Conformité avec la norme FIPS 140

Développée par le National Institute of Standards and Technology (NIST), la norme FIPS (Federal Information Processing Standard) 140 permet de coordonner les exigences et les normes relatives aux modules de chiffrement, qui incluent des composants matériels et logiciels utilisés par les services et les organismes des gouvernements canadien et américain pour protéger les informations sensibles.

Exigences de la norme FIPS 140

Les fournisseurs de services cloud, ainsi que leurs sous-traitants et fournisseurs, sont tenus d'implémenter le contrôle de sécurité FIPS pour répondre aux exigences liées au cloud computing des gouvernements canadien et américain. La norme FIPS 140 stipule que si le chiffrement est utilisé comme mécanisme pour répondre à une exigence de sécurité, il doit être validé par FIPS dans le cadre du programme de validation des modules de chiffrement (CMVP, Cryptographic Module Validation Program).

La dernière version de la série FIPS 140, publiée en 2020, est la troisième révision, communément appelée FIPS 140-3. Le NIST est en train d'implémenter une feuille de route de transition pour passer de la norme FIPS 140-2 à la norme 140-3, et Google s'est engagé à effectuer cette transition. Depuis septembre 2022, toutes les demandes FIPS 140 de Google pour de nouveaux modules sont conformes à la norme 140-3. Le module logiciel principal de Google, BoringCrypto, a reçu un certificat FIPS 140-3 (nº 4735). Les certifications délivrées conformément à la norme FIPS 140-2 restent valides et acceptées pour les programmes de conformité fédéraux jusqu'à leur date d'expiration.

Conformité de Google Cloud avec la norme FIPS 140

Les données au repos dans Google Cloud sont protégées par des modules certifiés FIPS 140. Google chiffre automatiquement le trafic entre VM qui transite par ses centres de données avec le chiffrement certifié FIPS.

Les données en transit dans Google Cloud sont protégées par des modules certifiés FIPS 140. Cela inclut, par exemple, les connexions SSH, le trafic des centres de données, les connexions de service à service et les interfaces externes (à l'aide de TLS 1.2 ou version ultérieure). Pour garantir une connexion certifiée FIPS 140, les clients doivent s'assurer que les machines qui se connectent à Google Cloud sont configurées pour utiliser des modules de chiffrement certifiés. Les clients doivent utiliser TLS 1.2 ou une version ultérieure pour garantir une connexion certifiée FIPS 140.

Conformément au règlement FedRAMP concernant la sélection et l'utilisation de modules de chiffrement, Google utilise le flux de mise à jour contenant les derniers correctifs et mises à jour à appliquer aux logiciels, quel que soit l'état de validation FIPS du logiciel mis à jour.

Remarque : Les applications des clients qui sont créées et exécutées sur Google Cloud peuvent inclure leurs propres implémentations de chiffrement. Si les clients souhaitent sécuriser les données qu'elles traitent à l'aide d'un module de chiffrement certifié FIPS, ils doivent intégrer eux-mêmes cette implémentation.