Anforderungen des FIPS 140

Das National Institute of Standards and Technology (NIST) gibt die FIPS-Veröffentlichungsreihe 140 heraus, um die Anforderungen und Standards für kryptografische Module zu koordinieren. Diese umfassen sowohl Hardware- als auch Softwarekomponenten, die von Ministerien und Behörden der US-Regierung und der kanadischen Regierung zum Schutz sensibler Informationen verwendet werden.

FIPS 140-Compliance

Cloud-Dienstanbieter (Cloud Service Provider, CSP) müssen FIPS-Sicherheitskontrollen implementieren, um die Anforderungen an Cloud-Computing für die US-amerikanische und kanadische Regierung sowie deren Auftragnehmer und Anbieter zu erfüllen. Die FIPS-Veröffentlichung 140 schreibt vor, dass die Verschlüsselung, wenn sie als Mechanismus zur Erfüllung einer Sicherheitsanforderung eingesetzt wird, im Rahmen des Cryptographic Module Validation Program (CMVP) FIPS-validiert sein muss. 

Die neueste FIPS 140-Publikation aus dem Jahr 2020 ist die dritte Revision, die allgemein als FIPS 140-3 bezeichnet wird. Das NIST arbeitet an einer Übergangs-Roadmap für die Migration vom FIPS 140-2- zum FIPS 140-3 und Google unterstützt diese Migration. Seit September 2022 werden alle FIPS 140-Einreichungen von Google für neue Module nach dem Standard 140-3 vorgenommen. Das Kernsoftwaremodul von Google, BoringCrypto, hat ein FIPS 140-3-Zertifikat (#5104) erhalten. Zertifizierungen, die gemäß dem FIPS 140-2 ausgestellt wurden, bleiben bis zu ihrem Ablaufdatum gültig und können für staatliche Compliance-Programme verwendet werden.

Google Cloud FIPS 140-Compliance

Ruhende Daten in Google Cloud werden mit FIPS 140-validierten Modulen geschützt. Google verschlüsselt den Traffic zwischen VMs, der zwischen Google-Rechenzentren übertragen wird, automatisch mit einer FIPS -validierten Verschlüsselung.

Daten bei der Übertragung in Google Cloud werden von FIPS 140-validierten Modulen verarbeitet. Dazu gehören beispielsweise SSH-Verbindungen, Rechenzentrumsverkehr, Verbindungen zwischen Diensten und externe Schnittstellen (mit TLS 1.2 oder höher). Um eine FIPS 140-validierte Verbindung zu gewährleisten, müssen Kundenunternehmen dafür sorgen, dass die Maschinen, die sich mit Google Cloud verbinden, so konfiguriert sind, dass sie zertifizierte Verschlüsselungsmodule verwenden. Kunden wird empfohlen, TLS 1.2 oder höher zu verwenden, um eine FIPS 140-validierte Verbindung zu gewährleisten.

Gemäß der FedRAMP-Richtlinie zur Auswahl und Verwendung kryptografischer Module verwendet Google den Updatestream mit den neuesten Patches und Updates, die auf die Software angewendet werden, unabhängig vom FIPS-Validierungsstatus der aktualisierten Software. Google bewahrt Artefakte auf, die belegen, dass aktualisierte Hauptversionen innerhalb von sechs Monaten nach der Veröffentlichung an das Cryptographic Module Validation Program (CMVP) übermittelt werden, und bietet im Rahmen seines fortlaufenden Monitoring-Programms gemäß SI-2 Einblick in die Verwendung kryptografischer Module (einschließlich Versionen). Weitere Informationen zu den Implementierungen der kryptografischen Modulsteuerung von Google Cloud erhalten Sie von unserem Vertriebsteam. Ihr Google Cloud-Ansprechpartner kann Ihnen Zugriff auf unsere FedRAMP-Dokumentation gewähren. Regierungskunden können das FedRAMP-Paket von Google auch über das FedRAMP Program Management Office über das entsprechende Paket-Anfrageformular anfordern.

Google setzt diese Richtlinie konsequent um und wendet das Update-Stream-Modell auf andere Richtlinien an, die eine FIPS-Kryptozertifizierung erfordern, z. B. CJIS, ITAR, DoD IL4 und IL5, IRS 1075, JISF und Protected B.

Hinweis: Kundenanwendungen, die in Google Cloud erstellt und betrieben werden, können eigene kryptografische Implementierungen enthalten. Damit die von diesen Anwendungen verarbeiteten Daten mit einem FIPS-validierten Verschlüsselungsmodul geschützt werden, müssen Kunden eine solche Implementierung selbst vornehmen.