BLOG

Die Macht von FIPS

Jay Kelley Miniaturbild
Jay Kelly
Veröffentlicht am 07. Juni 2016

Wenn Sie für eine der Regierungen weltweit arbeiten oder im Gesundheitswesen, im Finanzdienstleistungssektor, in der Rechtsberatung oder in einem anderen Unternehmen tätig sind, das mit der Erfassung und Übermittlung vertraulicher, aber nicht klassifizierter (SBU) Daten zu tun hat, sind Sie wahrscheinlich bereits mit den Federal Information Processing Standards (FIPS) vertraut.

Falls nicht, hier eine kurze Einführung:

FIPS ist ein US-Regierungsstandard für verschiedene Formen der Sicherheit. Es wird von Behörden der US-amerikanischen und kanadischen Regierung verwaltet, insbesondere vom National Institute of Standards and Technology (NIST) und dem Communications Security Establishment (CSE) in Kanada.

Es gibt viele verschiedene FIPS-Anforderungen, die sich mit unterschiedlichen Sicherheitselementen befassen. Beispielsweise gibt es FIPS 197, den Advanced Encryption Standard (AES), oder FIPS 201, die Personal Identity Verification (PIV) von Bundesangestellten und Auftragnehmern – die Grundlage für die PIV-Karten, die in vielen Regierungsbehörden zur Identitätsfeststellung verwendet werden.

Eine der FIPS-Anforderungen, die für uns in der Welt der Netzwerk- und Cloud-Sicherheit am relevantesten ist, ist FIPS 140-2 . Sie gilt für die Sicherheitsakkreditierung kryptografischer Module, also die Validierung und Zertifizierung der Sicherheit für die Kombination aus Hardware, Software und Firmware, die kryptografische Funktionen ausführen. Viele US-Bundesbehörden und kanadische Regierungsbehörden sowie sicherheitsbewusste Unternehmen verlangen, dass ihre Netzwerk- und Sicherheitsausrüstung FIPS 140-2 entspricht und konform ist.

Innerhalb von FIPS 140-2 gibt es vier zusätzliche Sicherheitsstufen , angefangen von Stufe 1, die zugelassene Chiffren, definierte Sicherheitsgrenzen innerhalb des Systems und eine Validierung der Initialisierung von Kryptokomponenten erfordert, bis zu Stufe 4, die zusätzlich zu den Anforderungen der anderen drei Stufen atmosphärische und andere physische Schutzmaßnahmen zu einem sicherheitsverstärkten physischen Gehäuse hinzufügt, in dem die Schlüssel auf Null gesetzt werden, wenn ein physischer Angriff erkannt wird.

Die am häufigsten angewandten Standards sind FIPS 140-2 Level 2, das manipulationssichere Mittel erfordert, um den physischen Zugriff auf kryptografische Schlüssel oder einen Sicherheitsparameter anzuzeigen, und FIPS 140-2 Level 3, das den manipulationssicheren Methoden von Level 2 durch Manipulationsresistenz ein zusätzliches Erkennungsmittel hinzufügt sowie eine Reaktion auf physische Zugriffsversuche oder die Verwendung oder Manipulation kryptografischer Module. Grundsätzlich helfen diese FIPS-Sicherheitsstufen den Netzwerkexperten dabei, festzustellen, ob ein böswilliger Akteur Zugriff auf Ihre Kryptoschlüssel hatte (oder zu erlangen versucht hat).

Für Regierungsbehörden und sicherheitsbewusste Unternehmen wie FSIs, Rechts- und Gesundheitsunternehmen liegt die Bedeutung von FIPS in seinem Schutz kryptografischer Schlüssel und Sicherheitsparameter sowie der inhärenten Bedrohungsabwehr. Durch die FIPS-Konformität wird sichergestellt, dass Bundesbehörden und sichere Unternehmen die Einhaltung staatlicher und branchenbezogener Vorschriften gewährleisten, etwa des Payment Card Industry Datensicherheit Standard (PCI DSS) , des Health Information Portability and Accountability Act (HIPAA) , der International Traffic in Arms Regulations (ITAR) und mehr. Es bietet mehrschichtige physische und logische Sicherheit und schützt Daten vor Diebstahl und Angriffen auf Ebene 3 und 4 (einschließlich Netzwerk- und DNS-Angriffen) sowie Ebene 7 (SSL- und HTTP-Angriffe).

Geben Sie die BIG-IP 10350v-F-Plattform von F5 ein, eine FIPS 140-2 Level 3-unterstützte Implementierung des Hardware-Sicherheitsmoduls (HSM) der neuesten Generation, die erste unterstützte FIPS 140-2 Level 3-Plattform von F5. Die BIG-IP 10350v-F-Plattform schützt die Schlüsselspeicherung mithilfe eines manipulationssicheren HSM und anderer physischer Sicherheitsvorkehrungen. Durch sein HSM bietet der BIG-IP 10350v-F Behörden, Finanzdienstleistungsinstituten und anderen sicherheitsbewussten Unternehmen eine sichere Skalierung und erfüllt gleichzeitig die ständig steigenden SSL-Leistungszahlen von heute. Es bietet führende SSL-Bulk-Verschlüsselungsleistung und ein hervorragendes Preis-Leistungs-Verhältnis. Der 10350v-F vereinfacht die Zertifikatsverwaltung und reduziert die Compliance-Kosten.

Aber warum ist ein HSM so wichtig, fragen Sie sich vielleicht? Können Sie nicht einfach Software-Kryptobibliotheken verwenden? Bei jedem Einsatz muss das zu schützende Material bewertet werden. Und während FIPS 140-2 Level 1 und Level 2 ein gewisses Maß an Vertrauen vermitteln, dass die verwendete Verschlüsselung ein gewisses Maß an Sicherheit und Implementierungsprüfung erreicht hat, werden von vielen Regierungsstellen und anderen sensiblen Programmen höhere Schutzstufen verlangt, bei denen personenbezogene Daten (PII) und geschützte Gesundheitsdaten (PHI) nur mit einem FIPS 140-2 Level 3 HSM gewährleistet werden können. Darüber hinaus sichern HSMs kryptografische Vorgänge und schützen kritische kryptografische Schlüssel, indem sie Verwaltungs- und Sicherheitsdomänen trennen und Richtlinien für die Schlüsselverwendung durchsetzen.

Die F5 BIG-IP 10350v-F-Plattform bietet beispiellose Skalierbarkeit mit verbesserter Sicherheit und Schlüsselschutz und sorgt so für höchste Kosteneffizienz. Zu den Anwendungsfällen, die diese Plattform abdeckt, gehören SSL-Offloading, Sichtbarkeit und Beschleunigung sowie Forward-Proxy, entweder über die Airgap-Funktionalität oder in Verbindung mit den Secure Web Gateway (SWG)-Diensten von F5.

Jede Regierungsbehörde und jedes Unternehmen, das mit der Erfassung, Speicherung und Verteilung vertraulicher, nicht klassifizierter Daten befasst ist, sollte an FIPS 140-2-konformen Netzwerk- und Sicherheitsprodukten interessiert sein. Und jede Behörde und jedes Unternehmen, das die Sicherheit seiner sensiblen Daten gewährleisten möchte, sollte darauf achten, dass seine Kryptoschlüssel geschützt bleiben. Diese Organisationen benötigen FIPS 140-2 Level 3.

Aus diesem Grund benötigen alle diese Agenturen und Unternehmen die F5 BIG-IP 10350v-F-Plattform, die die niedrigsten Kosten pro FIPS TPS aller Application Delivery Controller (ADCs) mit einem HSM bietet.