Requisiti FIPS 140

Il National Institute of Standards and Technology (NIST) pubblica il documenti Federal Information Processing Standard (FIPS) Publication Series 140 (FIPS) per coordinare i requisiti e gli standard per i moduli crittografici, che includono componenti hardware e software per l'uso da parte di dipartimenti e agenzie dei governi degli Stati Uniti e del Canada per proteggere le informazioni sensibili.

Conformità a FIPS 140

I provider di servizi cloud (CSP) sono tenuti a implementare il controllo di sicurezza FIPS per soddisfare i requisiti del cloud computing per i governi statunitense e canadese, nonché per i loro appaltatori e fornitori. La pubblicazione FIPS 140 stabilisce che, se la crittografia viene utilizzata come meccanismo per soddisfare un requisito di sicurezza, deve essere convalidata FIPS nell'ambito del Cryptographic Module Validation Program (CMVP). 

La più recente pubblicazione FIPS Publication Series 140 del 2020 è la terza revisione, comunemente denominata FIPS 140-3. Il NIST è nel mezzo di una roadmap di transizione per la migrazione dallo standard FIPS 140-2 a 140-3 e Google si impegna a completare questa transizione. Da settembre 2022, tutte le richieste di Google per la certificazione FIPS 140 per i nuovi moduli sono state presentate in base allo standard 140-3. Il modulo software principale di Google, BoringCrypto, ha ricevuto un certificato FIPS 140-3 (#5104). Le certificazioni rilasciate secondo lo standard FIPS 140-2 rimangono valide e accettabili per i programmi di conformità federali fino alla loro data di scadenza.

Conformità FIPS 140 di Google Cloud

I dati at-rest in Google Cloud sono protetti con moduli convalidati FIPS 140. Google cripta automaticamente il traffico tra le VM che viaggia tra i data center di Google utilizzando la crittografia convalidata FIPS.

I dati in transito in Google Cloud vengono elaborati da moduli convalidati FIPS 140, ad esempio connessioni SSH, traffico del data center, connessioni da servizio a servizio e interfacce esterne (utilizzando TLS 1.2 o versioni successive). Per garantire una connessione convalidata FIPS 140, i clienti devono assicurarsi che le macchine che si connettono a Google Cloud siano configurate per utilizzare moduli di crittografia certificati. Si consiglia ai clienti di utilizzare TLS 1.2 o versioni successive per garantire una connessione con convalida FIPS 140.

In conformità con le norme di FedRAMP per la selezione e l'uso dei moduli crittografici, Google utilizza il flusso di aggiornamento contenente le patch e gli aggiornamenti più recenti da applicare al software, indipendentemente dallo stato di convalida FIPS del software aggiornato. Google conserva gli artefatti che dimostrano che le versioni principali aggiornate vengono inviate al Cryptographic Module Validation Program (CMVP) entro sei mesi dal rilascio e fornisce visibilità sull'uso del modulo crittografico (incluse le versioni) nell'ambito del suo programma di monitoraggio continuo per SI - (2). Per ulteriori informazioni sulle implementazioni del controllo del modulo crittografico di Google Cloud, contatta il nostro team di vendita o il tuo rappresentante di Google Cloud che può aiutarti ad accedere alla nostra documentazione FedRAMP. I clienti governativi possono richiedere anche il pacchetto FedRAMP di Google tramite il FedRAMP Program Management Office utilizzando il relativo modulo di richiesta.

Google implementa costantemente queste norme, applicando il modello di flusso di aggiornamento ad altre direttive che richiedono la certificazione crittografica FIPS, ad esempio: CJIS, ITAR, DoD IL4 e IL5, IRS 1075, JISF e Protected B.

Nota: le applicazioni dei clienti create ed eseguite su Google Cloud possono includere le proprie implementazioni crittografiche; affinché i dati elaborati siano protetti con un modulo crittografico convalidato FIPS, i clienti devono integrare personalmente questa implementazione.