Requisitos de FIPS 140

El Instituto Nacional de Normas y Tecnología (NIST) emite la serie de publicación 140 de Federal Information Processing Standard (FIPS) para coordinar los requisitos y estándares de los módulos criptográficos, que incluyen componentes de hardware y software para que los departamentos y las agencias de los Gobiernos de Canadá y Estados Unidos los usen con el objetivo de proteger la información sensible.

Cumplimiento de FIPS 140

Los proveedores de servicios en la nube (CSP) deben implementar el control de seguridad FIPS para cumplir con los requisitos de computación en la nube de los Gobiernos de EE.UU. y Canadá, así como sus contratistas y proveedores. La publicación FIPS 140 estipula que, si se usa la encriptación como un mecanismo para cumplir con un requisito de seguridad, debe ser validada por FIPS según el Cryptographic Module Validation Program (CMVP). 

La serie de publicación FIPS 140 más reciente del 2020 es una tercera revisión, que se conoce como FIPS 140-3. El NIST está en medio de una hoja de ruta de transición para migrar del estándar FIPS 140-2 al 140-3, y Google está comprometido con esta transición. Desde septiembre de 2022, todas las presentaciones de FIPS 140 de Google para módulos nuevos se han realizado bajo el estándar 140-3. El módulo de software principal de Google, BoringCrypto, recibió un certificado FIPS 140-3 (#5104). Las certificaciones emitidas según el estándar FIPS 140-2 siguen siendo válidas y aceptables para los programas de cumplimiento federal hasta su fecha de vencimiento.

Cumplimiento de FIPS 140 de Google Cloud

Los datos en reposo en Google Cloud están protegidos con módulos validados por FIPS 140. Google encripta automáticamente el tráfico entre las VMs que viaja entre los centros de datos de Google con una encriptación validada por FIPS.

Los datos en tránsito en Google Cloud están procesados por módulos validados por FIPS 140, lo que incluye, por ejemplo, conexiones SSH, tráfico de centros de datos, conexiones de servicio a servicio y las interfaces externas (con TLS 1.2 o versiones posteriores). Para garantizar una conexión validada por FIPS 140, los clientes deben asegurarse de que las máquinas que se conectan a Google Cloud estén configuradas para usar módulos de encriptación certificados. Se recomienda a los clientes usar TLS 1.2 o una versión superior para garantizar una conexión validada por FIPS 140.

De acuerdo con la Política de FedRAMP para la selección y el uso de módulos criptográficos, Google utiliza el flujo de actualizaciones que contiene los parches y actualizaciones más recientes para aplicarlos al software, independientemente del estado de validación FIPS del software actualizado. Google conserva artefactos que demuestran que las versiones principales actualizadas se envían al Cryptographic Module Validation Program (CMVP) en un plazo de seis meses desde su lanzamiento y proporciona visibilidad del uso de módulos criptográficos (incluidas las versiones) como parte de su programa de supervisión continua según SI - (2). Para obtener más información sobre las implementaciones de control de módulos criptográficos de Google Cloud, comunícate con nuestro equipo de ventas o tu representante de Google Cloud puede ayudarte a obtener acceso a nuestra documentación de FedRAMP. Los clientes del sector gubernamental también pueden solicitar el paquete del FedRAMP de Google a través de la Oficina de Administración del Programa FedRAMP con el formulario de solicitud del paquete.

Google implementa esta política de manera coherente, aplicando el modelo de flujo de actualización a otras directivas que requieren certificación criptográfica FIPS, por ejemplo: CJIS, ITAR, DoD IL4 y IL5, IRS 1075, JISF y Protected B.

Nota: Las aplicaciones de clientes creadas y en operación en Google Cloud pueden incluir sus propias implementaciones criptográficas. Para proteger los datos procesados con un módulo criptográfico validado por FIPS, los clientes deben integrar esa implementación.