通過 FIPS 140-2 驗證

美國國家標準暨技術研究院 (NIST) 編纂聯邦資訊處理標準 (FIPS) 出版品 140-2，以此做為美國聯邦機構加密編譯模組 (包括硬體、軟體和/或韌體) 的安全標準，並訂定相關規範。此外，NIST 也制訂了 FIPS 140-2 驗證認證，協助保護以數位方式儲存的未分類機密資訊。

在正式環境中，Google Cloud 會使用已通過 FIPS 140-2 驗證的加密模組 BoringCrypto (認證編號 4407)。也就是說，無論是傳輸至用戶端的資料、在資料中心之間傳輸的資料或是靜態資料，都會經由通過 FIPS 140-2 驗證的加密技術進行加密。通過 FIPS 140-2 驗證的模組屬於我們 BoringSSL 程式庫的一部分。

為確保只使用通過 FIPS 驗證的加密機制進行作業：

• Google 會使用通過 FIPS 140-2 驗證的加密方式，將在不同 Google 資料中心之間傳輸的 VM 間流量自動加密。
• 系統會使用 NIST 核准的加密方式自動為 Google 本機 SSD 儲存空間產品進行加密，但 Google 尚未為這個產品的加密模組取得 FIPS 140-2 驗證認證。如需對本機 SSD 儲存空間採用通過 FIPS 驗證的加密機制，您必須自行提供通過 FIPS 驗證的加密編譯模組來加密。
• 當您的用戶端連結至 Google 基礎架構時，必須將其 TLS 用戶端設為要求使用安全的 FIPS 相容演算法；如果 TLS 用戶端和 Google Cloud 的 TLS 服務同意採用與 FIPS 不相容的加密方法，則系統會使用未通過驗證的加密模組。
• 您在 Google Cloud 上建立及執行的應用程式可能包含自己的加密編譯機制。如要使用通過 FIPS 驗證的加密編譯模組來保護這些應用程式處理的資料，您必須自行整合這類機制。

所有 Google Cloud 區域和可用區目前均支援通過 FIPS 140-2 驗證的加密作業。