BLOG

A Força do FIPS

Jay Kelley Miniatura
Jay Kelley
Publicado em 07 de junho de 2016

Se você trabalha para vários governos ao redor do mundo; ou se você está na área de saúde, serviços financeiros, serviços jurídicos ou qualquer outro negócio que lide com a coleta e transmissão de dados confidenciais, mas não classificados (SBU), você provavelmente já está familiarizado com os Padrões Federais de Processamento de Informações (FIPS).

Caso contrário, aqui vai uma breve introdução:

FIPS é um padrão do governo dos EUA para várias formas de segurança. É administrado por agências dos governos dos EUA e do Canadá, especificamente o Instituto Nacional de Padrões e Tecnologia (NIST) e o Estabelecimento de Segurança de Comunicações (CSE) no Canadá.

Existem muitos requisitos FIPS diferentes que lidam com diferentes elementos de segurança. Por exemplo, há o FIPS 197, que é o Padrão de Criptografia Avançada (AES); ou o FIPS 201, a Verificação de Identidade Pessoal (PIV) de funcionários e contratados federais – a base para os cartões PIV usados para identidade em muitas agências governamentais.

Um dos requisitos do FIPS mais aplicáveis a nós no mundo da segurança de rede e nuvem é o FIPS 140-2 , que se aplica à acreditação de segurança de módulos criptográficos, à validação e certificação da segurança para a combinação de hardware, software e firmware que executam funções criptográficas. Muitas agências governamentais federais e canadenses dos EUA – além de empresas preocupadas com a segurança – exigem que seus equipamentos de rede e segurança estejam em conformidade com o FIPS 140-2.

No FIPS 140-2, há quatro níveis de segurança adicionais , que vão do Nível 1, que exige cifras aprovadas, limites de segurança definidos dentro do sistema e validação da inicialização de componentes criptográficos, até o Nível 4, que, além de incluir os requisitos dos outros três níveis, adiciona proteções atmosféricas e outras proteções físicas a um gabinete físico de segurança reforçada, onde as chaves são zeradas se um ataque físico for detectado.

Os padrões mais comumente aplicados são o FIPS 140-2 Nível 2, que exige meios invioláveis para indicar acesso físico a chaves criptográficas ou a um parâmetro de segurança; e o FIPS 140-2 Nível 3, que adiciona resistência à violação, um meio adicional de detecção aos métodos invioláveis do Nível 2, bem como uma resposta a tentativas de acesso físico ou ao uso ou violação de módulo criptográfico. Basicamente, esses níveis de segurança FIPS ajudam os profissionais de rede a saber se algum criminoso teve (ou tentou obter) acesso às suas chaves de criptografia.

Para agências governamentais e empresas preocupadas com a segurança, como FSIs, jurídicas e de saúde, a importância do FIPS é sua proteção de chave criptográfica e parâmetros de segurança, além de sua defesa inerente contra ameaças. A conformidade com o FIPS garante que agências federais e empresas seguras mantenham a conformidade com as regulamentações governamentais e do setor, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) , a Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA) , os Regulamentos de Tráfego Internacional de Armas (ITAR) e muito mais. Ele oferece segurança física e lógica em várias camadas e protege os dados contra roubo e ataques nas camadas 3 e 4 (incluindo ataques de rede e DNS) e camada 7 (ataques SSL e HTTP).

Conheça a plataforma BIG-IP 10350v-F da F5 , uma implementação com suporte para FIPS 140-2 Nível 3 do módulo de segurança de hardware (HSM) de última geração, a primeira plataforma com suporte para FIPS 140-2 Nível 3 da F5. A plataforma BIG-IP 10350v-F protege o armazenamento de chaves, utilizando um HSM inviolável e outras medidas de segurança física. Por meio de seu HSM, o BIG-IP 10350v-F fornece às agências governamentais, instituições de serviços financeiros e outras empresas preocupadas com a segurança uma escala segura, ao mesmo tempo em que atende aos números de desempenho de SSL em constante aumento da atualidade. Ele oferece desempenho líder em criptografia SSL em massa e uma relação preço/desempenho superior. O 10350v-F simplifica o gerenciamento de certificados e reduz os custos de conformidade.

Mas, você pode perguntar, por que um HSM é tão importante? Você não pode simplesmente usar bibliotecas de criptografia de software? Cada implantação deve avaliar o material que está sendo protegido. E, embora o FIPS 140-2 Nível 1 e Nível 2 ofereçam um grau de confiança de que a criptografia usada atingiu um nível de garantia e revisão de implementação, escalas maiores de proteção são exigidas por muitas entidades governamentais e outros programas confidenciais, onde informações de identificação pessoal (PII) e informações de saúde protegidas (PHI) só podem ser atendidas com um HSM FIPS 140-2 Nível 3. Além disso, os HSMs protegem operações criptográficas e chaves criptográficas críticas, segregando domínios administrativos e de segurança e aplicando políticas sobre o uso de chaves.

A plataforma F5 BIG-IP 10350v-F oferece escalabilidade incomparável, com segurança aprimorada e proteção de chaves, proporcionando eficiência de custo superior. Entre os casos de uso que esta plataforma aborda estão o descarregamento, a visibilidade e a aceleração de SSL; bem como o proxy de encaminhamento, seja por meio da funcionalidade airgap ou em conjunto com os serviços Secure Web Gateway (SWG) da F5.

Qualquer agência governamental e empresa que lide com coleta, armazenamento e distribuição de dados confidenciais e não classificados deve se interessar por produtos de rede e segurança compatíveis com FIPS 140-2. E qualquer agência ou empresa que queira garantir a segurança de seus dados confidenciais deve se preocupar em garantir que suas chaves de criptografia permaneçam seguras; essas organizações precisam do FIPS 140-2 Nível 3.

É por isso que todas essas agências e empresas exigem a plataforma F5 BIG-IP 10350v-F, que oferece o menor custo por FIPS TPS de qualquer Application Delivery Controller (ADC) com um HSM.