Logotipo de cumplimiento del FIPS 140
Estados Unidos | Administración pública y sector público

Cumplimiento del FIPS 140

El Instituto Nacional de Normas y Tecnología (NIST) emite la serie 140 de la publicación Federal Information Processing Standard (FIPS) para coordinar los requisitos y estándares de los módulos criptográficos, que incluyen componentes de hardware y software para que los usen los departamentos y agencias de los gobiernos de Estados Unidos y Canadá para proteger la información sensible.

Requisitos del FIPS 140

Los proveedores de servicios en la nube (CSPs) deben implementar el control de seguridad de FIPS para cumplir los requisitos de cloud computing de los gobiernos de Canadá y Estados Unidos, así como de sus contratistas y proveedores. La publicación FIPS 140 establece que, si se utiliza el cifrado como mecanismo para cumplir un requisito de seguridad, debe estar validado por FIPS en el marco del programa de validación de módulos criptográficos (CMVP).

La publicación FIPS serie 140 más reciente del 2020 es la tercera revisión, comúnmente denominada FIPS 140-3. El NIST está inmerso en un plan de transición para migrar del estándar FIPS 140-2 al 140-3, y Google se ha comprometido a llevar a cabo esta transición. Desde septiembre del 2022, todas las solicitudes de Google de conformidad con el FIPS 140 para módulos nuevos se han realizado de acuerdo con el estándar 140-3. BoringCrypto, el módulo de software principal de Google, ha recibido el certificado FIPS 140-3 (n.º 4735). Las certificaciones emitidas según el estándar FIPS 140-2 siguen siendo válidas y aceptadas por los programas de cumplimiento federales hasta su fecha de vencimiento.

Cumplimiento de Google Cloud con el estándar FIPS 140

Los datos en reposo de Google Cloud se protegen con módulos validados por FIPS 140. Google encripta automáticamente el tráfico entre las máquinas virtuales que se transfieren entre centros de datos de Google mediante el cifrado validado por el estándar FIPS.

Los datos en tránsito en Google Cloud están protegidos por módulos validados por FIPS 140, como las conexiones de SSH, el tráfico de centros de datos, las conexiones entre servicios y las interfaces externas (que usan TLS 1.2 o una versión posterior). Para garantizar una conexión validada por FIPS 140, los clientes deben asegurarse de que las máquinas que se conecten a Google Cloud estén configuradas para usar módulos de cifrado certificados. Los clientes deben usar TLS 1.2 o una versión posterior para que la conexión esté validada por FIPS 140.

De acuerdo con la política de FedRAMP para la selección y el uso de módulos criptográficos, Google utiliza el flujo de actualizaciones que contiene los parches y las actualizaciones más recientes para aplicarlos al software, independientemente del estado de validación de FIPS del software actualizado.

Nota: Es posible que las aplicaciones de los clientes que se desarrollen y utilicen en Google Cloud incluyan sus propias implementaciones criptográficas. Para que los datos que procesen estén protegidos por un módulo criptográfico con validación FIPS, los clientes deben integrar esa implementación.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Google Cloud
DocumentosAsistencia
Consola
Iniciar sesión
Security
Threat IntelSecOpsSeguridad en la nubeAsesoríaRecursos sobre seguridad
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud