Publicación 140-2 del Estándar federal de procesamiento de información (FIPS)

Información general estándar de FIPS 140-2

La Publicación 140-2 del Estándar Federal de Procesamiento de Información (FIPS) es una norma gubernamental de los Estados Unidos que define los requisitos mínimos de seguridad para los módulos criptográficos en productos de tecnología de la información, tal como se define en la Sección 5131 de la Ley de Reforma de la Administración de la Tecnología de la Información de 1996.

El Programa de Validación de Módulos Criptográficos (CMVP), un esfuerzo conjunto del Instituto Nacional de Estándares y Tecnología (NIST) y el Centro Canadiense de Ciberseguridad (CCCS), valida los módulos criptográficos según el estándar Requisitos de seguridad para módulos criptográficos (es decir, FIPS 140-2) y los estándares criptográficos FIPS relacionados. Los requisitos de seguridad fips 140-2 abarcan 11 áreas relacionadas con el diseño y la implementación de un módulo criptográfico. El laboratorio de tecnología de la información nist opera un programa relacionado que valida los algoritmos criptográficos aprobados por FIPS en el módulo.

Enfoque de Microsoft para la validación fips 140-2

Microsoft mantiene un compromiso activo con el cumplimiento de los requisitos 140-2, después de haber validado módulos criptográficos desde el inicio del estándar en 2001. Microsoft valida sus módulos criptográficos bajo el Programa de validación de módulos criptográficos (CMVP) del Instituto Nacional de Estándares y Tecnología (NIST). Varios productos de Microsoft, incluidos muchos servicios en la nube, usan estos módulos criptográficos.

Para obtener información técnica sobre los módulos criptográficos de Microsoft Windows, la directiva de seguridad de cada módulo y el catálogo de detalles del certificado CMVP, consulte el contenido fips 140-2 de Windows y Windows Server.

Servicios y plataformas en la nube dentro de Microsoft

Mientras que la guía de implementación actual de CMVP FIPS 140-2 impide una validación FIPS 140-2 para un propio servicio en la nube; Los proveedores de servicios en la nube pueden optar por obtener y operar módulos criptográficos validados de FIPS 140 para los elementos informáticos que componen su servicio en la nube. Microsoft servicios en línea que incluyen componentes que han sido validados por FIPS 140-2 incluyen, entre otros:

  • Azure y Azure Government
  • Dynamics 365 y Dynamics 365 Government
  • Office 365, Office 365 Administración Pública para Estados Unidos y Office 365 U.S. Government Defense

Azure, Dynamics 365 y FIPS 140-2

Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure FIPS 140-2.

Office 365 y FIPS 140-2

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Office 365, GCC, GCC High, DoD Consulte Validación de FIPS 140-2

Preguntas más frecuentes

¿Cuál es la diferencia entre "FIPS 140 Validado" y "Compatible con FIPS 140"?

"FIPS 140 Validado" significa que el módulo criptográfico o un producto que inserta el módulo ha sido validado ("certificado") por el CMVP para cumplir los requisitos fips 140-2. "Compatible con FIPS 140" es un término del sector para los productos de TI que se basan en productos fips 140 validados para la funcionalidad criptográfica.

¿Cuándo realiza Microsoft una validación FIPS 140?

La cadencia para iniciar una validación de módulo se alinea con las actualizaciones de características de Windows 10 y Windows Server. A medida que el sector del software ha evolucionado, los sistemas operativos se publican con más frecuencia, con actualizaciones de software mensuales. Microsoft realiza la validación de las versiones de características, pero entre versiones, busca minimizar los cambios en los módulos criptográficos.

¿Qué equipos se incluyen en una validación FIPS 140?

Microsoft valida los módulos criptográficos en un ejemplo representativo de configuraciones de hardware que ejecutan Windows 10 y Windows Server. Es habitual que el sector acepte esta validación FIPS 140-2 cuando un entorno usa hardware, que es similar a los ejemplos usados para el proceso de validación.

Hay muchos módulos enumerados en el sitio web de NIST. Cómo saber cuál se aplica a mi agencia?

Si necesita usar módulos criptográficos validados mediante FIPS 140-2, debe comprobar que la versión que usa aparece en la lista de validación. CMVP y Microsoft mantienen una lista de módulos criptográficos validados, organizados por lanzamiento de producto, junto con instrucciones para identificar qué módulos están instalados en un sistema Windows. Para obtener más información sobre cómo configurar sistemas para que sean compatibles, consulta el contenido fips 140-2 de Windows y Windows Server.

¿Qué significa "Cuando se opera en modo FIPS" en un certificado?

Esta advertencia informa al lector de que se deben seguir las reglas de configuración y seguridad necesarias para usar el módulo criptográfico de forma coherente con su directiva de seguridad FIPS 140-2. Cada módulo tiene su propia directiva de seguridad (una especificación precisa de las reglas de seguridad con las que funcionará) y emplea algoritmos criptográficos aprobados, administración de claves criptográficas y técnicas de autenticación. Las reglas de seguridad se definen en la directiva de seguridad para cada módulo. Para obtener más información, incluidos los vínculos a la directiva de seguridad para cada módulo validado a través de CMVP, consulta el contenido fips 140-2 de Windows y Windows Server.

¿FedRAMP requiere la validación fips 140-2?

Sí, el Programa federal de administración de riesgos y autorización (FedRAMP) se basa en líneas base de control definidas por la revisión 4 del NIST SP 800-53, incluida la protección criptográfica SC-13 que exige el uso de criptografía validada por FIPS o criptografía aprobada por la NSA.

¿Puedo usar la adhesión de Microsoft a FIPS 140-2 en el proceso de certificación de mi agencia?

Para cumplir con FIPS 140-2, el sistema debe configurarse para ejecutarse en un modo de operación aprobado por FIPS, lo que incluye asegurarse de que un módulo criptográfico solo usa algoritmos aprobados por FIPS. Para obtener más información sobre cómo configurar sistemas para que sean compatibles, consulta el contenido fips 140-2 de Windows y Windows Server.

¿Cuál es la relación entre FIPS 140-2 y Common Criteria?

Se trata de dos estándares de seguridad independientes con fines diferentes, pero complementarios. FIPS 140-2 está diseñado específicamente para validar módulos criptográficos de software y hardware, mientras que Common Criteria está diseñado para evaluar las funciones de seguridad en los productos de hardware y software de TI. Las evaluaciones de criterios comunes suelen basarse en validaciones FIPS 140-2 para garantizar que la funcionalidad criptográfica básica se implementa correctamente.

Recursos