FIPS 140-2 uyumlu modda SQL Server 2014 kullanma yönergeleri

Bu makalede, Federal Bilgi İşleme Standart Yayını 140-2 (FIPS 140-2) yönergeleri ve FIPS 140-2 uyumlu modda Microsoft SQL Server 2014'ün nasıl kullanılacağı açıklanır.

Özgün ürün sürümü: SQL Server 2014
Özgün KB numarası: 3141890

Uyarı

  • Kullanım ve netlik için "FIPS 140-2 uyumlu", "FIPS 140-2 uyumluluğu" ve "FIPS 140-2 uyumlu mod" terimleri burada tanımlanmıştır. Bu terimler tanınmaz veya resmi terimler olarak tanımlanmaz. Birleşik Devletler ve Kanada hükümetleri şifreleme modüllerinin FIPS 140-2 gibi standartlara göre doğrulanmasıyla ilgili bilgi edinmektedir ancak şifreleme modüllerinin belirtilen veya uyumlu bir şekilde kullanılmasını kabul etmemektedir. Bu makalede, SQL Server 2014'ün şifrelenmiş veya karma verilerin SQL Server 2014'e aktarıldığı veya SQL Server 2014'ten dışarı aktarıldığı tüm örneklerde yalnızca FIPS 140-2 tarafından doğrulanmış algoritma ve karma işlevler örneklerini kullanması anlamında "FIPS 140-2 uyumlu", "FIPS 140-2 uyumlu" ve "FIPS 140-2 uyumlu mod" kullanıyoruz. Buna ek olarak, BU, SQL Server 2014'ün FIPS 140-2 onaylı şifreleme modüllerinin gerektirdiği şekilde anahtarları güvenli bir şekilde yönettiği anlamına gelir. Anahtar yönetimi işlemi hem anahtar oluşturma hem de anahtar depolamayı da içerir.

  • Burada, algoritma örneğinin FIPS 140-2 onaylı olduğunu veya işletim sisteminin FIPS 140-2 onaylı algoritma örneklerini içerdiğini belirtmek için "sertifikalı" ifadesini kullanırız.

FIPS nedir?

Federal Bilgi İşleme Standardı (FIPS), aşağıdaki iki kamu kuruluşu tarafından geliştirilen bir standarttır:

  • Birleşik Devletler Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
  • Kanada'da İletişim Güvenliği Kuruluşu (CSE)

FIPS standartları, Birleşik Devletler ve Kanada'da federal kamu tarafından işletilen BT sistemlerinde kullanılması önerilir veya zorunlu kılınmaktadır.

FIPS 140-2 nedir?

FIPS 140-2, "Şifreleme Modülleri için Güvenlik Gereksinimleri" başlıklı bir deyimdir. Hangi şifreleme algoritmalarının ve hangi karma algoritmaların kullanılabileceğini ve şifreleme anahtarlarının nasıl oluşturulup yönetilebileceğini belirtir. Algoritmaları içeren bazı donanım, yazılım ve işlemler FIPS 140-2 sertifikalı olarak kabul edilebilir. Doğru algoritmaları çağıran diğer donanım, yazılım ve işlemler FIPS 140-2 uyumlu olabilir.

FIPS 140-2 uyumlu ve FIPS 140-2 sertifikalı arasındaki fark nedir?

SQL Server 2014, FIPS 140-2 ile uyumlu bir şekilde yapılandırılabilir ve çalıştırılabilir. SQL Server 2014'i bu şekilde yapılandırmak için, SQL Server 2014'in FIPS 140-2 sertifikalı bir işletim sisteminde veya sertifikalı şifreleme modülleri sağlayan bir işletim sisteminde çalışması gerekir.

Uyumluluk ve sertifikasyon arasındaki fark ince değildir. Algoritmalar onaylanabilir. FIPS 140-2'de onaylanan listelerde listelendiği için bir algoritma kullanmak yetersizdir. Bunun yerine, sertifikalı böyle bir algoritmanın örneğini kullanmanız gerekir. Bu, örneğin kamu tarafından doğrulanmış olduğu anlamına gelir. Sertifikasyon, Birleşik Devletler veya Kanada kamu onaylı değerlendirme laboratuvarı tarafından test ve doğrulama gerektirir. Windows Server 2012 ve sonraki sürümler ve ayrıca Windows 8 ve sonraki sürümler, izin verilen her algoritmanın sertifikalı örneğini içerir. En önemlisi, bu algoritmaların her birine yapılan çağrı yalnızca sertifikalı örneği sağlar.

Hangi uygulama ürünleri FIPS 140-2 uyumlu olabilir?

Şifreleme veya karma oluşturma gerçekleştiren ve Windows'un sertifikalı bir sürümünde çalışan tüm uygulamalar, yalnızca onaylı algoritmaların onaylı örnekleri kullanılarak ve anahtar oluşturma ve anahtar yönetimi gereksinimlerine uygun olarak uyumlu olabilir. Bunu aşağıdaki yöntemlerden biriyle yapabilirsiniz:

  • Anahtar oluşturma ve anahtar yönetimi için Windows işlevini kullanarak
  • Uygulama içinde anahtar oluşturma ve anahtar yönetimi gereksinimlerine uyum sağlayarak

FIPS uyumlu bir uygulamanın uyumsuz algoritmaların veya işlemlerin etkinleştirildiği alanlar içerebileceğini unutmayın. Örneğin, sistem içinde kalan bazı iç işlemlere ve sertifikalı algoritma örneği tarafından ek olarak şifrelenecek bazı dış verilere izin verilir.

SQL Server 2014 her zaman FIPS 140-2 uyumlu mudur?

Hayır. SQL Server 2014, şifreleme için CryptoAPI kullanılarak veya FIPS 140-2 uyumluluğunun gerekli olduğu her örnekte karma oluşturarak çağrılan FIPS 140-2 sertifikalı algoritma örneklerini kullanacak şekilde yapılandırılıp çalıştırılabildiği için FIPS 140-2 uyumlu olabilir.

SQL Server 2014, FIPS 140-2 uyumlu olacak şekilde nasıl yapılandırılabilir?

İşletim sistemi gereksinimi

SQL Server 2014'ü aşağıdaki işletim sistemlerinden birini temel alan bir sunucuya yükleyin:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 8
  • Windows 8.1
  • Windows 10

Windows sistem yönetimi gereksinimi

SQL Server 2014 başlatılmadan önce FIPS modu ayarlanmalıdır. SQL Server başlangıçta ayarı okur. FIPS modunu ayarlamak için şu adımları izleyin:

  1. Windows'ta Windows sistem yöneticisi olarak oturum açın.
  2. Başlangıçseçin.
  3. Denetim Masası'nı seçin.
  4. Yönetim Araçları'nı seçin. (Sonraki adım için Simgeler'e geçmeniz gerekebilir.)
  5. Yerel Güvenlik İlkesi'ni seçin. Yerel Güvenlik Ayarları penceresi görüntülenir.
  6. Gezinti bölmesinde Yerel İlkeler'i ve ardından Güvenlik Seçenekleri'ni seçin.
  7. Sağ taraftaki bölmede, Sistem şifrelemesi: Şifreleme, karma ve imzalama için FIPS uyumlu algoritmaları kullan'a çift tıklayın.
  8. Görüntülenen iletişim kutusunda Etkin'i ve ardından Uygula'yı seçin.
  9. Tamam'ı seçin.
  10. Yerel Güvenlik Ayarları penceresini kapatın.

SQL Server yönetici gereksinimi

SQL Server hizmeti (Hizmet Aracısı veya Veritabanı Yansıtması için bir uç nokta yapılandırıldığında), başlangıçta FIPS modunun etkinleştirildiğini algıladığında, SQL Server SQL Server hata günlüğüne aşağıdaki iletiyi günlüğe kaydeder:

Hizmet Aracısı aktarımı FIPS uyumluluk modunda çalışıyor.

Ayrıca, Windows olay günlüğüne kaydedilen aşağıdaki iletiyi bulabilirsiniz:

Veritabanı Yansıtma aktarımı FIPS uyumluluk modunda çalışıyor.

Bu iletileri arayarak sunucunun FIPS modunda çalıştığını doğrulayabilirsiniz.

  • İletişim kutusu güvenliği (hizmetler arasında) için şifreleme, FIPS modu etkinse Gelişmiş Şifreleme Standardı'nın (AES) FIPS sertifikalı örneğini kullanır. FIPS modu devre dışı bırakılırsa şifreleme RC4 kullanır.

  • FIPS modunda bir hizmet aracısı uç noktası yapılandırdığınızda, yöneticinin hizmet aracısı için "AES" belirtmesi gerekir. Uç nokta RC4 olarak yapılandırıldıysa, SQL Server bir hata oluşturur. Bu nedenle, aktarım katmanı başlatılmaz.

SQL Server 2014, FIPS 140-2 uyumlu modda nasıl çalıştırılır?

  • Windows'ta FIPS modu açıkken, kullanıcının şifreleme veya karma oluşturma ve nasıl yapılacağını seçme seçeneği olmayan tüm alanlarda SQL Server 2014, FIPS 140-2 ile uyumlu olarak çalışır. (SQL Server 2014, Windows'ta CryptoAPI kullanır ve yalnızca algoritmaların sertifikalı örneklerini kullanır.)

  • Windows'ta FIPS modu açıkken, kullanıcının şifrelemeyi kullanıp kullanmama seçeneğine sahip olduğu tüm alanlarda, SQL Server 2014 yalnızca FIPS 140-2 uyumlu şifrelemeyi etkinleştirir veya herhangi bir şifrelemeyi etkinleştirmez.

  • Yazılım geliştiricileri için önemli bilgiler: Geliştiricinin veya kullanıcının şifreleme veya karma oluşturma için kendi kodunu yazdığı tüm alanlarda, yalnızca CryptoAPI (ve dolayısıyla yalnızca sertifikalı örnekler) kullanmaları ve yalnızca FIPS 140-2 tarafından izin verilen algoritmaları belirtmeleri talimatı verilmelidir. FIPS 140-2 onaylı şifreleme algoritmalarının resmi Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) listesi için Şifreleme Modülü Doğrulama Programı'nda Ek A, C ve D'ye gidin.

SQL Server 2014'ü FIPS 140-2 uyumlu modda çalıştırmanın etkisi nedir?

  • Daha güçlü şifrelemenin kullanılması, işlem FIPS 140-2 uyumlu olarak çalışmadığında daha az güçlü şifrelemeye izin verilen işlemler için performans üzerinde küçük bir etkiye sahip olabilir.

  • SSIS (UseEncryption=True) için şifreleme seçimi, kullanılabilir şifrelemenin FIPS uyumluluğuyla uyumlu olmadığını ve izin verilmediğini belirten bir hata iletisi oluşturur. Başka bir deyişle, ileti işleminin şifrelemesi yapılmaz.

  • Eski DTS ile birlikte şifreleme kullanımı FIPS 140-2 ile uyumlu değildir. DTS için, Windows'daki FIPS modu işaretli değildir. Bu nedenle, uyumlu kalmak için şifreleme seçmemek kullanıcının sorumluluğundadır.

  • SQL Server 2014 şifreleme ve karma işlemlerinin çoğu zaten FIPS 140-2 uyumlu olduğundan, tam uyumlulukla (Windows'ta FIPS modu açıkken) çalıştırmanın ürünün kullanımı veya performansı üzerinde çok az etkisi olur veya hiç etkisi olmaz.

FIPS 140-2 hakkında nereden daha fazla bilgi edinebilirim?

FIPS 140-2 standardı hakkında daha fazla bilgi için aşağıdaki NIST yayınına bakın:

Şifreleme Modülleri için Güvenlik Gereksinimleri

Üçüncü taraf bilgileri uyarısı

Bu makalenin ele aldığı üçüncü taraf ürünler, Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği hakkında açık veya zımni hiçbir garanti vermez.

  • Last updated on