FIPS 140 合规性

美国国家标准与技术研究院 (NIST) 发布了联邦信息处理标准 (FIPS) 出版物系列 140，以协调加密模块（包括硬件和软件组件）的要求和标准，供美国和加拿大政府部门和机构使用以保护敏感信息。

FIPS 140 要求

云服务提供商 (CSP) 需要实施 FIPS 安全控制措施，以满足美国和加拿大政府及其承包商和供应商对云计算的要求。FIPS 出版物 140 规定，如果采用加密作为满足安全要求的机制，则必须根据加密模块验证计划 (CMVP) 进行 FIPS 验证。

2020 年发布的最新 FIPS 出版物系列 140 是第三版，通常称为 FIPS 140-3。NIST 正在实施从 FIPS 140-2 标准迁移到 140-3 标准的转换路线图，Google 也致力于完成此转换。自 2022 年 9 月起，Google 针对新模块提交的所有 FIPS 140 内容都已符合 140-3 标准。Google 的核心软件模块 BoringCrypto 已获得 FIPS 140-3 证书（#4735）。在 FIPS 140-2 标准下颁发的认证在失效日期之前仍然有效，并且符合联邦合规性计划的要求。

Google Cloud FIPS 140 合规性

Google Cloud 中的静态数据由 FIPS 140 验证模块保护。Google 会自动采用经 FIPS 验证的加密方式对 Google 数据中心之间传输的虚拟机到虚拟机的流量进行加密。

Google Cloud 中传输中的数据由 FIPS 140 验证模块加以保护；例如，其中包括 SSH 连接、数据中心流量、服务间连接和外部接口（使用 TLS 1.2 或更高版本）。为确保连接通过 FIPS 140 验证，客户必须确保连接到 Google Cloud 的机器配置为使用经过认证的加密模块。客户应使用 TLS 1.2 或更高版本，以确保连接通过 FIPS 140 验证。

根据 FedRAMP 加密模块选择和使用政策，Google 会使用包含最新补丁和更新的更新数据流来应用于软件，而不考虑更新的软件的 FIPS 验证状态。

注意：在 Google Cloud 上构建和运行的客户应用可能包含自己的加密实现；为了使用 FIPS 验证的加密模块保护其处理的数据，客户必须集成此类实现。