FIPS 140 要求

美國國家標準暨技術研究院 (NIST) 發布聯邦資訊處理標準 (FIPS) 出版品第 140 號，統整密碼編譯模組 (包括硬體和軟體元件) 的要求與標準，供美國和加拿大政府部門和機關使用，以便保護機密資訊。

通過 FIPS 140 驗證

雲端服務供應商 (CSP) 必須採用 FIPS 安全控管機制，以滿足美國和加拿大政府，以及其承包商與供應商的雲端運算要求。FIPS 140 出版品明訂，若採用加密機制來滿足安全性要求，該機制必須通過「密碼編譯模組核可計畫」(CMVP) 中的 FIPS 驗證。

目前最新版的 FIPS 140 系列出版品是 2020 年發布的第 3 修訂版本，通稱為「FIPS 140-3」。NIST 目前正處於從 FIPS 140-2 遷移至 140-3 的轉換階段，Google 也致力支持這項轉換行動。自 2022 年 9 月起，Google 提交的所有新模組均以 FIPS 140-3 標準進行驗證。Google 的核心軟體模組 BoringCrypto 已取得 FIPS 140-3 認證 (#5104)。在到期日之前，依據 FIPS 140-2 標準核發的認證仍有效，且可用於聯邦法規遵循計畫。

Google Cloud 通過 FIPS 140 驗證

Google Cloud 的靜態資料均受通過 FIPS 140 驗證的模組保護。Google 會使用通過 FIPS 140-2 驗證的加密方式，自動加密在不同 Google 資料中和 VM 之間傳輸的流量。

在 Google Cloud 中，傳輸中的資料會由通過 FIPS 140 驗證的模組處理，例如 SSH 連線、資料中心流量、服務之間的連線，以及外部介面 (使用 TLS 1.2 以上版本)。為確保連線通過 FIPS 140 驗證，客戶必須確認連線至 Google Cloud 的機器已妥善設定，會使用經過認證的加密模組。建議客戶使用 TLS 1.2 以上版本，確保連線符合 FIPS 140 驗證要求。

根據《FedRAMP 密碼編譯模組選擇與使用政策》，Google 採用的更新串流包含要套用至軟體的最新修補程式和更新項目，無論更新後的軟體是否通過 FIPS 驗證，都會持續套用。Google 會保留相關證據，證明更新後的主要版本會在發布後的六個月內送交給「密碼編譯模組核可計畫」(CMVP)，並按照 SI - (2) 的持續監控計畫，確保相關單位能掌握密碼編譯模組的使用情形 (包括版本)。如要進一步瞭解 Google Cloud 對於密碼編譯模組控管的實際做法，請與我們的業務團隊聯絡，或請 Google Cloud 代表協助您取得 FedRAMP 說明文件。政府機關客戶還可透過 FedRAMP 計畫管理局的套件申請表，索取 Google 的 FedRAMP 套件。

Google 會持續實施這項政策，將更新串流模式套用至其他需要 FIPS 密碼編譯認證的指令，例如：CJIS、ITAR、DoD IL4 與 IL5、IRS 1075、JISF 和 B 級保護。

注意事項：客戶在 Google Cloud 上建立及執行的應用程式可能包含自己的加密機制。如要使用通過 FIPS 驗證的加密模組來保護這些應用程式處理過的資料，客戶必須自行整合這類機制。