Logotipo de conformidade com FIPS 140
EUA | Governo e setor público

Conformidade com o FIPS 140

O Instituto Nacional de Padrões e Tecnologia (NIST) publica a série de publicações 140 do Padrão Federal de Processamento de Informações (FIPS) para coordenar os requisitos e padrões de módulos criptográficos, que incluem componentes de hardware e software para uso por departamentos e agências dos governos dos Estados Unidos e do Canadá para proteger informações sensíveis.

Requisitos do FIPS 140

Os provedores de serviços de nuvem (CSPs) precisam implementar o controle de segurança FIPS para atender aos requisitos de computação em nuvem dos governos dos EUA e do Canadá, bem como dos contratados e fornecedores. A publicação FIPS 140 estipula que, se a criptografia for empregada como um mecanismo para atender a um requisito de segurança, ela precisa ser validada pelo FIPS no âmbito do Programa de Validação de Módulos Criptográficos (CMVP).

A mais recente série de publicações FIPS 140 de 2020 é a terceira revisão, comumente chamada de FIPS 140-3. O NIST está no meio de um roteiro de transição para migrar do padrão FIPS 140-2 para o 140-3, e o Google está comprometido com essa transição. Desde setembro de 2022, todos os envios do Google para o FIPS 140 de novos módulos estão de acordo com o padrão 140-3. O módulo de software principal do Google, o BoringCrypto, recebeu um certificado FIPS 140-3 (#4735). As certificações emitidas de acordo com o padrão FIPS 140-2 permanecem válidas e aceitáveis para programas de compliance federais até a data de validade.

Conformidade do Google Cloud com o FIPS 140

Os dados em repouso no Google Cloud são protegidos com módulos validados pelo FIPS 140. O Google criptografa automaticamente o tráfego entre VMs que passa pelos data centers do Google usando a criptografia com validação FIPS.

Os dados em trânsito no Google Cloud são protegidos por módulos validados pelo FIPS 140, como conexões SSH, tráfego de data center, conexões de serviço para serviço e interfaces externas (usando TLS 1.2 ou superior). Para garantir uma conexão com validação FIPS 140, os clientes precisam garantir que as máquinas que se conectam ao Google Cloud estejam configuradas para usar módulos de criptografia certificados. Os clientes precisam usar o TLS 1.2 ou uma versão mais recente para garantir uma conexão com validação FIPS 140.

De acordo com a política do FedRAMP para seleção e uso de módulos criptográficos, o Google usa o fluxo de atualização que contém os patches e as atualizações mais recentes para aplicar ao software, independentemente do status de validação FIPS do software atualizado.

Observação: os aplicativos do cliente criados e operados no Google Cloud podem incluir as próprias implementações criptográficas. Para que os dados processados sejam protegidos com um módulo criptográfico validado pelo FIPS, os clientes precisam integrar essa implementação.

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Google Cloud
DocumentosSuporte
Console
Fazer login
Security
Inteligência contra ameaçasSecOpsSegurança na nuvemConsultoriaRecursos de segurança
  • Acelere sua transformação digital
  • Seja no início da jornada ou já a caminho da transformação digital, o Google Cloud pode ajudar a superar os desafios mais difíceis.
  • Produtos do Google Cloud
  • Acesse mais de 100 produtos. Clientes novos ganham US$ 300,00 em créditos para executar, testar e implantar cargas de trabalho. Todos os clientes podem usar mais de 25 produtos gratuitamente até alcançarem os limites de uso mensais.
  • Economize com nossa abordagem de preços transparente
  • Os preços de pagamento por utilização do Google Cloud oferecem economia automática com base no uso mensal e preços com desconto para recursos pré-pagos. Entre em contato hoje mesmo para receber uma cotação.
Google Cloud