聯邦資訊處理標準 (FIPS) 發佈140-2

FIPS 140-2 standard 一覽

聯邦資訊處理標準 (FIPS) 發佈140-2 是一種美國政府標準,可定義資訊技術產品中的加密模組最低安全性需求,如資訊技術管理改革的1996法案第5131中所定義。

加密模組驗證 」 (CMVP) (美國國家標準和技術研究院 (NIST) 的共同工作,以及網路安全性 (CCCS) 的加拿大中心),會驗證加密模組的 安全性需求,以取得加密模組 標準 ((如 FIPS 140-2) 和相關的 FIPS 密碼編譯標準)。 FIPS 140-2 的安全性需求涵蓋11個與加密模組設計及實施相關的區域。 NIST Information 技術實驗室會運作相關的程式,以驗證模組中的 FIPS 核准的加密演算法。

Microsoft 的 FIPS 140-2 驗證方法

Microsoft 會維持積極的承諾,以滿足140-2 需求,因為標準是在2001內開始已驗證的加密模組。 Microsoft 會在國家安全局) 加密模組驗證計畫 (CMVP) 的標準及 (技術研究院下驗證其加密模組。 多個 Microsoft 產品(包含許多雲端服務)使用這些加密模組。

如需 Microsoft Windows 加密模組的技術資訊、每個模組的安全性原則,以及 CMVP 憑證詳細資料的目錄,請參閱Windows 和 Windows Server FIPS 140-2 content

Microsoft 範圍內雲端平台與服務

目前的 CMVP FIPS 140-2 實現指導方針會排除雲端服務本身的 FIPS 140-2 驗證,但雲端服務提供者可以選擇針對組成其雲端服務的計算元素,選擇取得並運作 FIPS 140 驗證的密碼模組。 Microsoft online services (包括已驗證 FIPS 140-2 的元件)包含下列各種:

  • Azure 和 Azure Government
  • Dynamics 365 和 Dynamics 365 政府
  • Office 365、Office 365 美國政府和 Office 365 美國政府國防版

Azure、Dynamics 365 和 FIPS 140-2

如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 AZURE FIPS 140-2 產品

Office 365 和 FIPS 140-2

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
Office 365,GCC,GCC High,DoD 請參閱 FIPS 140-2 驗證

常見問題集

「FIPS 140 驗證」與「FIPS 140 相容」有何差異?

「FIPS 140 驗證」表示加密模組或嵌入模組的產品已驗證 CMVP 為滿足 FIPS 140-2 的需求 ( ' 已驗證」 ) 。 「FIPS 140 相容」是 IT 產品的行業術語,其適用于已驗證 FIPS 140 的產品以取得加密功能。

Microsoft 何時使用 FIPS 140 驗證?

開始模組驗證的節奏,與 Windows 10 和 Windows 伺服器的功能更新相符。 隨著軟體行業的演化,作業系統的發行頻率也會隨每月軟體更新。 Microsoft undertakes 的功能版本驗證,但在兩個版本之間,尋找最小化加密模組的變更。

FIPS 140 驗證中包含哪一部電腦?

Microsoft 會在執行 Windows 10 和 Windows 伺服器的硬體設定範例上,驗證加密模組。 在環境使用硬體時(類似于驗證程式使用的範例),常見的行業作法是接受此 FIPS 140-2 驗證。

NIST 網站上列出了許多模組。如何知道哪一種適用于我的代理人?

如果您需要使用透過 FIPS 140-2 驗證的加密模組,您必須確認您所用的版本會出現在 [驗證] 清單中。 CMVP 和 Microsoft 會維護已驗證的加密模組清單,依產品版本加以組織,以及識別在 Windows 系統上安裝哪些模組的指示。 如需設定系統相容性的詳細資訊,請參閱Windows 和 Windows Server FIPS 140-2 content

「在 FIPS 模式中運作」在憑證上的意義為何?

這項警告會告訴讀者,必須遵循必要的設定及安全性規則,以符合其 FIPS 140-2 安全性原則的方式使用加密模組。 每個模組都有其自己的安全性原則(其運作所依據的安全性規則的確切規格),並採用核准的加密演算法、加密金鑰管理和驗證技術。 安全性規則是定義于每個模組的安全性原則中。 如需詳細資訊,包括透過 CMVP 驗證之每個模組的安全性原則連結,請參閱Windows 和 Windows Server FIPS 140-2 content

FedRAMP 是否需要 FIPS 140-2 驗證?

是的,「聯邦風險和授權管理」方案 (FedRAMP) 取決於 NIST SP 800-53 Revision 4所定義的控制基準,包含 SC-13 加密保護 ,使用 FIPS 驗證的密碼編譯或 NSA 核准的密碼編譯。

我是否可以在代理人的認證程式中使用 Microsoft 遵守 FIPS 140-2 的功能?

若要遵守 FIPS 140-2,您的系統必須設定為在作業的 FIPS 核准模式中執行,包括確保密碼模組只使用 FIPS 核准的演算法。 如需設定系統相容性的詳細資訊,請參閱Windows 和 Windows Server FIPS 140-2 content

FIPS 140-2 與通用準則之間的關係為何?

這些是兩個不同的安全性標準,但相互互補。 FIPS 140-2 是專門設計用來驗證軟體和硬體密碼模組,而一般的準則是用來評估 IT 軟體和硬體產品中的安全性功能。 常見的準則評估通常會依靠 FIPS 140-2 驗證,以確保基本的加密功能已正確地執行。

資源