- 11/30/2020
- 4 minutos para ler
-
- r
Visão geral do padrão FIPS 140-2
A Publicação 140-2 do Federal Information Processing Standard (FIPS) é um padrão do governo dos Estados Unidos que define os requisitos mínimos de segurança para módulos criptográficos em produtos de tecnologia da informação, conforme definido na Seção 5131 da Lei de Reforma do Gerenciamento de Tecnologia da Informação de 1996.
O Programa de Validação de Módulo Criptográfico (CMVP), um esforço conjunto do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST) e do Centro Canadense de Segurança Cibernética (CCCS), valida os módulos criptográficos de acordo com o padrão de Requisitos de Segurança para Módulos Criptográficos (ou seja, , FIPS 140-2) e padrões de criptografia FIPS relacionados. Os requisitos de segurança FIPS 140-2 cobrem 11 áreas relacionadas ao projeto e implementação de um módulo criptográfico. O Laboratório de Tecnologia da Informação do NIST opera um programa relacionado que valida os algoritmos criptográficos aprovados pelo FIPS no módulo.
Abordagem da Microsoft para validação FIPS 140-2
A Microsoft mantém um compromisso ativo para atender aos 140-2, tendo módulos criptográficos validados desde o início do padrão em 2001. A Microsoft valida seus módulos criptográficos de acordo com o Programa de Validação de Módulo Criptográfico (CMVP) do Instituto Nacional de Padrões e Tecnologia (NIST). Vários produtos da Microsoft, incluindo muitos serviços em nuvem, usam esses módulos criptográficos.
Para obter informações técnicas sobre os módulos criptográficos do Microsoft Windows, a política de segurança de cada módulo e o catálogo de detalhes do certificado CMVP, consulte Windows e Windows Conteúdo do servidor FIPS 140-2.
Serviços de nuvem no escopo da Microsoft
Embora a orientação de implementação atual do CMVP FIPS 140-2 exclua uma validação do FIPS 140-2 para um serviço de nuvem em si; os provedores de serviços em nuvem podem escolher obter e operar módulos criptográficos validados FIPS 140 para os elementos de computação que compõem seu serviço em nuvem. Os serviços online da Microsoft que incluem componentes que foram validados com FIPS 140-2 incluem, entre outros:
- Azure e Azure Government
- Dynamics 365 e Dynamics 365 Government
- Office 365, Office 365 US Government e Office 365 US Government Defense
Perguntas frequentes
Qual é a diferença entre “FIPS 140 Validated” e “Compatível com FIPS 140”?
“FIPS 140 Validado” significa que o módulo criptográfico ou um produto que incorpora o módulo foi validado (“certificado”) pelo CMVP como atendendo aos requisitos FIPS 140-2 . “Compatível com FIPS 140” é um termo do setor para produtos de TI que contam com produtos validados FIPS 140 para funcionalidade criptográfica.
Quando a Microsoft realiza uma validação FIPS 140?
A cadência para começar uma validação de módulo se alinha com as atualizações de recursos do Windows 10 e do Windows Server. Conforme a indústria de software evoluiu, os sistemas operacionais são lançados com mais frequência, com atualizações mensais de software. A Microsoft realiza a validação para lançamentos de recursos, mas entre os lançamentos, procura minimizar as alterações aos módulos criptográficos.
Quais computadores estão incluídos em uma validação FIPS 140?
A Microsoft valida os módulos criptográficos em uma amostra representativa de configurações de hardware executando o Windows 10 e o Windows Server. É comum prática da indústria para aceitar esta validação FIPS 140-2 quando um ambiente usa hardware, que é semelhante aos exemplos usados para o processo de validação.
Existem muitos módulos listados no site do NIST. Como faço para sabe qual se aplica à minha agência?
Se você precisar usar módulos criptográficos validados por meio do FIPS 140-2, será necessário verificar se a versão que você usa aparece na lista de validação. O CMVP e a Microsoft mantêm uma lista de módulos criptográficos validados, organizada por lançamento do produto, junto com instruções para identificar quais módulos estão instalados em um sistema Windows. Para obter mais informações sobre como configurar sistemas para serem compatíveis, consulte o conteúdo do Windows e do Windows Server FIPS 140-2.
O que significa “Quando operado no modo FIPS” em um certificado?
Esta advertência informa ao leitor que as regras de configuração e segurança exigidas devem ser seguidas para usar o módulo criptográfico de uma forma que seja consistente com sua política de segurança FIPS 140-2. Cada módulo tem sua própria política de segurança – uma especificação precisa das regras de segurança sob as quais operará – e emprega algoritmos criptográficos aprovados, gerenciamento de chaves criptográficas e técnicas de autenticação. As regras de segurança são definidas na política de segurança de cada módulo.Para obter mais informações, incluindo links para a política de segurança de cada módulo validado por meio do CMVP, consulte o conteúdo do Windows e do Windows Server FIPS 140-2.
O FedRAMP requer validação do FIPS 140-2?
Sim, o Federal Risk and Authorization Management Program (FedRAMP) depende de linhas de base de controle definidas pelo NIST SP 800-53 Revisão 4, incluindo proteção criptográfica SC-13 que exige o uso de criptografia validada por FIPS ou criptografia aprovada por NSA.
Como o Microsoft Azure oferece suporte a FIPS 140-2?
O Azure é desenvolvido com uma combinação de hardware, sistemas operacionais disponíveis comercialmente (Linux e Windows) e uma versão específica do Azure do Windows . Por meio do Microsoft Security Development Lifecycle (SDL), todos os serviços do Azure usam algoritmos aprovados FIPS 140-2 para segurança de dados porque o sistema operacional usa algoritmos aprovados FIPS 140-2 enquanto opera em uma nuvem hiperescala.
Pode Eu uso a adesão da Microsoft ao FIPS 140-2 no processo de certificação da minha agência?
Para estar em conformidade com o FIPS 140-2, seu sistema deve ser configurado para funcionar em um modo de operação aprovado pelo FIPS, o que inclui a garantia de que um O módulo criptográfico usa apenas algoritmos aprovados pelo FIPS. Para obter mais informações sobre como configurar sistemas para serem compatíveis, consulte o conteúdo do Windows e Windows Server FIPS 140-2.
Qual é a relação entre o FIPS 140-2 e os critérios comuns?
Estes são dois padrões de segurança separados com propósitos diferentes, mas complementares. FIPS 140-2 é projetado especificamente para validar módulos criptográficos de software e hardware, enquanto o Critério Comum é projetado para avaliar funções de segurança em produtos de software e hardware de TI. As avaliações de Critérios Comuns muitas vezes contam com validações FIPS 140-2 para fornecer garantia de que a funcionalidade criptográfica básica seja implementada corretamente.