미국 국립표준기술연구소(NIST)는 미국 연방 정보 처리 표준(FIPS) 발표문 시리즈 140을 발행하여 미국 및 캐나다 정부의 부처와 기관이 민감한 정보를 보호하기 위해 사용하는 하드웨어 및 소프트웨어 구성요소를 포함하는 암호화 모듈의 요구사항과 표준을 조정합니다.
FIPS 140 요구사항
클라우드 서비스 제공업체(CSP)는 미국 및 캐나다 정부와 계약업체 및 공급업체의 클라우드 컴퓨팅 요구사항을 충족하기 위해 FIPS 보안 제어를 구현해야 합니다. FIPS 발표문 140은 보안 요구사항을 충족하기 위한 메커니즘으로 암호화를 사용하는 경우 암호화 모듈 검증 프로그램(CMVP)에 따라 FIPS 검증을 받아야 한다고 규정합니다.
2020년의 최신 FIPS 발표문 시리즈 140은 세 번째 개정판으로서 일반적으로 FIPS 140-3으로 불립니다. NIST는 FIPS 140-2에서 140-3 표준으로 마이그레이션하기 위한 전환 로드맵을 진행 중이며 Google은 이러한 전환을 위해 최선을 다하고 있습니다. 2022년 9월부터 Google의 모든 신규 모듈 FIPS 140 제출물은 140-3 표준에 따라 제출되었습니다. Google의 핵심 소프트웨어 모듈인 BoringCrypto는 FIPS 140-3 인증서(#4735)를 받았습니다. FIPS 140-2 표준에 따라 발급된 인증서는 만료일까지 유효하며 연방 규정 준수 프로그램에 사용할 수 있습니다.
Google Cloud FIPS 140 규정 준수
Google Cloud의 저장 데이터는 FIPS 140 검증 모듈로 보호됩니다. Google은 FIPS 검증 암호화를 사용하여 Google 데이터 센터 간에 이동하는 VM 간의 트래픽을 자동으로 암호화합니다.
Google Cloud에서 전송 중인 데이터는 FIPS 140 검증 모듈로 보호됩니다. 예를 들어 SSH 연결, 데이터 센터 트래픽, 서비스 간 연결, 외부 인터페이스(TLS 1.2 이상 사용)가 여기에 포함됩니다. FIPS 140 검증 연결을 보장하려면 고객은 Google Cloud에 연결하는 머신이 인증된 암호화 모듈을 사용하도록 구성되어 있는지 확인해야 합니다. 고객은 FIPS 140 검증 연결을 보장하기 위해 TLS 1.2 이상을 사용해야 합니다.
FedRAMP 암호화 모듈 선택 및 사용 정책에 따라 Google은 업데이트된 소프트웨어의 FIPS 검증 상태와 관계없이 소프트웨어에 적용할 최신 패치와 업데이트가 포함된 업데이트 스트림을 활용합니다.
참고: Google Cloud에서 빌드하고 운영하는 고객 애플리케이션에는 자체 암호화 구현이 포함될 수 있습니다. 이러한 애플리케이션이 처리하는 데이터를 FIPS 검증 암호화 모듈로 보호하려면 고객이 해당 구현을 통합해야 합니다.