Publicação 140-2 do Federal Information Processing Standard (FIPS)

Visão geral padrão do FIPS 140-2

A Publicação 140-2 do Federal Information Processing Standard (FIPS) é um padrão do governo dos EUA que define requisitos mínimos de segurança para módulos criptográficos em produtos de tecnologia da informação, conforme definido na Seção 5131 da Lei de Reforma do Gerenciamento de Tecnologia da Informação de 1996.

O CMVP ( Programa de Validação de Módulo Criptográfico ), um esforço conjunto do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e do Centro Canadense de Segurança Cibernética (CCCS), valida módulos criptográficos para os requisitos de segurança para módulos criptográficos padrão (ou seja, FIPS 140-2) e padrões de criptografia FIPS relacionados. Os requisitos de segurança FIPS 140-2 abrangem 11 áreas relacionadas ao design e implementação de um módulo criptográfico. O Laboratório de Tecnologia da Informação NIST opera um programa relacionado que valida os algoritmos criptográficos aprovados pelo FIPS no módulo.

A abordagem da Microsoft para a validação FIPS 140-2

A Microsoft mantém um compromisso ativo de atender aos requisitos 140-2, tendo validado módulos criptográficos desde o início do padrão em 2001. A Microsoft valida seus módulos criptográficos no CMVP (Programa de Validação de Módulo Criptográfico ) do Instituto Nacional de Padrões e Tecnologia (NIST). Vários produtos da Microsoft, incluindo muitos serviços de nuvem, usam esses módulos criptográficos.

Para obter informações técnicas sobre módulos criptográficos do Microsoft Windows, a política de segurança para cada módulo e o catálogo de detalhes do certificado CMVP, consulte o conteúdo do Windows e do Windows Server FIPS 140-2.

Plataformas e serviços em nuvem no escopo da Microsoft

Enquanto as diretrizes de implementação do CMVP FIPS 140-2 atuais impedem uma validação FIPS 140-2 para um serviço de nuvem em si; Os provedores de serviços de nuvem podem optar por obter e operar módulos criptográficos validados do FIPS 140 para os elementos de computação que compõem seu serviço de nuvem. A Microsoft serviços online que incluem componentes, que foram validados pelo FIPS 140-2, incluem, entre outros:

  • Azure e Azure Governamental
  • Dynamics 365 e Dynamics 365 Governo
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense

Azure, Dynamics 365 e FIPS 140-2

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do Azure FIPS 140-2.

Office 365 e FIPS 140-2

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Office 365, GCC, GCC High, DoD Consulte Validação FIPS 140-2

Perguntas frequentes

Qual é a diferença entre 'FIPS 140 Validado' e 'COMPATÍVEL COM FIPS 140'?

'FIPS 140 Validado' significa que o módulo criptográfico ou um produto que insira o módulo foi validado ('certificado') pelo CMVP como atendendo aos requisitos FIPS 140-2. 'Compatível com FIPS 140' é um termo do setor para produtos de TI que dependem de produtos validados FIPS 140 para funcionalidade criptográfica.

Quando a Microsoft realiza uma validação FIPS 140?

A cadência para iniciar uma validação de módulo se alinha com as atualizações de recursos do Windows 10 e do Windows Server. À medida que o setor de software evoluiu, os sistemas operacionais são lançados com mais frequência, com atualizações mensais de software. A Microsoft realiza a validação para versões de recursos, mas, entre versões, busca minimizar as alterações nos módulos criptográficos.

Quais computadores estão incluídos em uma validação FIPS 140?

A Microsoft valida módulos criptográficos em uma amostra representativa de configurações de hardware que executam Windows 10 e Windows Server. É comum a prática do setor aceitar essa validação FIPS 140-2 quando um ambiente usa hardware, que é semelhante aos exemplos usados para o processo de validação.

Há muitos módulos listados no site do NIST. Como fazer sabe qual se aplica à minha agência?

Se você for obrigado a usar módulos criptográficos validados por meio do FIPS 140-2, é necessário verificar se a versão usada aparece na lista de validação. O CMVP e a Microsoft mantêm uma lista de módulos criptográficos validados, organizados pela versão do produto, juntamente com instruções para identificar quais módulos estão instalados em um sistema Windows. Para obter mais informações sobre como configurar sistemas a serem compatíveis, consulte o conteúdo FIPS 140-2 do Windows e do Windows Server.

O que significa "Quando operado no modo FIPS" em um certificado?

Essa ressalva informa ao leitor que as regras de configuração e segurança necessárias devem ser seguidas para usar o módulo criptográfico de forma consistente com sua política de segurança FIPS 140-2. Cada módulo tem sua própria política de segurança – uma especificação precisa das regras de segurança sob as quais ele vai operar – e emprega algoritmos criptográficos aprovados, gerenciamento de chaves criptográficas e técnicas de autenticação. As regras de segurança são definidas na política de segurança de cada módulo. Para obter mais informações, incluindo links para a política de segurança de cada módulo validado por meio do CMVP, consulte o conteúdo FIPS 140-2 do Windows e do Windows Server.

O FedRAMP requer validação FIPS 140-2?

Sim, o FedRAMP (Federal Risk and Authorization Management Program) depende de linhas de base de controle definidas pela Revisão 4 do NIST SP 800-53, incluindo a Proteção Criptográfica SC-13 que exige o uso de criptografia validada por FIPS ou criptografia aprovada pela NSA.

Posso usar a adesão da Microsoft ao FIPS 140-2 no processo de certificação da minha agência?

Para cumprir o FIPS 140-2, seu sistema deve ser configurado para ser executado em um modo de operação aprovado pelo FIPS, o que inclui garantir que um módulo criptográfico use apenas algoritmos aprovados pelo FIPS. Para obter mais informações sobre como configurar sistemas a serem compatíveis, consulte o conteúdo FIPS 140-2 do Windows e do Windows Server.

Qual é a relação entre o FIPS 140-2 e os Critérios Comuns?

Estes são dois padrões de segurança separados com propósitos diferentes, mas complementares. O FIPS 140-2 foi projetado especificamente para validar módulos criptográficos de software e hardware, enquanto os Critérios Comuns foram projetados para avaliar funções de segurança em produtos de software e hardware de TI. As avaliações de critérios comuns geralmente dependem de validações FIPS 140-2 para fornecer garantia de que a funcionalidade criptográfica básica é implementada corretamente.

Recursos