- 30.11.2020
- 4 minute de citit
-
- r
Prezentare generală a standardului FIPS 140-2
Publicația 140-2 a Standardului federal de procesare a informațiilor (FIPS) este un standard al guvernului SUA care definește cerințele minime de securitate pentru modulele criptografice din produsele de tehnologie informațională, astfel cum sunt definite în secțiunea 5131 din Legea privind reforma managementului tehnologiei informației din 1996.
Programul de validare a modulului criptografic (CMVP), un efort comun al Institutului Național de Standarde și Tehnologie al SUA (NIST) și al Centrului canadian pentru securitate cibernetică (CCCS), validează modulele criptografice conform cerințelor de securitate standard pentru modulele criptografice , FIPS 140-2) și standardele conexe de criptografie FIPS. Cerințele de securitate FIPS 140-2 acoperă 11 domenii legate de proiectarea și implementarea unui modul criptografic. Laboratorul de tehnologie informațională NIST operează un program conex care validează algoritmii criptografici aprobați de FIPS din modul.
Abordarea Microsoft față de validarea FIPS 140-2
Microsoft își păstrează un angajament activ în îndeplinirea 140-2 cerințe, având validate module criptografice de la înființarea standardului în 2001. Microsoft își validează modulele criptografice în cadrul Programului de validare a modulului criptografic (CMVP) al Institutului Național de Standarde și Tehnologie (NIST). Mai multe produse Microsoft, inclusiv multe servicii cloud, utilizează aceste module criptografice.
Pentru informații tehnice despre modulele criptografice Microsoft Windows, politica de securitate pentru fiecare modul și catalogul detaliilor certificatelor CMVP, consultați Windows și Windows Conținut FIPS Server 140-2.
Servicii cloud în domeniul Microsoft
În timp ce ghidul actual de implementare CMVP FIPS 140-2 exclude validarea FIPS 140-2 pentru un serviciu cloud în sine; furnizorii de servicii cloud pot alege să obțină și să opereze module criptografice validate de FIPS 140 pentru elementele de calcul care cuprind serviciul lor cloud. Serviciile online Microsoft care includ componente, care au fost validate FIPS 140-2 includ, printre altele:
- Azure și Azure Government
- Dynamics 365 și Dynamics 365 Government
- Office 365, Office 365 US Government și Office 365 US Government Defense
Întrebări frecvente
Care este diferența dintre „FIPS 140 validat” și „Conform FIPS 140”?
„FIPS 140 validat” înseamnă că modulul criptografic sau un produs care încorporează modulul a fost validat („certificat”) de către CMVP ca îndeplinind cerințele FIPS 140-2 . „Conform cu FIPS 140” este un termen industrial pentru produsele IT care se bazează pe produsele validate de FIPS 140 pentru funcționalitate criptografică.
Când efectuează Microsoft o validare FIPS 140?
Cadența de pornire o validare a modulului se aliniază cu actualizările de caracteristici ale Windows 10 și Windows Server. Pe măsură ce industria software a evoluat, sistemele de operare sunt lansate mai frecvent, cu actualizări software lunare. Microsoft efectuează validarea pentru versiunile de caracteristici, dar între versiuni, caută să minimizeze modificările la modulele criptografice.
Ce computere sunt incluse într-o validare FIPS 140?
Microsoft validează modulele criptografice pe un eșantion reprezentativ de configurații hardware care rulează Windows 10 și Windows Server. Este obișnuit practică industrială de a accepta această validare FIPS 140-2 atunci când un mediu folosește hardware, care este similar cu mostrele utilizate pentru procesul de validare.
Există multe module listate pe site-ul web NIST. Cum știți care se aplică agenției mele?
Dacă vi se cere să utilizați module criptografice validate prin FIPS 140-2, trebuie să verificați dacă versiunea pe care o utilizați apare pe lista de validare. CMVP și Microsoft mențin o listă de module criptografice validate, organizate după lansarea produsului, împreună cu instrucțiuni pentru identificarea modulelor care sunt instalate pe un sistem Windows. Pentru mai multe informații despre configurarea sistemelor pentru a fi conforme, consultați conținutul FIPS 140-2 pentru Windows și Windows Server.
Ce înseamnă „Când este operat în modul FIPS” pe un certificat?
Această avertizare informează cititorul că trebuie respectate regulile de configurare și securitate necesare pentru a utiliza modulul criptografic într-un mod care este în concordanță cu politica sa de securitate FIPS 140-2. Fiecare modul are propria politică de securitate – o specificație precisă a regulilor de securitate în baza căreia va funcționa – și folosește algoritmi criptografici aprobați, gestionarea cheilor criptografice și tehnici de autentificare. Regulile de securitate sunt definite în politica de securitate pentru fiecare modul.Pentru mai multe informații, inclusiv link-uri către politica de securitate pentru fiecare modul validat prin CMVP, consultați conținutul FIPS 140-2 Windows și Windows Server.
FedRAMP necesită validare FIPS 140-2?
Da, Programul federal de gestionare a riscurilor și autorizațiilor (FedRAMP) se bazează pe linii de bază de control definite de NIST SP 800-53 Revizuirea 4, inclusiv Protecția criptografică SC-13 care impune utilizarea criptografiei validate de FIPS sau a criptografiei aprobate de NSA.
Cum acceptă Microsoft Azure FIPS 140-2?
Azure este construit cu o combinație de hardware, sisteme de operare disponibile în comerț (Linux și Windows) și versiunea specifică Azure de Windows . Prin Microsoft Security Development Lifecycle (SDL), toate serviciile Azure folosesc algoritmi aprobați FIPS 140-2 pentru securitatea datelor, deoarece sistemul de operare utilizează algoritmi aprobați FIPS 140-2 în timp ce funcționează la un cloud cu scară hiper.
Poate Folosesc aderarea Microsoft la FIPS 140-2 în procesul de certificare al agenției mele?
Pentru a respecta FIPS 140-2, sistemul dvs. trebuie să fie configurat pentru a rula într-un mod de operare aprobat de FIPS, care include asigurarea faptului că modulul criptografic utilizează doar algoritmi aprobați de FIPS. Pentru mai multe informații despre configurarea sistemelor pentru a fi compatibile, consultați conținutul FIPS 140-2 Windows și Windows Server.
Care este relația dintre FIPS 140-2 și Common Criteria?
Aceste sunt două standarde de securitate separate cu scopuri diferite, dar complementare. FIPS 140-2 este conceput special pentru validarea modulelor criptografice software și hardware, în timp ce criteriile comune sunt concepute pentru a evalua funcțiile de securitate din produsele software și hardware IT. Evaluările criteriilor obișnuite se bazează adesea pe validările FIPS 140-2 pentru a oferi asigurarea că funcționalitatea criptografică de bază este implementată corect.