BLOG

La force du FIPS

Vignette de Jay Kelley
Jay Kelley
Publié le 07 juin 2016

Si vous travaillez pour un certain nombre de gouvernements à travers le monde, ou si vous travaillez dans le secteur de la santé, des services financiers, des services juridiques ou dans toute autre entreprise traitant de la collecte et de la transmission de données sensibles mais non classifiées (SBU), vous connaissez probablement déjà les normes fédérales de traitement de l'information (FIPS).

Sinon, voici un petit guide :

FIPS est une norme du gouvernement américain pour diverses formes de sécurité. Il est administré par des agences des gouvernements américain et canadien, en particulier le National Institute of Standards and Technology (NIST) et le Centre de la sécurité des communications (CSE) au Canada.

Il existe de nombreuses exigences FIPS différentes qui traitent de différents éléments de sécurité. Par exemple, il existe la norme FIPS 197, qui est la norme de chiffrement avancé (AES) ; ou la norme FIPS 201, la vérification de l’identité personnelle (PIV) des employés et des entrepreneurs fédéraux – la base des cartes PIV utilisées pour l’identité dans de nombreuses agences gouvernementales.

L’une des exigences FIPS qui nous concerne le plus dans le monde de la sécurité des réseaux et du cloud est la norme FIPS 140-2 , qui s’applique à l’accréditation de sécurité des modules cryptographiques, à la validation et à la certification de la sécurité de la combinaison de matériel, de logiciel et de micrologiciel exécutant des fonctions cryptographiques. De nombreuses agences gouvernementales fédérales américaines et canadiennes, ainsi que des entreprises soucieuses de la sécurité, exigent que leur réseau et leurs équipements de sécurité soient conformes à la norme FIPS 140-2.

Dans la norme FIPS 140-2, il existe quatre niveaux de sécurité supplémentaires , allant du niveau 1, qui exige des chiffrements approuvés, des limites de sécurité définies au sein du système et la validation de l'initialisation des composants cryptographiques, au niveau 4, qui, en plus d'inclure les exigences des trois autres niveaux, ajoute des protections atmosphériques et autres protections physiques à un boîtier physique renforcé en sécurité où les clés sont mises à zéro si une attaque physique est détectée.

Les normes les plus couramment appliquées sont la norme FIPS 140-2 niveau 2, qui exige des moyens inviolables pour indiquer l'accès physique aux clés cryptographiques ou à un paramètre de sécurité ; et la norme FIPS 140-2 niveau 3, qui ajoute la résistance à l'effraction, un moyen de détection supplémentaire aux méthodes inviolables du niveau 2, ainsi qu'une réponse aux tentatives d'accès physique, ou à l'utilisation ou à la falsification d'un module cryptographique. Fondamentalement, ces niveaux de sécurité FIPS aident les responsables du réseau à savoir si un mauvais acteur a eu (ou tenté d'obtenir) l'accès à vos clés de chiffrement.

Pour les agences gouvernementales et les entreprises soucieuses de la sécurité, telles que les FSI, les services juridiques et les établissements de santé, l'importance du FIPS réside dans sa protection des clés cryptographiques et des paramètres de sécurité, ainsi que dans sa défense inhérente contre les menaces. La conformité FIPS garantit que les agences fédérales et les entreprises sécurisées maintiennent la conformité avec les réglementations gouvernementales et industrielles, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) , la loi sur la portabilité et la responsabilité des informations de santé (HIPAA) , la réglementation sur le trafic international des armes (ITAR), et plus encore. Il offre une sécurité physique et logique multicouche et protège les données contre le vol et les attaques aux couches 3 et 4 (y compris les attaques réseau et DNS) et à la couche 7 (attaques SSL et HTTP).

Découvrez la plate-forme BIG-IP 10350v-F de F5 , une implémentation prise en charge par FIPS 140-2 niveau 3 du module de sécurité matériel (HSM) de dernière génération, la première plate-forme prise en charge par FIPS 140-2 niveau 3 de F5. La plate-forme BIG-IP 10350v-F protège le stockage des clés en utilisant un HSM inviolable et d'autres mesures de sécurité physique. Grâce à son HSM, le BIG-IP 10350v-F offre aux agences gouvernementales, aux institutions de services financiers et à d'autres entreprises soucieuses de la sécurité une évolutivité sécurisée tout en répondant aux chiffres de performances SSL en constante augmentation d'aujourd'hui. Il offre des performances de cryptographie en masse SSL de pointe et un rapport prix/performance supérieur. Le 10350v-F simplifie la gestion des certificats et réduit les coûts de conformité.

Mais pourquoi un HSM est-il si important, vous demandez-vous peut-être ? Ne peut-on pas simplement utiliser des bibliothèques de cryptographie logicielle ? Chaque déploiement doit évaluer le matériel à protéger. Et, alors que les niveaux 1 et 2 de la norme FIPS 140-2 offrent un certain degré de confiance selon lequel le cryptage utilisé a atteint un certain degré d'assurance et de révision de la mise en œuvre, des niveaux de protection plus élevés sont requis par de nombreuses entités gouvernementales et d'autres programmes sensibles où les informations personnellement identifiables (PII) et les informations de santé protégées (PHI) ne peuvent être respectées qu'avec un HSM FIPS 140-2 de niveau 3. De plus, les HSM sécurisent les opérations cryptographiques et protègent les clés cryptographiques critiques, en séparant les domaines administratifs et de sécurité et en appliquant des politiques sur l'utilisation des clés.

La plate-forme F5 BIG-IP 10350v-F offre une évolutivité inégalée, avec une sécurité et une protection des clés améliorées, offrant une rentabilité supérieure. Parmi les cas d'utilisation abordés par cette plateforme figurent le déchargement SSL, la visibilité et l'accélération, ainsi que le proxy direct, soit via la fonctionnalité airgap, soit en conjonction avec les services Secure Web Gateway (SWG) de F5.

Toute agence gouvernementale et entreprise qui s’occupe de la collecte, du stockage et de la distribution de données sensibles et non classifiées devrait être intéressée par les produits de réseau et de sécurité conformes à la norme FIPS 140-2. Et toute agence et entreprise qui souhaite garantir la sécurité de ses données sensibles doit veiller à ce que ses clés de chiffrement restent sécurisées ; ces organisations ont besoin de la norme FIPS 140-2 niveau 3.

C'est pourquoi toutes ces agences et entreprises ont besoin de la plate-forme F5 BIG-IP 10350v-F, qui offre le coût le plus bas par FIPS TPS de tous les contrôleurs de distribution application (ADC) avec un HSM.