美國聯邦資訊處理標準 (FIPS) 發行集 140-2

FIPS 140-2 標準概觀

美國聯邦資訊處理標準 (FIPS) 發行集 140-2 是美國政府標準,定義資訊技術產品中密碼編譯模組的最低安全性需求,如 1996 年資訊技術管理修訂法第 5131 節所定義。

密碼編譯模組驗證計劃 (CMVP) ,這是美國國家標準與技術局 (NIST) 和加拿大網路安全性中心 (CCCS) 的聯合合作,會驗證密碼編譯模組的安全性需求標準 (,例如 FIPS 140-2) 和相關的 FIPS 密碼編譯標準。 FIPS 140-2 安全性需求涵蓋與密碼編譯模組的設計和實作相關的11個領域。 NIST 資訊技術實驗室會操作相關程式,以驗證模組中 FIPS 核准的密碼編譯演算法。

Microsoft 的 FIPS 140-2 驗證方法

自 2001 年標準開始以來,Microsoft 一直致力於滿足 140-2 需求,並已驗證密碼編譯模組。 Microsoft 會在國家標準與技術局 (NIST) 密碼編譯模組驗證計劃 (CMVP) 下驗證其密碼編譯模組。 包括許多雲端服務在內的多個 Microsoft 產品會使用這些密碼編譯模組。

如需 Microsoft Windows 密碼編譯模組、每個模組的安全策略,以及 CMVP 憑證詳細數據目錄的技術資訊,請參閱 Windows 和 Windows Server FIPS 140-2 內容

Microsoft 範圍內雲端平台與服務

雖然目前的 CMVP FIPS 140-2 實作指導方針會排除雲端服務本身的 FIPS 140-2 驗證;雲端服務提供者可以選擇針對組成其雲端服務的運算元素,取得並操作 FIPS 140 驗證的密碼編譯模組。 包含已通過 FIPS 140-2 驗證之元件的 Microsoft 線上服務 包括:

  • Azure 和 Azure Government
  • Dynamics 365 與 Dynamics 365 政府
  • Office 365、Office 365 美國政府和 Office 365 美國政府國防版

Azure、Dynamics 365 和 FIPS 140-2

如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure FIPS 140-2 供應專案

Office 365和 FIPS 140-2

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
Office 365、GCC、GCC High、DoD 請參閱 FIPS 140-2 驗證

常見問題集

「FIPS 140 已驗證」與「FIPS 140 相容」之間有何差異?

「FIPS 140 已驗證」表示密碼編譯模組或內嵌模組的產品已由 CMVP 驗證 (「認證」) 為符合 FIPS 140-2 需求。 「符合 FIPS 140 規範」是 IT 產品的產業詞彙,其依賴 FIPS 140 驗證產品來取得密碼編譯功能。

Microsoft 何時會進行 FIPS 140 驗證?

啟動模組驗證的頻率與 Windows 10 和 Windows Server 的功能更新一致。 隨著軟體產業的發展,操作系統會隨著每月軟體更新而更頻繁地發行。 Microsoft 會進行功能版本的驗證,但在兩個版本之間,會嘗試將密碼編譯模組的變更降到最低。

FIPS 140 驗證中包含哪些計算機?

Microsoft 會在執行 Windows 10 和 Windows Server 的硬體組態代表性範例上驗證密碼編譯模組。 當環境使用硬體時,常見的產業做法是接受此 FIPS 140-2 驗證,這類似於用於驗證程式的範例。

NIST 網站上列出許多模組。 如何? 知道哪一個適用於我的機構?

如果您需要使用透過 FIPS 140-2 驗證的密碼編譯模組,您必須確認您使用的版本出現在驗證清單上。 CMVP 和 Microsoft 會維護依產品版本組織的已驗證密碼編譯模組清單,以及識別哪些模塊安裝在 Windows 系統上的指示。 如需設定系統符合規範的詳細資訊,請參閱 Windows 和 Windows Server FIPS 140-2 內容

憑證上的「在 FIPS 模式中運作時」是什麼意思?

此注意事項會通知讀取器,必須遵循必要的設定和安全性規則,才能以與其 FIPS 140-2 安全策略一致的方式使用密碼編譯模組。 每個模組都有自己的安全策略 — 其將用來運作之安全性規則的精確規格,並採用核准的密碼編譯演算法、密碼編譯密鑰管理和驗證技術。 安全性規則會在每個模組的安全策略中定義。 如需詳細資訊,包括透過 CMVP 驗證之每個模組的安全策略連結,請參閱 Windows 和 Windows Server FIPS 140-2 內容

FedRAMP 是否需要 FIPS 140-2 驗證?

是,美國聯邦風險與授權管理計劃 (FedRAMP) 依賴 NIST SP 800-53 修訂 4 所定義的控制基準,包括 SC-13 密碼編譯保護 管理 FIPS 驗證的密碼編譯或 NSA 核准的密碼編譯。

我可以在我的機構認證程式中使用 Microsoft 遵守 FIPS 140-2 嗎?

若要符合 FIPS 140-2,您的系統必須設定為以 FIPS 核准的作業模式執行,其中包括確保密碼編譯模組只使用 FIPS 核准的演算法。 如需設定系統符合規範的詳細資訊,請參閱 Windows 和 Windows Server FIPS 140-2 內容

FIPS 140-2 與通用準則之間的關聯性為何?

這些是兩個不同的安全性標準,具有不同但互補的目的。 FIPS 140-2 專為驗證軟體和硬體密碼編譯模組而設計,而一般準則是設計來評估 IT 軟體和硬體產品中的安全性功能。 一般準則評估通常依賴 FIPS 140-2 驗證來保證基本密碼編譯功能已正確實作。

資源