fips

FIPS 140-2-gevalideerd

Het National Institute of Standards and Technology (NIST) heeft de Federal Information Processing Standard (FIPS) Publication 140-2 ontwikkeld als een beveiligingsnorm waarin vereisten voor versleutelingsmodules, inclusief hardware, software en/of firmware, voor Amerikaanse overheidsinstellingen zijn uiteengezet. FIPS 140-2-gevalideerde certificering werd ingesteld om te helpen bij de bescherming van digitaal opgeslagen niet-vertrouwelijke, maar toch gevoelige informatie.

In de productieomgeving van Google Cloud Platform wordt een FIPS 140-2-gevalideerde versleutelingsmodule gebruikt met de naam BoringCrypto (certificaat 3318). Dit betekent dat zowel gegevens die naar de klant en tussen datacenters worden overgedragen als 'data at rest' worden versleuteld met FIPS 140-2-gevalideerde versleuteling. De module die FIPS 140-2-gevalideerd is, maakt onderdeel uit van onze BoringSSL-bibliotheek.

Als u uitsluitend FIPS-gevalideerde implementaties wilt gebruiken, gaat u als volgt te werk:

  • Het Google-product voor lokale SSD-opslag wordt automatisch versleuteld met door het NIST goedgekeurde codering, maar de huidige Google-implementatie voor dit product heeft geen FIPS 140-2-valideringscertificaat. Als u FIPS-gevalideerde versleuteling voor uw lokale SSD-opslag nodig heeft, moet u zelf de versleuteling uitvoeren met een FIPS-gevalideerde versleutelingsmodule.
  • Google versleutelt automatisch het VM-verkeer tussen Google-datacenters. Hiervoor gebruiken we door het NIST goedgekeurde versleutelingsalgoritmen, maar voor deze implementatie is er geen FIPS-valideringscertificaat. Als u dit verkeer met een FIPS-gevalideerde implementatie wilt versleutelen, moet u uw eigen implementatie gebruiken.
  • Wanneer uw klanten verbinding maken met Google-infrastructuur, moeten hun TLS-clients zo zijn geconfigureerd dat ze veilige, voor FIPS geschikte algoritmen vereisen. Als de TLS-client en de TLS-services van GCP een versleutelingsmethode overeenkomen die niet geschikt is voor FIPS, wordt er een niet-gevalideerde versleutelingsimplementatie gebruikt.
  • Apps die u op GCP ontwerpt en uitvoert, kunnen eigen versleutelingsimplementaties omvatten. Door deze apps verwerkte gegevens worden alleen met een FIPS-gevalideerde versleutelingsmodule beveiligd als u zelf een dergelijke implementatie integreert.

FIPS 140-2-gevalideerde versleuteling wordt momenteel voor alle Google Cloud-regio's en -zones ondersteund.

Relevante producten en services

Veelgestelde vragen