Publicação FIPS (Federal Information Processing Standard) 140-2

Visão geral padrão do FIPS 140-2

A Publicação 140-2 do Fips (Federal Information Processing Standard) é um padrão governamental dos EUA que define requisitos mínimos de segurança para módulos criptográficos em produtos de tecnologia da informação, conforme definido na Seção 5131 da Lei de Reforma do Gerenciamento de Tecnologia da Informação de 1996.

O Programa de Validação de Módulos Criptográficos (CMVP), um esforço conjunto do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e do Centro Canadense de Segurança Cibernética (CCCS), valida módulos criptográficos para o padrão Requisitos de Segurança para Módulos Criptográficos (ou seja, FIPS 140-2) e padrões de criptografia FIPS relacionados. Os requisitos de segurança fips 140-2 abrangem 11 áreas relacionadas ao design e implementação de um módulo criptográfico. O Laboratório de Tecnologia da Informação NIST opera um programa relacionado que valida os algoritmos criptográficos aprovados pelo FIPS no módulo.

Abordagem da Microsoft para validação fips 140-2

A Microsoft mantém um compromisso ativo para atender aos requisitos 140-2, tendo validado módulos criptográficos desde a criação do padrão em 2001. A Microsoft valida seus módulos criptográficos no Programa de Validação de Módulo Criptográfico (CMVP) do Instituto Nacional de Padrões e Tecnologia (NIST). Vários produtos Microsoft, incluindo muitos serviços de nuvem, usam esses módulos criptográficos.

Para obter informações técnicas sobre os módulos criptográficos do Microsoft Windows, a política de segurança para cada módulo e o catálogo de detalhes do certificado CMVP, consulte o conteúdo do Windows e do Windows Server FIPS 140-2.

Plataformas e serviços em nuvem no escopo da Microsoft

Embora a orientação de implementação atual do CMVP FIPS 140-2 preclua uma validação FIPS 140-2 para um serviço de nuvem em si; os provedores de serviços de nuvem podem optar por obter e operar módulos criptográficos validados fips 140 para os elementos de computação que compõem seu serviço de nuvem. Os serviços online da Microsoft que incluem componentes, que foram fips 140-2 validados incluem, entre outros:

  • Azure e Azure Governamental
  • Dynamics 365 e Dynamics 365 Government
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense

Azure, Dynamics 365 e FIPS 140-2

Para obter mais informações sobre a conformidade do Azure, dynamics 365 e outros serviços online, consulte a oferta fips 140-2 do Azure.

Office 365 e FIPS 140-2

Ambientes da nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Office 365, GCC, GCC Alta, DoD Consulte Validação fips 140-2

Perguntas frequentes

Qual é a diferença entre 'FIPS 140 Validado' e 'compatível com FIPS 140'?

'FIPS 140 Validated' significa que o módulo criptográfico ou um produto que incorpora o módulo foi validado ('certificado') pelo CMVP como a atender aos requisitos fips 140-2. 'Compatível com FIPS 140' é um termo do setor para produtos de IT que dependem de produtos FIPS 140 Validados para funcionalidade criptográfica.

Quando a Microsoft realiza uma validação FIPS 140?

A cadência para iniciar uma validação de módulo se alinha com as atualizações de recursos do Windows 10 e Windows Server. À medida que o setor de software evoluiu, os sistemas operacionais são lançados com mais frequência, com atualizações mensais de software. A Microsoft realiza validação para versões de recursos, mas, entre as versões, procura minimizar as alterações nos módulos criptográficos.

Quais computadores estão incluídos em uma validação FIPS 140?

A Microsoft valida módulos criptográficos em um exemplo representativo de configurações de hardware que executam Windows 10 e Windows Server. É prática comum do setor aceitar essa validação FIPS 140-2 quando um ambiente usa hardware, que é semelhante aos exemplos usados para o processo de validação.

Há muitos módulos listados no site do NIST. Como saber qual delas se aplica à minha agência?

Se for necessário usar módulos criptográficos validados por meio do FIPS 140-2, você precisará verificar se a versão usada aparece na lista de validação. O CMVP e a Microsoft mantêm uma lista de módulos criptográficos validados, organizados pela versão do produto, juntamente com instruções para identificar quais módulos são instalados em um sistema Windows. Para obter mais informações sobre como configurar sistemas em conformidade, consulte o Windows e Windows conteúdo fips 140-2 do servidor.

O que significa "Quando operado no modo FIPS" em um certificado?

Essa advertência informa ao leitor que as regras de segurança e configuração necessárias devem ser seguidas para usar o módulo criptográfico de forma consistente com sua política de segurança FIPS 140-2. Cada módulo tem sua própria política de segurança — uma especificação precisa das regras de segurança sob as quais ele operará — e emprega algoritmos criptográficos aprovados, gerenciamento de chaves criptográficas e técnicas de autenticação. As regras de segurança são definidas na política de segurança para cada módulo. Para obter mais informações, incluindo links para a política de segurança para cada módulo validado por meio do CMVP, consulte o conteúdo Windows e Windows Server FIPS 140-2.

A FedRAMP exige validação FIPS 140-2?

Sim, o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) depende das linhas de base de controle definidas pela Revisão 4 do NIST SP 800-53, incluindo a Proteção Criptográfica SC-13 que obriga o uso de criptografia validada por FIPS ou criptografia aprovada pela NSA.

Posso usar a adesão da Microsoft ao FIPS 140-2 no processo de certificação da minha agência?

Para estar em conformidade com o FIPS 140-2, seu sistema deve ser configurado para ser executado em um modo de operação aprovado pelo FIPS, o que inclui garantir que um módulo criptográfico use apenas algoritmos aprovados pelo FIPS. Para obter mais informações sobre como configurar sistemas em conformidade, consulte o Windows e Windows conteúdo fips 140-2 do servidor.

Qual é a relação entre FIPS 140-2 e Common Criteria?

Esses são dois padrões de segurança separados com finalidades diferentes, mas complementares. O FIPS 140-2 foi projetado especificamente para validar módulos criptográficos de software e hardware, enquanto o Common Criteria foi projetado para avaliar funções de segurança em produtos de software e hardware de IT. As avaliações de Critérios Comuns geralmente dependem de validações FIPS 140-2 para garantir que a funcionalidade criptográfica básica seja implementada corretamente.

Recursos