Requisitos do FIPS 140

O Instituto Nacional de Padrões e Tecnologia (NIST) publica a série de publicações 140 do Padrão Federal de Processamento de Informações (FIPS) para coordenar os requisitos e padrões de módulos criptográficos, que incluem componentes de hardware e software para uso por departamentos e agências dos governos dos Estados Unidos e do Canadá para proteger informações sensíveis.

Conformidade com o FIPS 140

Os provedores de serviços de nuvem (CSPs) precisam implementar o controle de segurança FIPS para atender aos requisitos de computação em nuvem dos governos dos EUA e do Canadá, bem como dos contratados e fornecedores. A publicação FIPS 140 estipula que, se a criptografia for empregada como um mecanismo para atender a um requisito de segurança, ela precisa ser validada pelo FIPS no âmbito do Programa de Validação de Módulos Criptográficos (CMVP). 

A mais recente série de publicações FIPS 140 de 2020 é a terceira revisão, comumente chamada de FIPS 140-3. O NIST está no meio de um roteiro de transição para migrar do padrão FIPS 140-2 para o 140-3, e o Google está comprometido com essa transição. Desde setembro de 2022, todos os envios do Google para o FIPS 140 de novos módulos estão de acordo com o padrão 140-3. O módulo de software principal do Google, o BoringCrypto, recebeu um certificado FIPS 140-3 (#5104). As certificações emitidas de acordo com o padrão FIPS 140-2 permanecem válidas e aceitáveis para programas de conformidade federais até a data de validade.

Conformidade do Google Cloud com o FIPS 140

Os dados em repouso no Google Cloud são protegidos com módulos validados pelo FIPS 140. O Google criptografa automaticamente o tráfego entre VMs que passa pelos data centers do Google usando a criptografia com validação FIPS.

Os dados em trânsito no Google Cloud são processados por módulos validados pelo FIPS 140, como conexões SSH, tráfego de data center, conexões de serviço para serviço e interfaces externas (usando TLS 1.2 ou superior). Para garantir uma conexão com validação FIPS 140, os clientes precisam garantir que as máquinas que se conectam ao Google Cloud estejam configuradas para usar módulos de criptografia certificados. Os clientes precisam usar o TLS 1.2 ou uma versão mais recente para garantir uma conexão com validação FIPS 140.

De acordo com a política do FedRAMP para seleção e uso de módulos criptográficos, o Google usa o fluxo de atualização que contém os patches e as atualizações mais recentes para aplicar ao software, independentemente do status de validação FIPS do software atualizado. O Google retém artefatos que demonstram que as principais versões atualizadas são enviadas ao Programa de Validação de Módulos Criptográficos (CMVP) em até seis meses após o lançamento e oferece visibilidade do uso do módulo criptográfico (incluindo versões) como parte do programa de monitoramento contínuo por SI - (2). Para mais informações sobre as implementações de controle de módulo criptográfico do Google Cloud, entre em contato com nossa equipe de vendas ou com seu representante do Google Cloud, que pode ajudar a fornecer acesso à nossa documentação do FedRAMP. Clientes governamentais também podem solicitar o pacote FedRAMP do Google por meio do Escritório de Gerenciamento do Programa FedRAMP usando o formulário de solicitação de pacote.

O Google implementa essa política de forma consistente, aplicando o modelo de fluxo de atualização a outras diretivas que exigem certificação criptográfica FIPS, por exemplo: CJIS, ITAR, DoD IL4 e IL5, IRS 1075, JISF e Protected B.

Observação: os aplicativos do cliente criados e operados no Google Cloud podem incluir as próprias implementações criptográficas. Para que os dados processados sejam protegidos com um módulo criptográfico validado pelo FIPS, os clientes precisam integrar essa implementação.