(Disclaimer: non sono un avvocato, non provarlo a casa.)
Il governo degli Stati Uniti ha linee guida molto specifiche per le agenzie governative che desiderano usufruire dei servizi cloud. Questi servizi cloud devono essere certificati FedRAMP . Questo è un processo arduo, lungo e costoso ... ed è specificamente orientato verso servizi cloud, non gestiti o hosting condiviso.
Per the OMB memo published on December 8, 2011, all low and moderate impact cloud services leveraged by more than one office or agency must comply with FedRAMP requirements by 2014.
FedRAMP prescrive una serie di controlli di sicurezza e baseline di configurazione qui .
FIPS (140 e altro) e FedRAMP non sono la stessa cosa. FIPS 140 è molto più specifico e richiede i dettagli per l'uso di moduli crittografici, quali algoritmi simmetrici sono consentiti, quali algoritmi di hashing sono consentiti, ecc. Usare i moduli crittografici di un altro fornitore in modo FIPS non è come avere un FIPS soluzione certificata La certificazione FIPS (The Cryptographic Module Validation Program) è anche un processo lungo e molto costoso in cui è necessario inviare il modulo di crittografia (sia esso un modulo di sicurezza hardware fisico o un modulo software come un file DLL) al governo affinché possano riesaminarlo e approvarlo. Un modulo crittografico non può essere certificato FIPS, anche se genera dati identici come modulo certificato FIPS, a meno che non abbia passato il CMVP. Tuttavia, è possibile utilizzare e incorporare i moduli di altri fornitori (come OpenSSL, bcrypt.dll di Microsoft, ecc.) Nella soluzione e continuare a chiamarla soluzione FIPS o che funziona in modalità compatibile con FIPS.
FedRAMP tratta di certificare l'intera soluzione cloud, che è molto più ampia di una sola applicazione. FedRAMP comprende tutto, dalla sicurezza fisica nei vostri datacenter, al piano di disaster recovery, alla sicurezza della vostra soluzione, alla scansione periodica delle vulnerabilità e all'ispezione di ogni sistema operativo, applicazione e server nel vostro ambiente.
Se si esaminano i controlli di sicurezza definiti nel programma di certificazione FedRAMP, menziona FIPS diverse volte. La crittografia deve essere impiegata in modo conforme a FIPS attraverso una soluzione certificabile FedRAMP.
- Is it okay to host your FIPS level 1 compliant application in the cloud? How about level 2?
Sì, va bene. FIPS è sempre OK (e inoltre tipicamente richiesto) per le agenzie governative degli Stati Uniti. Nella mia esperienza, FedRAMP non è molto schizzinoso su FIPS Livello 1 rispetto a Livello 2, ecc., Solo che FIPS Level- qualcosa viene usato ovunque sia usata la crittografia.
Se la tua soluzione è tutto il software, penso che il meglio che farai sia FIPS 140 Livello 1, dal momento che i requisiti per il livello 2 e superiori richiedono prove di manomissione fisica, prove di manomissione e altre misure di sicurezza fisica (come quella PCB rivestimento che hai citato,) e una soluzione puramente software non può mai soddisfare tali requisiti. Un modulo che è convalidato al livello 2 o superiore sarebbe qualcosa come una smart card o un modulo di sicurezza hardware con attributi fisici.
- If #1 is yes, are there specific requirements/certifications needed by the cloud host?
FedRAMP, e possibilmente altri come FISMA, a seconda di quali agenzie governative stanno cercando di acquistare un servizio da te.
- Just want to validate my assumption: it is okay to collocate at a normal facility for level 1, correct? If not, what are the requirements/certifications needed by the host? What about level 2?
Non c'è alcuna clausola in nessuna delle linee di base che proibisca espressamente la colocation e l'hosting condiviso, tuttavia, è stata la mia esperienza che sarà necessario mostrare una strong evidenza di controlli di accesso basati sui ruoli e gestione degli account sensibili, in particolare quando si tratta di essere in grado di impedire ai cittadini non statunitensi di accedere al sistema, o addirittura di impedire ai cittadini statunitensi che viaggiano all'estero di accedere al sistema. Questo probabilmente squalificherà implicitamente la maggior parte dei casi di colocation perché non potrei garantire che la gabbia del datacenter vicino al tuo non possa essere affittata da spie russe, ecc.