Logo Conformità FIPS 140
USA | Settore della pubblica amministrazione e governativo

Conformità FIPS 140

Il National Institute of Standards and Technology (NIST) pubblica il documenti Federal Information Processing Standard (FIPS) Publication Series 140 (FIPS) per coordinare i requisiti e gli standard per i moduli crittografici, che includono componenti hardware e software per l'uso da parte di dipartimenti e agenzie dei governi degli Stati Uniti e del Canada per proteggere le informazioni sensibili.

Requisiti FIPS 140

I fornitori di servizi cloud (CSP) sono tenuti a implementare il controllo di sicurezza FIPS per soddisfare i requisiti del cloud computing per i governi degli Stati Uniti e del Canada, nonché per i loro appaltatori e fornitori. La pubblicazione FIPS 140 stabilisce che, se la crittografia viene utilizzata come meccanismo per soddisfare un requisito di sicurezza, deve essere convalidata FIPS nell'ambito del Cryptographic Module Validation Program (CMVP).

La più recente pubblicazione FIPS Publication Series 140 del 2020 è la terza revisione, comunemente denominata FIPS 140-3. Il NIST sta attuando una roadmap di transizione per la migrazione dallo standard FIPS 140-2 a quello 140-3 e Google si impegna a supportare questa transizione. Da settembre 2022, tutti i moduli FIPS 140 presentati da Google per i nuovi moduli sono stati conformi allo standard 140-3. Il modulo software principale di Google, BoringCrypto, ha ricevuto un certificato FIPS 140-3 (#4735). Le certificazioni rilasciate secondo lo standard FIPS 140-2 rimangono valide e accettabili per i programmi di conformità federali fino alla loro data di scadenza.

Conformità a FIPS 140 di Google Cloud

I dati at-rest in Google Cloud sono protetti con moduli con convalida FIPS 140. Google cripta automaticamente il traffico tra le VM che viaggia tra i data center di Google utilizzando la crittografia convalidata FIPS.

I dati in transito in Google Cloud sono protetti da moduli con convalida FIPS 140, ad esempio connessioni SSH, traffico del data center, connessioni da servizio a servizio e interfacce esterne (utilizzando TLS 1.2 o versioni successive). Per garantire una connessione con convalida FIPS 140, i clienti devono assicurarsi che le macchine che si connettono a Google Cloud siano configurate per utilizzare moduli di crittografia certificati. I clienti devono utilizzare TLS 1.2 o versioni successive per garantire una connessione con convalida FIPS 140.

In conformità con le norme di FedRAMP per la selezione e l'uso dei moduli crittografici, Google utilizza il flusso di aggiornamento contenente le patch e gli aggiornamenti più recenti da applicare al software, indipendentemente dallo stato di convalida FIPS del software aggiornato.

Nota: le applicazioni dei clienti create ed eseguite su Google Cloud possono includere le proprie implementazioni crittografiche; affinché i dati elaborati siano protetti con un modulo crittografico convalidato FIPS, i clienti devono integrare personalmente questa implementazione.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Google Cloud
DocumentiAssistenza
Console
Accedi
Security
Threat intelligenceSecOpsSicurezza del cloudConsulenzaRisorse per la sicurezza
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud