Il cloud hosting è consentito per FIPS 140-2?

8

Sono nelle primissime fasi della conformità dell'applicazione FIPS 140-2 ... così presto che non sono sicuro di quale livello debba essere ... basta scrivere un documento di raccomandazioni preliminari a questo punto. Tuttavia, sono abbastanza sicuro che il livello finirà per essere 1 o 2; quindi se non è troppo disturbo, rispondi alla mia domanda sia per FIPS 140-2 livello 1 che livello 2.

Leggendo la documentazione FIPS, la mia confusione per il Livello 1 deriva dal fatto che, in un luogo, si dice, che semplicemente si ha bisogno di attrezzature di produzione ed è appropriato per situazioni in cui non c'è sicurezza fisica. Tuttavia, in un altro luogo si dice: "un rivestimento conforme o un rivestimento sigillante applicato sui circuiti del modulo per proteggere da danni ambientali o altri danni fisici"

Non sono un esperto di costruzioni, ma non ho mai avuto alcun tipo di rivestimento sui circuiti del mio PC personale. Quindi mi sembra che qualsiasi fornitore di cloud avrebbe bisogno di questo rivestimento per uniformarsi anche al livello FIPS 1. Inoltre, mi sembra improbabile che una normale piattaforma cloud condivisa possa essere ritenuta accettabile dal momento che qualcuno potrebbe leggere la RAM.

Quindi ecco le mie domande:

  1. Va bene ospitare la tua applicazione FIPS di livello 1 nel cloud? Che ne dici del livello 2?
  2. Se il n. 1 è sì, ci sono requisiti / certificazioni specifici necessari per l'host del cloud?
  3. Se # 1 è no, va bene che il modulo crittografico si trovi fuori dal cloud e altri componenti siano su di esso?

  4. Voglio solo convalidare la mia ipotesi: va bene collocare in una struttura normale per il livello 1, corretto? In caso negativo, quali sono i requisiti / certificazioni necessari per l'host? Che dire del livello 2?

Grazie per dare un'occhiata alla mia domanda; scusa, ma non ho molta esperienza con il lato fisico della sicurezza, conosco solo il software e non voglio fare ipotesi che mi metteranno nei guai.

    
posta TheCatWhisperer 22.01.2014 - 04:51
fonte

2 risposte

8

(Disclaimer: non sono un avvocato, non provarlo a casa.)

Il governo degli Stati Uniti ha linee guida molto specifiche per le agenzie governative che desiderano usufruire dei servizi cloud. Questi servizi cloud devono essere certificati FedRAMP . Questo è un processo arduo, lungo e costoso ... ed è specificamente orientato verso servizi cloud, non gestiti o hosting condiviso.

Per the OMB memo published on December 8, 2011, all low and moderate impact cloud services leveraged by more than one office or agency must comply with FedRAMP requirements by 2014.

FedRAMP prescrive una serie di controlli di sicurezza e baseline di configurazione qui .

FIPS (140 e altro) e FedRAMP non sono la stessa cosa. FIPS 140 è molto più specifico e richiede i dettagli per l'uso di moduli crittografici, quali algoritmi simmetrici sono consentiti, quali algoritmi di hashing sono consentiti, ecc. Usare i moduli crittografici di un altro fornitore in modo FIPS non è come avere un FIPS soluzione certificata La certificazione FIPS (The Cryptographic Module Validation Program) è anche un processo lungo e molto costoso in cui è necessario inviare il modulo di crittografia (sia esso un modulo di sicurezza hardware fisico o un modulo software come un file DLL) al governo affinché possano riesaminarlo e approvarlo. Un modulo crittografico non può essere certificato FIPS, anche se genera dati identici come modulo certificato FIPS, a meno che non abbia passato il CMVP. Tuttavia, è possibile utilizzare e incorporare i moduli di altri fornitori (come OpenSSL, bcrypt.dll di Microsoft, ecc.) Nella soluzione e continuare a chiamarla soluzione FIPS o che funziona in modalità compatibile con FIPS.

FedRAMP tratta di certificare l'intera soluzione cloud, che è molto più ampia di una sola applicazione. FedRAMP comprende tutto, dalla sicurezza fisica nei vostri datacenter, al piano di disaster recovery, alla sicurezza della vostra soluzione, alla scansione periodica delle vulnerabilità e all'ispezione di ogni sistema operativo, applicazione e server nel vostro ambiente.

Se si esaminano i controlli di sicurezza definiti nel programma di certificazione FedRAMP, menziona FIPS diverse volte. La crittografia deve essere impiegata in modo conforme a FIPS attraverso una soluzione certificabile FedRAMP.

  1. Is it okay to host your FIPS level 1 compliant application in the cloud? How about level 2?

Sì, va bene. FIPS è sempre OK (e inoltre tipicamente richiesto) per le agenzie governative degli Stati Uniti. Nella mia esperienza, FedRAMP non è molto schizzinoso su FIPS Livello 1 rispetto a Livello 2, ecc., Solo che FIPS Level- qualcosa viene usato ovunque sia usata la crittografia.

Se la tua soluzione è tutto il software, penso che il meglio che farai sia FIPS 140 Livello 1, dal momento che i requisiti per il livello 2 e superiori richiedono prove di manomissione fisica, prove di manomissione e altre misure di sicurezza fisica (come quella PCB rivestimento che hai citato,) e una soluzione puramente software non può mai soddisfare tali requisiti. Un modulo che è convalidato al livello 2 o superiore sarebbe qualcosa come una smart card o un modulo di sicurezza hardware con attributi fisici.

  1. If #1 is yes, are there specific requirements/certifications needed by the cloud host?

FedRAMP, e possibilmente altri come FISMA, a seconda di quali agenzie governative stanno cercando di acquistare un servizio da te.

  1. Just want to validate my assumption: it is okay to collocate at a normal facility for level 1, correct? If not, what are the requirements/certifications needed by the host? What about level 2?

Non c'è alcuna clausola in nessuna delle linee di base che proibisca espressamente la colocation e l'hosting condiviso, tuttavia, è stata la mia esperienza che sarà necessario mostrare una strong evidenza di controlli di accesso basati sui ruoli e gestione degli account sensibili, in particolare quando si tratta di essere in grado di impedire ai cittadini non statunitensi di accedere al sistema, o addirittura di impedire ai cittadini statunitensi che viaggiano all'estero di accedere al sistema. Questo probabilmente squalificherà implicitamente la maggior parte dei casi di colocation perché non potrei garantire che la gabbia del datacenter vicino al tuo non possa essere affittata da spie russe, ecc.

    
risposta data 29.09.2014 - 15:50
fonte
7

Il cloud hosting è semplicemente un hosting condiviso con macchine virtuali. Non c'è niente di particolarmente unico o magico in questo; puoi semplicemente sostituire il concetto di "hosting condiviso" per "cloud hosting" e trovare i dettagli lì.

In genere fare il proprio esame della configurazione di un fornitore di servizi di hosting non sarà un'opzione, quindi dovrai fare affidamento sulla loro certificazione o affermazione di conformità. Se non offrono nessuno, allora devi presumere che non sono conformi perché non hai modo di dimostrare il contrario.

Amazon offre qualcosa chiamato GovCloud isolato per le applicazioni conformi all'ITAR che affermano che fornisce endpoint conformi a FIPS 140-2, sebbene dal mio sguardo superficiale non ho visto quale livello pretendono di fornire. Se ti fidi o meno di loro su questo punto dovrà essere la tua chiamata.

Anche se l'azienda afferma che gli endpoint che forniscono sono conformi, il fatto che non si controlli fisicamente l'endpoint mette in dubbio la conformità: se l'ambiente finisce per essere non conforme, chi prende la colpa? Tu o la società di hosting? Se i tuoi avvocati sono felici di prendere le affermazioni della società per valore nominale, allora sei libero di procedere. Altrimenti, dovrai ospitare da qualche parte dove puoi verificare la conformità da solo.

    
risposta data 22.01.2014 - 17:42
fonte

Leggi altre domande sui tag