Logotipo de cumplimiento de FIPS 140
EE.UU. | Sector gubernamental y público

Cumplimiento de FIPS 140

El Instituto Nacional de Normas y Tecnología (NIST) emite la serie de publicación 140 de Federal Information Processing Standard (FIPS) para coordinar los requisitos y estándares de los módulos criptográficos, que incluyen componentes de hardware y software para que los departamentos y las agencias de los Gobiernos de Canadá y Estados Unidos los usen con el objetivo de proteger la información sensible.

Requisitos de FIPS 140

Los proveedores de servicios en la nube (CSP) deben implementar el control de seguridad FIPS para cumplir con los requisitos de computación en la nube de los Gobiernos de EE.UU. y Canadá, así como sus contratistas y proveedores. La publicación FIPS 140 estipula que, si se usa la encriptación como un mecanismo para cumplir con un requisito de seguridad, debe ser validada por FIPS según el Cryptographic Module Validation Program (CMVP).

La serie de publicación FIPS 140 más reciente del 2020 es una tercera revisión, que se conoce como FIPS 140-3. El NIST está en medio de una hoja de ruta de transición para migrar del estándar FIPS 140-2 al 140-3, y Google está comprometido con esta transición. Desde septiembre de 2022, todas las presentaciones de FIPS 140 de Google para módulos nuevos se han realizado bajo el estándar 140-3. El módulo de software principal de Google, BoringCrypto, recibió un certificado FIPS 140-3 (#4735). Las certificaciones emitidas según el estándar FIPS 140-2 siguen siendo válidas y aceptables para los programas de cumplimiento federal hasta su fecha de vencimiento.

Cumplimiento de FIPS 140 de Google Cloud

Los datos en reposo en Google Cloud están protegidos con módulos validados por FIPS 140. Google encripta automáticamente el tráfico entre las VMs que viaja entre los centros de datos de Google con una encriptación validada por FIPS.

Los datos en tránsito en Google Cloud están protegidos por módulos validados por FIPS 140, lo que incluye, por ejemplo, conexiones SSH, tráfico de centros de datos, conexiones de servicio a servicio y las interfaces externas (con TLS 1.2 o versiones posteriores). Para garantizar una conexión validada por FIPS 140, los clientes deben asegurarse de que las máquinas que se conectan a Google Cloud estén configuradas para usar módulos de encriptación certificados. Los clientes deben usar TLS 1.2 o una versión superior para garantizar una conexión validada por FIPS 140.

De acuerdo con la Política de FedRAMP para la selección y el uso de módulos criptográficos, Google utiliza la secuencia de actualizaciones que contiene los parches y actualizaciones más recientes para aplicarlos al software, independientemente del estado de validación FIPS del software actualizado.

Nota: Las aplicaciones de clientes creadas y en operación en Google Cloud pueden incluir sus propias implementaciones criptográficas. Para proteger los datos procesados con un módulo criptográfico validado por FIPS, los clientes deben integrar esa implementación.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Google Cloud
DocumentaciónAsistencia
Consola
Acceder
Security
Inteligencia contra amenazasSecOpsSeguridad en la nubeAsesoríaRecursos de seguridad
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud