Publication FIPS (Federal Information Processing Standard) 140-2
Vue d’ensemble de la norme FIPS 140-2
La publication 140-2 du Federal Information Processing Standard (FIPS) est une norme du gouvernement des États-Unis qui définit les exigences de sécurité minimales pour les modules de chiffrement dans les produits de technologie de l’information, comme défini dans la section 5131 de l’Information Technology Management Reform Act de 1996.
Le Programme de validation de module de chiffrement (CMVP), un effort conjoint du National Institute of Standards and Technology (NIST) des États-Unis et du Centre canadien pour la cybersécurité (CCCS), valide les modules de chiffrement selon la norme Exigences de sécurité pour les modules de chiffrement (c’est-à-dire, FIPS 140-2) et les normes de chiffrement FIPS associées. Les exigences de sécurité FIPS 140-2 couvrent 11 domaines liés à la conception et à l’implémentation d’un module de chiffrement. Le laboratoire des technologies de l’information du NIST utilise un programme associé qui valide les algorithmes de chiffrement approuvés FIPS dans le module.
Approche de Microsoft pour la validation FIPS 140-2
Microsoft s’engage activement à répondre aux exigences 140-2, en ayant validé des modules de chiffrement depuis la création de la norme en 2001. Microsoft valide ses modules de chiffrement dans le cadre du Programme de validation de module de chiffrement (CMVP) du National Institute of Standards and Technology (NIST). Plusieurs produits Microsoft, y compris de nombreux services cloud, utilisent ces modules de chiffrement.
Pour obtenir des informations techniques sur les modules de chiffrement Microsoft Windows, la stratégie de sécurité de chaque module et le catalogue des détails des certificats CMVP, consultez le contenu FIPS 140-2 windows et Windows Server.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
Bien que l’aide d’implémentation actuelle de LAPS 140-2 de CMVP empêche une validation FIPS 140-2 pour un service cloud lui-même ; Les fournisseurs de services cloud peuvent choisir d’obtenir et d’exploiter des modules de chiffrement validés FIPS 140 pour les éléments informatiques qui composent leur service cloud. Microsoft services en ligne qui incluent des composants, qui ont été validés FIPS 140-2, notamment :
- Azure et Azure Government
- gouvernement Dynamics 365 et Dynamics 365
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
Azure, Dynamics 365 et FIPS 140-2
Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure FIPS 140-2.
Office 365 et FIPS 140-2
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Office 365, GCC, GCC High, DoD | Voir Validation FIPS 140-2 |
Forum aux questions
Quelle est la différence entre « FIPS 140 Validated » et « FIPS 140 compliant » ?
« FIPS 140 Validated » signifie que le module de chiffrement ou un produit qui incorpore le module a été validé (« certifié ») par le CMVP comme répondant aux exigences FIPS 140-2. « Conforme FIPS 140 » est un terme du secteur pour les produits informatiques qui s’appuient sur des produits validés FIPS 140 pour la fonctionnalité de chiffrement.
Quand Microsoft effectue-t-il une validation FIPS 140 ?
La cadence de démarrage d’une validation de module s’aligne sur les mises à jour des fonctionnalités de Windows 10 et de Windows Server. À mesure que l’industrie du logiciel a évolué, les systèmes d’exploitation sont publiés plus fréquemment, avec des mises à jour logicielles mensuelles. Microsoft effectue la validation des versions de fonctionnalités, mais entre les versions, cherche à réduire au minimum les modifications apportées aux modules de chiffrement.
Quels ordinateurs sont inclus dans une validation FIPS 140 ?
Microsoft valide les modules de chiffrement sur un échantillon représentatif de configurations matérielles exécutant Windows 10 et Windows Server. Il est courant dans le secteur d’accepter cette validation FIPS 140-2 lorsqu’un environnement utilise du matériel, ce qui est similaire aux exemples utilisés pour le processus de validation.
De nombreux modules sont répertoriés sur le site web du NIST. Comment faire savoir lequel s’applique à mon agence ?
Si vous devez utiliser des modules de chiffrement validés via FIPS 140-2, vous devez vérifier que la version que vous utilisez apparaît dans la liste de validation. Le CMVP et Microsoft tiennent à jour une liste de modules de chiffrement validés, organisés par version de produit, ainsi que des instructions pour identifier les modules installés sur un système Windows. Pour plus d’informations sur la configuration des systèmes pour qu’ils soient conformes, consultez le contenu WINDOWS et Windows Server FIPS 140-2.
Que signifie « Lorsqu’il est utilisé en mode FIPS » sur un certificat ?
Cette mise en garde informe le lecteur que les règles de configuration et de sécurité requises doivent être suivies pour utiliser le module de chiffrement d’une manière cohérente avec sa stratégie de sécurité FIPS 140-2. Chaque module a sa propre stratégie de sécurité (une spécification précise des règles de sécurité sous lesquelles il fonctionnera) et utilise des algorithmes de chiffrement approuvés, la gestion des clés de chiffrement et les techniques d’authentification. Les règles de sécurité sont définies dans la stratégie de sécurité pour chaque module. Pour plus d’informations, notamment des liens vers la stratégie de sécurité pour chaque module validé via le CMVP, consultez le contenu Windows et Windows Server FIPS 140-2.
FedRAMP nécessite-t-il une validation FIPS 140-2 ?
Oui, le Federal Risk and Authorization Management Program (FedRAMP) s’appuie sur les bases de référence de contrôle définies par le NIST SP 800-53 Revision 4, y compris la protection de chiffrement SC-13 qui exige l’utilisation d’un chiffrement validé par FIPS ou d’un chiffrement approuvé par la NSA.
Puis-je utiliser l’adhésion de Microsoft à FIPS 140-2 dans le processus de certification de mon agence ?
Pour se conformer à FIPS 140-2, votre système doit être configuré pour s’exécuter dans un mode de fonctionnement approuvé par FIPS, ce qui inclut la vérification qu’un module de chiffrement utilise uniquement des algorithmes approuvés par FIPS. Pour plus d’informations sur la configuration des systèmes pour qu’ils soient conformes, consultez le contenu WINDOWS et Windows Server FIPS 140-2.
Quelle est la relation entre FIPS 140-2 et les critères communs ?
Il s’agit de deux normes de sécurité distinctes avec des objectifs différents, mais complémentaires. FIPS 140-2 est conçu spécifiquement pour valider les modules de chiffrement logiciels et matériels, tandis que les critères communs sont conçus pour évaluer les fonctions de sécurité dans les logiciels et les produits matériels informatiques. Les évaluations des critères communs s’appuient souvent sur les validations FIPS 140-2 pour garantir que les fonctionnalités de chiffrement de base sont correctement implémentées.
Ressources
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour