Technischer Support
Dokumentation
Anmeldung
Kontakt
TuxCare BlogDie Sicherung der Zukunft: FIPS 140-3 Validierung und die DISA STIG für AlmaLinux OS
von Simon John
August 22, 2024 - Manager für Sicherheitszertifizierung
FIPS 140-3
Eine aufregende Neuigkeit: TuxCare hat kürzlich ein CMVP validiertes Zertifikat für den AlmaLinux 9.2 Kernel erhalten und steht nun auf der NIST Aktiv-Liste (vor Red Hat & Oracle!), wir erwarten auch bald unser OpenSSL-Zertifikat.
Die Userspace-Module (libgcrypt, nss, gnutls) stehen auf der MIP-Liste auf der MIP-Liste, könnten aber aufgrund des CMVP-Rückstands noch ein paar Monate brauchen, was dank der neuen Zwischenvalidierung Programm viel schneller vorankommen sollte - in der Tat haben wir unser Kernel-Zertifikat erst in ein paar Monaten erwartet.
Unsere FIPS 140-3-Pakete sind Teil unserer Erweiterte Sicherheitsupdates Produkt, das Aktualisierungen der FIPS-Pakete enthält (wir haben vor kurzem eine V2-Revalidierung des Kernels durchgeführt, um verschiedene Schwachstellen zu beheben, darunter CVE-2024-1086, das in den CISA's Known Exploited Vulnerabilities Catalog (Katalog bekannter ausgenutzter Schwachstellen)) sowie die Möglichkeit, eine kleinere Version von AlmaLinux über einen längeren Zeitraum zu nutzen und trotzdem Sicherheitsupdates zu erhalten - kein 6-monatiger Lebenszyklus mehr oder die Wahl zwischen Sicherheit oder Compliance für Ihre Produkte oder Infrastruktur!
Die FIPS-Validierung zeigt neben der Kryptographie auch, dass der Anbieter strenge Softwaretests durchführt, in ein ausgereiftes Entwicklungsmodell investiert hat und sich für die Aufrechterhaltung der Sicherheit der Module einsetzt.
Sie müssen nicht mit der US-Regierung zusammenarbeiten, um von FIPS 140-3-validierten Produkten zu profitieren - jeder, der seine Daten und die Privatsphäre seiner Kunden schützen möchte, sollte in Erwägung ziehen, den "FIPS-Modus" auf seinen Servern zu aktivieren, damit Sie sicher sein können, dass die von Ihrem Webserver, Mailserver, Fernzugriff usw. verwendete Kryptografie gründlich getestet wurde. Der Validierungsprozess stellt auch sicher, dass die Implementierung der Kryptographie in der Software überprüft wurde und Maßnahmen zur Verhinderung von Änderungen oder der Ausführung mit nicht autorisierten Konfigurationen umfasst.
DISA STIG
(Aktualisiert am 4. Dezember 2024)
Unsere nächste Neuigkeit - seit etwas mehr als einem Jahr arbeitet TuxCare mit DISA an der Erstellung eines STIG für AlmaLinux OS 9.
Nun können Sie die Veröffentlichungsankündigung von DISA und die STIG herunterladen !
Ansible/Chef/SCAP-Automatisierung wird in Kürze von DISA folgen, aber für diejenigen, die nicht warten können, kann meine eigene Automatisierung hier gefunden werden hierSie wurde bereits von einigen unserer Kunden in einem Pilotprojekt eingesetzt.
Was also ist ein STIG, werden Sie sich fragen? STIG steht für Security Technical Implementation Guide und ist eine Reihe von sicheren Konfigurationsstandards für die Verwendung eines Produkts (Betriebssystem, Hardware, Software....) innerhalb des US-Verteidigungsministeriums und der damit verbundenen Netzwerke (DoDIN).
Ein Cybersicherheitsrahmen wie ISO 27001 würde STIGs wie folgt beschreiben "eine Reihe von Anforderungen an die IT-Sicherheit und technische Kontrollen zur Erreichung dieser Anforderungen".
Die Anforderungen basieren weitgehend auf dem allgegenwärtigen NIST SP800-53. Sie sind in drei Schweregrade eingeteilt: Kat. I könnte zum Verlust von Menschenleben führen, Kat. II zu Verletzungen oder zum Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit (in der Welt der Informationssicherheit bekannt als CIA-Dreiklang) und Kategorie III könnte zu Verzögerungen bei der Wiederherstellung oder zum Verlust der Fähigkeit führen, sich gegen die höheren Risikokategorien zu schützen.
Die Verwendung von FIPS-Kryptomodulen ist bei einem STIG obligatorisch, ebenso wie einige ziemlich strenge Richtlinien wie SmartCard-Authentifizierung, CPU/RAM-Schutz, LUKS-Vollfestplattenverschlüsselung und die Verwendung von USBGuard - damit Sie Ihr Mobiltelefon nicht mehr an Ihren Arbeitslaptop anschließen!
Auch hier gilt, dass Sie nicht zur US-Regierung gehören müssen, um eine STIG zu nutzen - es handelt sich wahrscheinlich um die höchste Stufe von Sicherheitsrichtlinien, die es gibt, und deckt Praktiken wie AAA, DLP, physische/logische Zugangskontrolle und geringste Rechte ab; sie ist frei verfügbar, und mit verschiedenen Tools, die die STIG-Konformität testen können, könnte sie die Antwort auf alle Ihre Anforderungen an die Einhaltung der Cybersicherheit sein.
CIS-Benchmarks
Abschließend kann ich mit Stolz verkünden, dass das Center for Internet Security die Version 2.0.0 von AlmaLinux OS 9 veröffentlicht hat. Vergleichstest der auf 9.4 getestet wurde, wird von der neuesten Version von CIS-CAT Pro unterstützt wird und noch in diesem Monat als Build Kit verfügbar sein wird.
Ich habe mein Ansible/libvirt aktualisiert Automatisierung die auch Unterstützung für das AlmaLinux OS 8 v3.0.0 enthält Benchmark.
Die wichtigsten Aktualisierungen basieren auf den Änderungen, die von den letzten AlmaLinux OS 8 und Debian 12 Benchmarks übernommen wurden, um die Anleitung für systemweite Verschlüsselungsrichtlinien, das Entladen von Kernelmodulen und das Entfernen von Paketen gegen Maskierungsdienste zu vereinfachen. Ähnliche Änderungen werden auch in den kommenden Ubuntu 24.04 Benchmark einfließen.
Die Mitarbeiter von TuxCare stellen ihre Zeit und ihr Fachwissen für die Entwicklung und das Testen der CIS-Benchmarks zur Verfügung, und wir arbeiten mit verschiedenen Anbietern von Sicherheitsprodukten zusammen, um sicherzustellen, dass die Konformitätsprüfung der von uns unterstützten Linux-Distributionen stets auf dem neuesten Stand ist. Viele unserer Kunden verwenden die CIS-Benchmarks für ihre internen Sicherheitsgrundlagen oder für Produkte, die nicht die Einhaltung von US-Regierungsvorschriften erfordern.
Kontaktieren Sie uns noch heute, um über Ihre Anforderungen an die Cybersicherheit zu sprechen!
