Pubblicazione FIPS (Federal Information Processing Standard) 140-2
Panoramica dello standard FIPS 140-2
La pubblicazione 140-2 del Federal Information Processing Standard (FIPS) è uno standard governativo degli Stati Uniti che definisce i requisiti minimi di sicurezza per i moduli di crittografia nei prodotti information technology, come definito nella sezione 5131 dell'Information Technology Management Reform Act del 1996.
Il Cryptographic Module Validation Program (CMVP), uno sforzo congiunto del National Institute of Standards and Technology (NIST) degli Stati Uniti e del Canadian Centre for Cyber Security (CCCS), convalida i moduli crittografici allo standard Security Requirements for Cryptographic Modules (ad esempio FIPS 140-2) e agli standard di crittografia FIPS correlati. I requisiti di sicurezza FIPS 140-2 riguardano 11 aree correlate alla progettazione e all'implementazione di un modulo di crittografia. Il NIST Information Technology Laboratory gestisce un programma correlato che convalida gli algoritmi di crittografia approvati da FIPS nel modulo.
Approccio di Microsoft alla convalida FIPS 140-2
Microsoft mantiene un impegno attivo a soddisfare i requisiti 140-2, avendo convalidato i moduli di crittografia sin dall'inizio dello standard nel 2001. Microsoft convalida i moduli di crittografia nell'ambito del programma CMVP ( Cryptographic Module Validation Program ) del National Institute of Standards and Technology (NIST). Più prodotti Microsoft, inclusi molti servizi cloud, usano questi moduli di crittografia.
Per informazioni tecniche sui moduli di crittografia di Microsoft Windows, i criteri di sicurezza per ogni modulo e il catalogo dei dettagli del certificato CMVP, vedere il contenuto di Windows e Windows Server FIPS 140-2.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
Sebbene le linee guida per l'implementazione di CMVP FIPS 140-2 attuali precludano una convalida FIPS 140-2 per un servizio cloud stesso; I provider di servizi cloud possono scegliere di ottenere e gestire moduli di crittografia convalidati FIPS 140 per gli elementi di calcolo che costituiscono il servizio cloud. Microsoft Servizi online che includono componenti convalidati da FIPS 140-2 includono, tra gli altri:
- Azure e Azure per enti pubblici
- Dynamics 365 e Dynamics 365 governo
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
Azure, Dynamics 365 e FIPS 140-2
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure FIPS 140-2.
Office 365 e FIPS 140-2
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Office 365, GCC, GCC High, DoD | Vedere Convalida FIPS 140-2 |
Domande frequenti
Qual è la differenza tra "FIPS 140 Validated" e "FIPS 140 compliant"?
'FIPS 140 Validated' significa che il modulo di crittografia o un prodotto che incorpora il modulo è stato convalidato ('certified') dal CMVP come conforme ai requisiti FIPS 140-2. "Conforme a FIPS 140" è un termine di settore per i prodotti IT che si basano su prodotti convalidati FIPS 140 per le funzionalità di crittografia.
Quando Microsoft esegue una convalida FIPS 140?
La frequenza di avvio della convalida di un modulo è allineata agli aggiornamenti delle funzionalità di Windows 10 e Windows Server. Con l'evoluzione del settore software, i sistemi operativi vengono rilasciati più frequentemente, con aggiornamenti software mensili. Microsoft esegue la convalida per le versioni delle funzionalità, ma tra le versioni cerca di ridurre al minimo le modifiche apportate ai moduli di crittografia.
Quali computer sono inclusi in una convalida FIPS 140?
Microsoft convalida i moduli di crittografia in un esempio rappresentativo di configurazioni hardware in esecuzione Windows 10 e Windows Server. È prassi comune del settore accettare questa convalida FIPS 140-2 quando un ambiente usa hardware, simile agli esempi usati per il processo di convalida.
Nel sito Web NIST sono elencati molti moduli. Ricerca per categorie sapere quale si applica alla mia agenzia?
Se è necessario usare moduli di crittografia convalidati tramite FIPS 140-2, è necessario verificare che la versione usata venga visualizzata nell'elenco di convalida. CMVP e Microsoft mantengono un elenco di moduli di crittografia convalidati, organizzati in base al rilascio del prodotto, insieme alle istruzioni per identificare i moduli installati in un sistema Windows. Per altre informazioni sulla configurazione dei sistemi in modo che siano conformi, vedere il contenuto di Windows e Windows Server FIPS 140-2.
Cosa significa "Quando viene gestito in modalità FIPS" in un certificato?
Questa avvertenza informa il lettore che è necessario seguire le regole di configurazione e sicurezza necessarie per usare il modulo di crittografia in modo coerente con i criteri di sicurezza FIPS 140-2. Ogni modulo ha i propri criteri di sicurezza, ovvero una specifica precisa delle regole di sicurezza in base alle quali funzionerà, e usa algoritmi di crittografia approvati, gestione delle chiavi crittografiche e tecniche di autenticazione. Le regole di sicurezza sono definite nei criteri di sicurezza per ogni modulo. Per altre informazioni, inclusi i collegamenti ai criteri di sicurezza per ogni modulo convalidato tramite CMVP, vedere il contenuto di Windows e Windows Server FIPS 140-2.
FedRAMP richiede la convalida FIPS 140-2?
Sì, il Federal Risk and Authorization Management Program (FedRAMP) si basa sulle linee di base di controllo definite da NIST SP 800-53 Revision 4, inclusa la protezione crittografica SC-13 che impone l'uso della crittografia convalidata da FIPS o della crittografia approvata dalla NSA.
È possibile usare l'adesione di Microsoft a FIPS 140-2 nel processo di certificazione dell'agenzia?
Per essere conforme a FIPS 140-2, il sistema deve essere configurato per l'esecuzione in una modalità operativa approvata da FIPS, che include la garanzia che un modulo di crittografia usi solo algoritmi approvati da FIPS. Per altre informazioni sulla configurazione dei sistemi in modo che siano conformi, vedere il contenuto di Windows e Windows Server FIPS 140-2.
Qual è la relazione tra FIPS 140-2 e Common Criteria?
Si tratta di due standard di sicurezza separati con scopi diversi, ma complementari. FIPS 140-2 è progettato specificamente per convalidare i moduli di crittografia software e hardware, mentre Common Criteria è progettato per valutare le funzioni di sicurezza nei prodotti software e hardware IT. Le valutazioni dei criteri comuni spesso si basano sulle convalide FIPS 140-2 per garantire che la funzionalità di crittografia di base sia implementata correttamente.