¿Se permite el alojamiento en la nube para FIPS 140-2?

(Descargo de responsabilidad: no soy abogado; no intente esto en casa)

El gobierno de EE. UU. sí tiene pautas muy específicas para las agencias gubernamentales que desean consumir servicios en la nube. Esos servicios en la nube deben estar certificados por FedRAMP . Este es un proceso arduo, largo y costoso ... y está específicamente orientado a servicios en la nube, no a hosting administrado o compartido.

  

Según la nota de la OMB publicada el 8 de diciembre de 2011, todos los servicios de nube de impacto moderado y bajo aprovechados por más de una oficina o agencia deben cumplir con los requisitos de FedRAMP para 2014.

FedRAMP prescribe un montón de controles de seguridad y líneas de base de configuración aquí .

FIPS (140 y otros) y FedRAMP no son lo mismo. FIPS 140 es mucho más específico y detalla los requisitos para el uso de módulos criptográficos, qué algoritmos simétricos están permitidos, qué algoritmos hash están permitidos, etc. El uso de módulos criptográficos de otro fabricante de una manera compatible con FIPS no es lo mismo que tener un FIPS solución certificada La certificación FIPS (El Programa de Validación de Módulos Criptográficos) también es un proceso largo y muy costoso, por lo que debe enviar su módulo criptográfico (ya sea un módulo de seguridad de hardware físico o un módulo de software como un archivo DLL) al gobierno para que lo revisen. y aprobarlo. Un módulo criptográfico no puede ser certificado por FIPS, incluso si genera datos idénticos a un módulo certificado por FIPS, a menos que haya aprobado el CMVP. Sin embargo, puede usar e incorporar módulos de otros proveedores (como OpenSSL, bcrypt.dll de Microsoft, etc.) en su solución y seguir llamándola solución compatible con FIPS, o que está operando en un modo compatible con FIPS.

FedRAMP se trata de certificar toda su solución de nube, que tiene un alcance mucho mayor que una sola aplicación. FedRAMP abarca todo, desde la seguridad física en sus centros de datos, hasta su plan de recuperación de desastres, lo bien documentada que está su solución, la forma en que realiza un análisis de vulnerabilidades habitual, así como la inspección de todos los sistemas operativos, aplicaciones y servidores de su entorno. p>

Si observa los controles de seguridad establecidos en el programa de certificación FedRAMP, menciona FIPS varias veces. La criptografía debe emplearse de manera compatible con FIPS a través de una solución certificable por FedRAMP.

  

1. ¿Está bien alojar su aplicación compatible con FIPS nivel 1 en la nube? ¿Qué tal el nivel 2?
  

Sí, está bien. FIPS siempre está bien (y, por lo general, se requiere) para las agencias gubernamentales de EE. UU. En mi experiencia, FedRAMP no es muy exigente con el Nivel 1 de FIPS en comparación con el Nivel 2, etc., solo que el Nivel de FIPS- algo se usa donde se usa la criptografía.

Si su solución es todo software, creo que lo mejor que puede hacer es FIPS 140 Nivel 1, ya que los requisitos para el Nivel 2 y superiores requieren pruebas de manipulación, pruebas de manipulación y otras medidas de seguridad física (como esa PCB revestimiento que mencionó,) y una solución de software no puede cumplir esos requisitos. Un módulo validado al nivel 2 o superior sería algo así como una tarjeta inteligente o un módulo de seguridad de hardware que tiene atributos físicos.

  

2. Si el número 1 es sí, ¿hay requisitos / certificaciones específicos que necesita el host de nube?
  

FedRAMP, y posiblemente otros, como FISMA, dependiendo de qué agencias gubernamentales estén buscando comprarle el servicio.

  

4. Solo quiero validar mi suposición: está bien ubicarme en una instalación normal para el nivel 1, ¿correcto? Si no es así, ¿cuáles son los requisitos / certificaciones que necesita el anfitrión? ¿Qué pasa con el nivel 2?
  

No hay ninguna cláusula en ninguna de las líneas de base que prohíba expresamente la colocación y el alojamiento compartido, sin embargo, según mi experiencia, tendrá que mostrar pruebas sólidas de los controles de acceso basados en roles y la administración de cuentas confidenciales, especialmente cuando se trata de poder impedir que los ciudadanos no estadounidenses accedan al sistema, o incluso evitar que los ciudadanos estadounidenses que viajan al extranjero accedan al sistema. Esto probablemente descalificará implícitamente la mayoría de los casos de colocación porque no puedo garantizar que la jaula del centro de datos que está junto a la suya no pueda ser alquilada por espías rusos, etc.

Cloud hosting es simplemente hosting compartido con máquinas virtuales. No hay nada particularmente único o mágico al respecto; simplemente puede sustituir el concepto de "alojamiento compartido" por "alojamiento en la nube" y elaborar los detalles allí.

Por lo general, realizar su propio examen de la configuración de un proveedor de alojamiento no será una opción, por lo que tendrá que confiar en su certificación o aseveración de cumplimiento. Si no ofrecen ninguna, debe asumir que no cumplen con las normas porque no tiene forma de probar lo contrario.

Amazon ofrece algo llamado GovCloud aislado para aplicaciones compatibles con ITAR que, según afirman, proporciona puntos finales compatibles con FIPS 140-2, aunque por mi mirada superficial no vi qué nivel dicen proporcionar. Independientemente de si confía en ellos o no en este punto, será su decisión.

Incluso si la compañía afirma que los puntos finales que brindan son compatibles, el hecho de que usted no controle físicamente el punto final pone en duda el cumplimiento: si el entorno termina siendo no compatible, ¿quién se responsabiliza? Usted o la empresa de alojamiento? Si sus abogados están contentos con tomar las reclamaciones de la compañía a su valor nominal, entonces usted es libre de proceder. De lo contrario, tendrá que alojar en algún lugar donde pueda verificar el cumplimiento por su cuenta.