- 30/11/2020
- 4 minutos de lectura
-
- r
Descripción general del estándar FIPS 140-2
La Publicación 140-2 del Estándar Federal de Procesamiento de Información (FIPS) es un estándar del gobierno de EE. UU. Que define los requisitos mínimos de seguridad para los módulos criptográficos en productos de tecnología de la información, como se define en la Sección 5131 de la Ley de Reforma de la Gestión de la Tecnología de la Información de 1996.
El Programa de validación de módulos criptográficos (CMVP), un esfuerzo conjunto del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) y el Centro Canadiense de Seguridad Cibernética (CCCS), valida los módulos criptográficos según el estándar de Requisitos de seguridad para módulos criptográficos (es decir , FIPS 140-2) y estándares de criptografía FIPS relacionados. Los requisitos de seguridad de FIPS 140-2 cubren 11 áreas relacionadas con el diseño y la implementación de un módulo criptográfico. El Laboratorio de Tecnología de la Información del NIST opera un programa relacionado que valida los algoritmos criptográficos aprobados por FIPS en el módulo.
El enfoque de Microsoft para la validación de FIPS 140-2
Microsoft mantiene un compromiso activo para cumplir con 140-2, habiendo validado los módulos criptográficos desde el inicio del estándar en 2001. Microsoft valida sus módulos criptográficos bajo el Programa de Validación de Módulos Criptográficos (CMVP) del Instituto Nacional de Estándares y Tecnología (NIST). Varios productos de Microsoft, incluidos muchos servicios en la nube, utilizan estos módulos criptográficos.
Para obtener información técnica sobre los módulos criptográficos de Microsoft Windows, la política de seguridad de cada módulo y el catálogo de detalles del certificado CMVP, consulte Windows y Windows Contenido del servidor FIPS 140-2.
Servicios en la nube dentro del alcance de Microsoft
Si bien la guía de implementación de CMVP FIPS 140-2 actual excluye una validación FIPS 140-2 para un servicio en la nube; Los proveedores de servicios en la nube pueden optar por obtener y operar módulos criptográficos validados por FIPS 140 para los elementos informáticos que componen su servicio en la nube. Los servicios en línea de Microsoft que incluyen componentes, que han sido validados por FIPS 140-2 incluyen, entre otros:
- Azure y Azure Government
- Dynamics 365 y Dynamics 365 Government
- Office 365, Office 365 Gobierno de EE. UU. y Office 365 Defensa del gobierno de EE. UU.
Preguntas frecuentes
¿Cuál es la diferencia entre «FIPS 140 validado» y «FIPS 140 compatible»?
«FIPS 140 Validated» significa que el módulo criptográfico, o un producto que incorpora el módulo ha sido validado («certificado») por el CMVP como que cumple con los requisitos de FIPS 140-2 . «Cumple con FIPS 140» es un término de la industria para los productos de TI que se basan en productos validados por FIPS 140 para la funcionalidad criptográfica.
¿Cuándo realiza Microsoft una validación de FIPS 140?
La cadencia de inicio La validación de un módulo se alinea con las actualizaciones de funciones de Windows 10 y Windows Server. A medida que la industria del software evolucionó, los sistemas operativos se lanzan con más frecuencia, con actualizaciones de software mensuales. Microsoft realiza la validación de las versiones de funciones, pero entre versiones, busca minimizar los cambios a los módulos criptográficos.
¿Qué computadoras están incluidas en una validación FIPS 140?
Microsoft valida los módulos criptográficos en una muestra representativa de configuraciones de hardware que ejecutan Windows 10 y Windows Server. Es común práctica de la industria para aceptar esta validación FIPS 140-2 cuando un entorno utiliza hardware, que es similar a las muestras utilizadas para el proceso de validación.
Hay muchos módulos enumerados en el sitio web del NIST. ¿Cómo puedo ¿sabe cuál se aplica a mi agencia?
Si debe utilizar módulos criptográficos validados a través de FIPS 140-2, debe verificar que la versión que utiliza aparece en la lista de validación. El CMVP y Microsoft mantienen una lista de módulos criptográficos validados, organizados por lanzamiento de producto, junto con instrucciones para identificar qué módulos están instalados en un sistema Windows. Para obtener más información sobre cómo configurar los sistemas para que sean compatibles, consulte el contenido de Windows y Windows Server FIPS 140-2.
¿Qué significa «Cuando se opera en modo FIPS» en un certificado?
Esta advertencia informa al lector que se deben seguir las reglas de seguridad y configuración requeridas para usar el módulo criptográfico de una manera que sea consistente con su política de seguridad FIPS 140-2. Cada módulo tiene su propia política de seguridad, una especificación precisa de las reglas de seguridad bajo las cuales operará, y emplea algoritmos criptográficos aprobados, administración de claves criptográficas y técnicas de autenticación. Las reglas de seguridad se definen en la política de seguridad de cada módulo.Para obtener más información, incluidos enlaces a la política de seguridad de cada módulo validado a través de CMVP, consulte el contenido de FIPS 140-2 de Windows y Windows Server.
¿FedRAMP requiere validación de FIPS 140-2?
Sí, el Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP) se basa en las líneas de base de control definidas por el NIST SP 800-53 Revisión 4, incluida la Protección criptográfica SC-13 que exige el uso de criptografía validada por FIPS o criptografía aprobada por NSA.
¿Cómo es compatible Microsoft Azure con FIPS 140-2?
Azure está construido con una combinación de hardware, sistemas operativos disponibles comercialmente (Linux y Windows) y una versión específica de Azure de Windows . A través del ciclo de vida de desarrollo de seguridad de Microsoft (SDL), todos los servicios de Azure utilizan algoritmos aprobados por FIPS 140-2 para la seguridad de los datos porque el sistema operativo usa algoritmos aprobados por FIPS 140-2 mientras opera en una nube de hiperescala.
Puede ¿Utilizo la adhesión de Microsoft a FIPS 140-2 en el proceso de certificación de mi agencia?
Para cumplir con FIPS 140-2, su sistema debe estar configurado para ejecutarse en un modo de operación aprobado por FIPS, lo que incluye garantizar que un El módulo criptográfico utiliza solo algoritmos aprobados por FIPS. Para obtener más información sobre cómo configurar los sistemas para que sean compatibles, consulte el contenido de Windows y Windows Server FIPS 140-2.
¿Cuál es la relación entre FIPS 140-2 y Common Criteria?
Estos son dos estándares de seguridad separados con propósitos diferentes, pero complementarios. FIPS 140-2 está diseñado específicamente para validar módulos criptográficos de software y hardware, mientras que Common Criteria está diseñado para evaluar funciones de seguridad en productos de software y hardware de TI. Las evaluaciones de Common Criteria a menudo se basan en las validaciones FIPS 140-2 para garantizar que la funcionalidad criptográfica básica se implemente correctamente.