FIPS(Federal Information Processing Standard) Publication 140-2

FIPS 140-2 표준 개요

FIPS(Federal Information Processing Standard) 발행물 140-2는 1996년 정보 기술 관리 개혁법 제5131항에 정의된 대로 정보 기술 제품의 암호화 모듈에 대한 최소 보안 요구 사항을 정의하는 미국 정부 표준입니다.

미국 국립 표준 기술 연구소(NIST)와 캐나다 CCCS(사이버 보안 센터)의 공동 노력인 CMVP(암호화 모듈 유효성 검사 프로그램 )는 암호화 모듈 표준(즉, FIPS 140-2) 및 관련 FIPS 암호화 표준에 대한 암호화 모듈 의 유효성을 검사합니다. FIPS 140-2 보안 요구 사항은 암호화 모듈의 설계 및 구현과 관련된 11개 영역을 다룹니다. NIST 정보 기술 연구소는 모듈에서 FIPS 승인 암호화 알고리즘의 유효성을 검사하는 관련 프로그램을 운영합니다.

FIPS 140-2 유효성 검사에 대한 Microsoft의 접근 방식

Microsoft는 2001년 표준이 시작된 이래 암호화 모듈의 유효성을 검사하여 140-2 요구 사항을 충족하기 위한 적극적인 노력을 유지하고 있습니다. Microsoft는 NIST(National Institute of Standards and Technology) CMVP(암호화 모듈 유효성 검사 프로그램)에서 암호화 모듈의 유효성을 검사 합니다. 여러 클라우드 서비스를 포함한 여러 Microsoft 제품은 이러한 암호화 모듈을 사용합니다.

Microsoft Windows 암호화 모듈, 각 모듈에 대한 보안 정책 및 CMVP 인증서 세부 정보의 카탈로그에 대한 기술 정보는 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하세요.

Microsoft 범위 내 클라우드 플랫폼 & 서비스

현재 CMVP FIPS 140-2 구현 지침은 클라우드 서비스 자체에 대한 FIPS 140-2 유효성 검사를 제외합니다. 클라우드 서비스 공급자는 해당 클라우드 서비스를 구성하는 컴퓨팅 요소에 대해 FIPS 140 유효성이 검사된 암호화 모듈을 가져오고 작동하도록 선택할 수 있습니다. FIPS 140-2 유효성이 검사된 구성 요소가 포함된 Microsoft 온라인 서비스 다음과 같습니다.

  • Azure 및 Azure Government
  • Dynamics 365 및 Dynamics 365 Government
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense

Azure, Dynamics 365 및 FIPS 140-2

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure FIPS 140-2 제품을 참조하세요.

Office 365 및 FIPS 140-2

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
Office 365, GCC, GCC High, DoD FIPS 140-2 유효성 검사 참조

질문과 대답

'FIPS 140 유효성 검사됨'과 'FIPS 140 규격'의 차이점은 무엇인가요?

'FIPS 140 유효성 검사됨'은 암호화 모듈 또는 모듈을 포함하는 제품이 FIPS 140-2 요구 사항을 충족하는 CMVP에 의해 유효성 검사('인증')되었음을 의미합니다. 'FIPS 140 규격'은 암호화 기능을 위해 FIPS 140 유효성이 검사된 제품을 사용하는 IT 제품에 대한 업계 용어입니다.

Microsoft는 FIPS 140 유효성 검사를 언제 수행하나요?

모듈 유효성 검사를 시작하는 주기는 Windows 10 및 Windows Server의 기능 업데이트와 일치합니다. 소프트웨어 산업이 발전함에 따라 운영 체제는 월별 소프트웨어 업데이트와 함께 더 자주 릴리스됩니다. Microsoft는 기능 릴리스에 대한 유효성 검사를 수행하지만 릴리스 사이에 암호화 모듈의 변경 내용을 최소화하려고 합니다.

FIPS 140 유효성 검사에 포함된 컴퓨터는 무엇인가요?

Microsoft는 Windows 10 및 Windows Server를 실행하는 하드웨어 구성의 대표적인 샘플에서 암호화 모듈의 유효성을 검사합니다. 환경에서 하드웨어를 사용하는 경우 이 FIPS 140-2 유효성 검사를 수락하는 것이 일반적인 업계 사례이며, 이는 유효성 검사 프로세스에 사용되는 샘플과 유사합니다.

NIST 웹 사이트에 나열된 많은 모듈이 있습니다. 어떻게 할까요? 어떤 것이 내 기관에 적용되는지 알고 있습니까?

FIPS 140-2를 통해 유효성이 검사된 암호화 모듈을 사용해야 하는 경우 사용하는 버전이 유효성 검사 목록에 표시되는지 확인해야 합니다. CMVP와 Microsoft는 Windows 시스템에 설치된 모듈을 식별하기 위한 지침과 함께 제품 릴리스별로 구성된 유효성이 검사된 암호화 모듈 목록을 유지 관리합니다. 규정을 준수하도록 시스템을 구성하는 방법에 대한 자세한 내용은 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하세요.

인증서에서 'FIPS 모드로 작동하는 경우'는 무엇을 의미하나요?

이 주의 사항은 FIPS 140-2 보안 정책과 일치하는 방식으로 암호화 모듈을 사용하기 위해 필요한 구성 및 보안 규칙을 따라야 한다는 것을 독자에게 알릴 수 있습니다. 각 모듈에는 자체 보안 정책(작동할 보안 규칙의 정확한 사양)이 있으며 승인된 암호화 알고리즘, 암호화 키 관리 및 인증 기술을 사용합니다. 보안 규칙은 각 모듈의 보안 정책에 정의됩니다. CMVP를 통해 유효성이 검사된 각 모듈의 보안 정책에 대한 링크를 비롯한 자세한 내용은 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하세요.

FedRAMP에는 FIPS 140-2 유효성 검사가 필요합니까?

예, FedRAMP(Federal Risk and Authorization Management Program)는 FIPS 유효성이 검사된 암호화 또는 NSA 승인 암호화의 사용을 의무화하는 SC-13 암호화 보호를 포함하여 NIST SP 800-53 수정 버전 4에 정의된 제어 기준을 사용합니다.

Microsoft의 FIPS 140-2 준수를 기관의 인증 프로세스에서 사용할 수 있나요?

FIPS 140-2를 준수하려면 암호화 모듈이 FIPS 승인 알고리즘만 사용하도록 보장하는 것을 포함하여 FIPS 승인 작업 모드에서 실행되도록 시스템을 구성해야 합니다. 규정을 준수하도록 시스템을 구성하는 방법에 대한 자세한 내용은 Windows 및 Windows Server FIPS 140-2 콘텐츠를 참조하세요.

FIPS 140-2와 공통 조건 간의 관계는 무엇인가요?

서로 다르지만 상호 보완적인 두 가지 보안 표준입니다. FIPS 140-2는 소프트웨어 및 하드웨어 암호화 모듈의 유효성을 검사하기 위해 특별히 설계되었으며, 공통 기준은 IT 소프트웨어 및 하드웨어 제품의 보안 기능을 평가하도록 설계되었습니다. 일반적인 조건 평가는 종종 FIPS 140-2 유효성 검사를 사용하여 기본 암호화 기능이 제대로 구현되도록 보장합니다.

리소스