fips

Validación con FIPS 140-2

El National Institute of Standards and Technology (NIST) (Instituto Nacional de Normas y Tecnología) desarrolló Federal Information Processing Standard (FIPS) Publication 140-2 (Publicación 140-2 de los Estándares federales de procesamiento de la información) como un estándar de seguridad que establece los requisitos para los módulos criptográficos, incluidos el hardware, el software o el firmware, para las agencias federales de EE.UU. La certificación de validación con FIPS 140-2 se estableció para contribuir a la protección de la información sensible sin clasificar almacenada de manera digital.

En el entorno de producción, Google Cloud Platform usa un módulo de encriptación validado por FIPS 140-2 llamado BoringCrypto (certificado 3318). Esto significa que la encriptación de los datos en reposo y los datos en tránsito al cliente y entre los centros de datos está validada por FIPS 140-2. El módulo que consiguió la validación con FIPS 140-2 forma parte de nuestra biblioteca BoringSSL.

Se debe cumplir con lo siguiente para trabajar con las implementaciones validadas por FIPS:

  • El producto de almacenamiento SSD local de Google se encripta automáticamente con el algoritmo de cifrado aprobado por el NIST, pero la implementación actual de Google para este producto no tiene un certificado de validación con FIPS 140-2. Si necesitas encriptación validada con FIPS en el almacenamiento SSD local, debes realizar tu propia encriptación. Para ello, usa un módulo de encriptación validado por FIPS.
  • Google usa algoritmos de encriptación aprobados por el NIST para encriptar de forma automática el tráfico de las VM que circula entre los centros de datos de Google. Sin embargo, esta implementación no cuenta con un certificado de validación con FIPS. Si necesitas encriptar tráfico con una implementación validada por FIPS, debes tener una propia.
  • Cuando los clientes se conectan a la infraestructura de Google, sus clientes de TLS deben estar configurados para requerir el uso de algoritmos protegidos que cumplen con los FIPS; si el cliente de TLS y los servicios de TLS de GCP acuerdan usar un método de encriptación no compatible con FIPS, se usará una implementación de encriptación no validada.
  • Las aplicaciones que compiles y operes en GCP pueden incluir sus propias implementaciones criptográficas. Para proteger los datos procesados con un módulo criptográfico validado por FIPS, deberás integrar esa implementación por tu cuenta.

En la actualidad, todas las zonas y regiones de Google Cloud son compatibles con la encriptación validada por FIPS 140-2.

Productos y servicios relacionados

Preguntas frecuentes

Referencia
FIPS PUB 140-2 Security Requirements for Cryptographic Modules (Requisitos de seguridad de FIPS PUB 140-2 para módulos criptográficos)
Región

EE.UU.

Sector

Sector gubernamental y público