Estados Unidos | Administración pública y sector público

Validación FIPS 140‑2

Elaborada por el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST), la publicación 140‑2 relativa a los estándares federales de procesamiento de información (Federal Information Processing Standards, FIPS) establece los requisitos de seguridad de los módulos criptográficos para las agencias federales de EE. UU. Ello incluye a los componentes de hardware, software o firmware. El objetivo del certificado de validación FIPS 140‑2 es proteger la información confidencial no clasificada que se almacena digitalmente.

En nuestro entorno de producción, Google Cloud Platform utiliza BoringCrypto (certificado 3318), un módulo de encriptado que cuenta con la validación FIPS 140-2. Esto implica que para los datos en reposo y en tránsito (tanto hacia los clientes como entre los centros de datos) se utiliza un encriptado que goza de la homologación FIPS 140‑2. Este módulo con validación FIPS 140‑2 forma parte de nuestra biblioteca BoringSSL.

Para realizar operaciones exclusivamente a través de implementaciones validadas por el estándar FIPS, se debe tener en cuenta lo siguiente:

  • Google encripta automáticamente el tráfico entre las máquinas virtuales que se transfieren entre centros de datos de Google mediante el encriptado validado por el estándar FIPS 140‐2.
  • El producto de almacenamiento mediante SSD local de Google se encripta automáticamente con algoritmos de cifrado que cuentan con la aprobación del NIST. Sin embargo, su implementación aún no ha obtenido el certificado de validación FIPS 140‑2. Si necesitas encriptar un almacenamiento SSD local con validación FIPS, deberás hacerlo por tu cuenta con un módulo criptográfico que esté validado por dicho estándar.
  • Cuando tus clientes se conecten a la infraestructura de Google, la configuración de sus clientes de TLS debe requerir el uso de algoritmos que cumplan las exigencias del estándar FIPS. Si el cliente de TLS y los servicios de TLS de GCP usan un mismo método de encriptado que no sea compatible con el estándar FIPS, se utilizará una implementación de encriptado sin validación.
  • Es posible que las aplicaciones que crees y utilices en GCP incluyan sus propias implementaciones criptográficas. Si quieres que los datos que procesan estén protegidos por un módulo criptográfico con validación FIPS, deberás integrar esa implementación por tu cuenta.

Actualmente, el encriptado validado por el estándar FIPS 140‑2 está disponible en todas las regiones y zonas de Google Cloud .