Puncte:4

De ce a acceptat Google Cloud un nivel FIPS 140-2 mai scăzut în comparație cu IBM Cloud?

drapel th

FIPS 140-2 este un standard care gestionează modulele criptografice și cele pe care organizațiile le folosesc pentru a cripta datele în repaus și datele în mișcare. FIPS 140-2 are 4 niveluri de securitate, nivelul 1 fiind cel mai puțin sigur, iar nivelul 4 fiind cel mai sigur.

Google Cloud are un nivel mai scăzut (nivel 3) în comparație cu IBM Cloud (nivel 4). Mă întreb de ce Google a ales să accepte acest nivel inferior? Presupun că Google a luat această decizie în mod conștient și că diferența nu ar trebui să prezinte prea multe riscuri, deoarece Google ia decizii bine informate.Dar dacă este așa, care ar fi putut fi raționamentul?

Mai important, dacă derulați o afacere SaaS în Finanțe care stochează date sensibile, ar trebui să luați în considerare această diferență dacă alegeți să treceți la IBM Cloud sau Google Cloud?

Resurse:

Puncte:23
drapel ng

Întrebarea face o comparație între măr și portocale: nivelul 1 al Google Certificat #3318 este pentru o "bibliotecă de software", nivelul 4 al IBM certificatul #3410 este pentru un „Modul de securitate hardware cu coprocesor criptografic PCIe”. Software-ul pur și simplu nu poate obține un certificat FIPS 140-2 de nivel 3 sau de nivel 4, deoarece unele casete din lista de verificare (de exemplu, despre detectarea intruziunii fizice) pur și simplu nu sunt aplicabile software-ului.

Și atunci întrebarea ia aceste certificate pentru ceea ce nu sunt: ​​certificate despre securitatea unui serviciu cloud. De exemplu. IBM Cloud nu este certificat la FIPS 140-2 nivel 4: poate că folosește un dispozitiv, adică undeva. Utilizarea unui gizmo (software sau hardware) într-un serviciu cloud nu este oricum un indicator satisfăcător al securității serviciului respectiv.

Restul întrebării se rezumă la alegerile arhitecturale ale soluțiilor IT și la percepția securității acestora de către factorii de decizie pe baza unor argumente tehnice aplicate greșit. Deci este oprit-subiect.

poncho avatar
drapel my
De fapt, este imposibil ca o bibliotecă de software să obțină ceva mai mare decât „FIPS level 1”; Google a făcut tot ce le-a permis regulilor NIST să...
Swashbuckler avatar
drapel mc
@poncho, de fapt, nu este. Puteți obține nivelul 2 cu software (ciudat, dar adevărat!). Există doar unul activ astăzi: https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3453, cu toate acestea au mai fost și altele în trecut.
drapel us
„de la măr la portocală”, există măsuri de securitate comune, cum ar fi „risc în $”?
Puncte:7
drapel mc

Google (GCP) oferă nivelul 3 cu HSM-uri, vezi https://cloud.google.com/kms/docs/hsm. Se pare că nu au primit validarea în nume propriu.

Puncte:7
drapel cn
A B

Nu aș presupune că o diferență între nivelurile FIPS 140-2 alese vă spune nimic despre securitatea relativă a două sisteme.

Validarea FIPS 140-2 este controversată în comunitatea criptografiei. În general, oamenii îl implementează numai dacă doresc să vândă clienților guvernului SUA cărora li se cere prin lege să o respecte.

Criticii ar spune că FIPS 140-2 în cel mai bun caz este redundant cu analiza de securitate modernă și, în cel mai rău caz, dăunează în mod activ securității, făcând mai dificilă remedierea erorilor sau refactorizarea bibliotecilor de criptare cu îmbunătățiri. (Orice modificare declanșează revalidarea, ceea ce costă timp și bani.)

De la Matthew Green, un criptograf la Johns Hopkins:

https://blog.cryptographyengineering.com/2012/01/02/openssl-and-nss-are-fips-140-certified/

Acum, pentru a fi corect, nimeni, nici din proiectul OpenSSL, nici din Mozilla, nu susține că conformitatea cu FIPS face ca aceste biblioteci să fie în mod magic sigure. Sunt sigur că nu numai că știu mai bine, dar îl blestemă pe FIPS în privat, în spatele ușilor închise, deoarece necesită o mulțime de coduri suplimentare în schimbul unui beneficiu de securitate dubiu.

De la Darren Moffat, care a lucrat la implementarea validării FIPS 140-2 pentru Solaris:

https://blogs.oracle.com/solaris/post/is-fips-140-2-actively-harmful-to-software

Deci, ar trebui să rulez Solaris 11 cu modul FIPS 140-2 activat?

Părerea mea personală este că, dacă nu aveți o cerință foarte grea de a face acest lucru, nu aș...

Swashbuckler avatar
drapel mc
Câteva puncte: 1) De fapt, multor organizații le place să audă că un produs este compatibil FIPS, în afară de guvernul SUA. În general, jucătorii mari fac afaceri cu sau sunt reglementați de guvern, deci statele, marile finanțe etc. 2) Majoritatea clienților vor accepta că modulul în uz nu este cel care a fost validat, astfel încât să puteți remedia eficient erorile fără a revalida - care este costisitor și consumator de timp (mai ales în aceste zile cu COVID). De asemenea, este posibil să construiți un modul în care corecțiile nu trebuie să fie revalidate. Vedeți OpenSSL ca exemplu.
Puncte:0
drapel us
MAB

GCP folosește un OEM terță parte pentru Cloud HSM, dar nu furnizează în mod public nicio informație despre cine este acel furnizor (sau cel puțin nu pe care l-am găsit eu). Așa pot revendica FIPS 140-2 nivelul 3, fără ca ei să fie efectiv pe lista NIST pentru certificări sub propriul nume.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.