Persyaratan FIPS 140

National Institute of Standards and Technology (NIST) menerbitkan Federal Information Processing Standard (FIPS) Publication Series 140 untuk mengoordinasikan persyaratan dan standar untuk modul kriptografi yang mencakup komponen hardware dan software untuk digunakan oleh departemen dan lembaga pemerintah Amerika Serikat dan Kanada guna melindungi informasi sensitif.

Kepatuhan FIPS 140

Penyedia Layanan Cloud (CSP) diwajibkan untuk menerapkan kontrol keamanan FIPS guna memenuhi persyaratan cloud computing untuk pemerintah AS dan Kanada serta kontraktor dan vendor mereka . FIPS publication 140 menetapkan bahwa jika enkripsi digunakan sebagai mekanisme untuk memenuhi persyaratan keamanan, enkripsi tersebut harus divalidasi FIPS berdasarkan Cryptographic Module Validation Program (CMVP). 

FIPS Publication Series 140 terbaru dari tahun 2020 adalah revisi ketiga, yang biasa disebut FIPS 140-3. NIST sedang menyusun roadmap transisi untuk migrasi dari standar FIPS 140-2 ke 140-3, dan Google berkomitmen untuk mendukung transisi ini. Sejak September 2022, semua pengiriman FIPS 140 Google untuk modul baru telah sesuai dengan standar 140-3. Modul software inti Google, BoringCrypto, telah menerima sertifikat FIPS 140-3 (#5104). Sertifikasi yang dikeluarkan berdasarkan standar FIPS 140-2 tetap berlaku dan dapat diterima untuk program kepatuhan federal hingga tanggal habis masa berlakunya.

Kepatuhan FIPS 140 Google Cloud

Data dalam penyimpanan di Google Cloud dilindungi dengan modul yang divalidasi FIPS 140. Google otomatis mengenkripsi traffic antara VM yang dikirim antara pusat data Google menggunakan enkripsi tervalidasi FIPS.

Data dalam pengiriman di Google Cloud diproses oleh modul yang tervalidasi FIPS 140; misalnya, ini mencakup koneksi SSH, traffic pusat data, koneksi layanan-ke-layanan, dan antarmuka eksternal (menggunakan TLS 1.2 atau yang lebih baru). Untuk memastikan koneksi yang tervalidasi FIPS 140, pelanggan harus memastikan mesin yang terhubung ke Google Cloud telah dikonfigurasi untuk menggunakan modul enkripsi bersertifikasi. Pelanggan disarankan untuk menggunakan TLS 1.2 atau yang lebih baru untuk memastikan koneksi yang tervalidasi FIPS 140.

Sesuai dengan FedRAMP Policy for Cryptographic Module Selection and Use, Google menggunakan aliran data update yang berisi patch dan update terbaru untuk diterapkan ke software, terlepas dari status validasi FIPS software yang diupdate. Google menyimpan artefak yang menunjukkan bahwa versi utama yang diupdate dikirimkan ke Cryptographic Module Validation Program (CMVP) dalam waktu enam bulan setelah rilis dan memberikan visibilitas ke penggunaan modul kriptografi (termasuk versi) sebagai bagian dari program pemantauan berkelanjutan sesuai SI - (2). Untuk informasi lebih lanjut tentang implementasi kontrol modul kriptografi Google Cloud, hubungi tim penjualan kami atau perwakilan Google Cloud Anda yang dapat membantu memberikan akses ke dokumentasi FedRAMP kami. Pelanggan pemerintah juga dapat meminta paket FedRAMP Google melalui FedRAMP Program Management Office menggunakan formulir permintaan paket tersebut.

Google secara konsisten menerapkan kebijakan ini, dengan menerapkan model aliran data update pada pedoman lain yang mensyaratkan sertifikasi kriptografi FIPS, misalnya: CJIS, ITAR, DoD IL4 dan IL5, IRS 1075, JISF, dan Protected B.

Catatan: Aplikasi pelanggan yang dibangun dan dioperasikan di Google Cloud mungkin menyertakan implementasi kriptografinya sendiri, sehingga data yang diprosesnya dapat diamankan dengan modul kriptografi yang tervalidasi FIPS, pelanggan harus mengintegrasikan implementasi tersebut.