaka jest różnica między „FIPS 140 Validated” a „Zgodny ze standardem FIPS 140”?
„Walidowany ze standardem FIPS 140” oznacza, że moduł kryptograficzny lub produkt, który zawiera moduł, został zatwierdzony („certyfikowany”) przez CMVP jako spełniający wymagania FIPS 140-2 . „Zgodny z FIPS 140” to termin branżowy określający produkty IT, które opierają się na produktach z certyfikatem FIPS 140 Validated w zakresie funkcji kryptograficznych.
Kiedy firma Microsoft przeprowadza walidację FIPS 140?
Kadencja do uruchomienia walidacja modułu jest zgodna z aktualizacjami funkcji systemu Windows 10 i Windows Server. Wraz z rozwojem branży oprogramowania systemy operacyjne są wydawane częściej, z comiesięcznymi aktualizacjami oprogramowania. Firma Microsoft podejmuje się sprawdzania poprawności wydań funkcji, ale pomiędzy wydaniami stara się zminimalizować zmiany do modułów kryptograficznych.
Które komputery są objęte walidacją FIPS 140?
Firma Microsoft sprawdza poprawność modułów kryptograficznych na reprezentatywnej próbce konfiguracji sprzętu z systemem Windows 10 i Windows Server. Jest to powszechne branżową praktykę akceptowania tej walidacji FIPS 140-2, gdy środowisko używa sprzętu, który jest podobny do przykładów używanych w procesie walidacji.
W witrynie NIST znajduje się wiele modułów. Jak to zrobić? wiesz, który z nich dotyczy mojej agencji?
Jeśli musisz używać modułów kryptograficznych sprawdzonych przez FIPS 140-2, musisz sprawdzić, czy używana wersja znajduje się na liście weryfikacyjnej. CMVP i Microsoft utrzymują listę sprawdzonych modułów kryptograficznych, uporządkowanych według wersji produktu, wraz z instrukcjami umożliwiającymi identyfikację modułów zainstalowanych w systemie Windows. Aby uzyskać więcej informacji na temat konfigurowania systemów w celu zapewnienia zgodności, zapoznaj się z treścią Windows i Windows Server FIPS 140-2.
Co oznacza „Podczas pracy w trybie FIPS” na certyfikacie?
To zastrzeżenie informuje czytelnika, że należy przestrzegać wymaganych reguł konfiguracji i bezpieczeństwa, aby używać modułu kryptograficznego w sposób zgodny z jego polityką bezpieczeństwa FIPS 140-2. Każdy moduł posiada własną politykę bezpieczeństwa – precyzyjną specyfikację reguł bezpieczeństwa, na podstawie których będzie działał – i wykorzystuje zatwierdzone algorytmy kryptograficzne, zarządzanie kluczami kryptograficznymi oraz techniki uwierzytelniania. Reguły bezpieczeństwa są zdefiniowane w polityce bezpieczeństwa dla każdego modułu.Aby uzyskać więcej informacji, w tym łącza do zasad bezpieczeństwa dla każdego modułu sprawdzonego przez CMVP, zobacz zawartość Windows i Windows Server FIPS 140-2.
Czy FedRAMP wymaga walidacji FIPS 140-2?
Tak, Federalny Program Zarządzania Ryzykiem i Autoryzacją (FedRAMP) opiera się na kontrolnych liniach bazowych zdefiniowanych przez NIST SP 800-53 Revision 4, w tym na ochronie kryptograficznej SC-13, która nakazuje stosowanie kryptografii zatwierdzonej przez FIPS lub kryptografii zatwierdzonej przez NSA.
W jaki sposób platforma Microsoft Azure obsługuje standard FIPS 140-2?
Platforma Azure składa się z połączenia sprzętu, dostępnych na rynku systemów operacyjnych (Linux i Windows) oraz wersji systemu Windows dla platformy Azure . Dzięki Microsoft Security Development Lifecycle (SDL) wszystkie usługi platformy Azure używają zatwierdzonych algorytmów FIPS 140-2 do zabezpieczania danych, ponieważ system operacyjny korzysta z algorytmów zatwierdzonych przez FIPS 140-2 podczas pracy w chmurze w hiperskali.
Może Używam zgodności Microsoft ze standardem FIPS 140-2 w procesie certyfikacji mojej agencji?
Aby zachować zgodność ze standardem FIPS 140-2, Twój system musi być skonfigurowany do pracy w trybie pracy zatwierdzonym przez FIPS, co obejmuje zapewnienie, że moduł kryptograficzny używa tylko algorytmów zatwierdzonych przez FIPS. Aby uzyskać więcej informacji na temat konfigurowania systemów w celu zapewnienia zgodności, zapoznaj się z treścią Windows i Windows Server FIPS 140-2.
Jaki jest związek między FIPS 140-2 a Common Criteria?
to dwa oddzielne standardy bezpieczeństwa o różnych, ale uzupełniających się celach. Standard FIPS 140-2 został zaprojektowany specjalnie do sprawdzania poprawności oprogramowania i sprzętowych modułów kryptograficznych, podczas gdy Common Criteria jest przeznaczony do oceny funkcji bezpieczeństwa w oprogramowaniu i sprzęcie IT. Oceny Common Criteria często opierają się na walidacji FIPS 140-2, aby zapewnić, że podstawowe funkcje kryptograficzne są prawidłowo zaimplementowane.