FIPS-Validierung und FedRAMP-Konformität

Der Federal Information Processing Standard (FIPS) 140 ist ein Sicherheitsstandard, der vom National Institute of Standards and Technology (NIST) entwickelt wurde. Er konzentriert sich speziell auf die Anforderungen an kryptografische Module, die sowohl in Hardware- als auch in Softwarekomponenten verwendet werden. Ein weit verbreiteter Irrglaube ist, dass ganze Systeme oder Distributionen "FIPS-konform" sein können. In Wirklichkeit können nur einzelne kryptografische Module eine FIPS-Validierung durch das Cryptographic Module Validation Program (CMVP) des NIST erhalten.

Für Linux-Distributionen bedeutet dies, dass bestimmte kryptografische Bibliotheken und Module einzeln validiert werden müssen. Wenn ein Modul die FIPS-Validierung erhält, hat es strenge Test- und Überprüfungsprozesse erfolgreich durchlaufen, um sicherzustellen, dass es die Sicherheitsanforderungen des Bundes erfüllt. Diese Validierung ist von entscheidender Bedeutung, da die US-Regierung ohne sie Daten, die mit nicht validierten Modulen verschlüsselt wurden, als praktisch ungeschützt betrachtet.

1. Validierung auf Modulebene
   • Die einzelnen kryptografischen Module müssen validiert werden
   • Die Validierung gilt für bestimmte Versionen der Module
   • Änderungen am Modul können eine Revalidierung erforderlich machen
2. Validierungsprozess
   • Die Module müssen von zugelassenen Laboratorien geprüft werden.
   • Dieser Prozess kann viel Zeit in Anspruch nehmen
   • Aktualisierungen von Modulen können eine neue Validierung erfordern
3. Sicherheits-Updates
   • Kritische Sicherheitspatches können erforderlich sein, bevor die Revalidierung abgeschlossen ist
   • Organisationen brauchen eine Strategie, um dieses Gleichgewicht zu halten.
   • Die Dokumentation von Abweichungen ist entscheidend

Die Aufrechterhaltung sowohl der FIPS-Validierung als auch eines starken Sicherheitsniveaus stellt eine besondere Herausforderung dar. Eine der kritischsten Fragen ist, wie Unternehmen mit Sicherheitsupdates für kryptografische Module umgehen und gleichzeitig die Einhaltung der Vorschriften gewährleisten. Wenn Schwachstellen in Linux-Paketen entdeckt werden, die FIPS-validierte kryptografische Module enthalten, stehen Systemadministratoren vor einer wichtigen Entscheidung:

1. Verwenden Sie weiterhin die validierte, aber anfällige Version
2. Aktualisierung auf eine neuere, sicherere Version, die möglicherweise vorübergehend die FIPS-Validierung verliert

Diese Herausforderung ist besonders akut in Linux-Umgebungen, in denen regelmäßige Sicherheitsaktualisierungen für die Aufrechterhaltung der Systemsicherheit entscheidend sind, aber die Aktualisierung kryptografischer Module ihren Validierungsstatus beeinflussen kann.

Der AlmaLinix Enterprise Support von TuxCare unterstützt Unternehmen bei der Aufrechterhaltung ihrer Sicherheitslage und ihres Compliance-Status, indem er validierte kryptografische Module für AlmaLinux bereitstellt und zeitnahe Sicherheitsupdates gewährleistet.

Die betroffenen kryptographischen Module in AlmaLinux sind die Kernel Crypto API, OpenSSL, NSS, libgcrypt und GnuTLS. Sie können den Status des Validierungsprozesses für diese Module auf der Seite FIPS für AlmaLinux überprüfen, die den Validierungsstatus und Links zu den Online-Zertifikatsinformationen enthält.

Da der Zertifizierungsprozess sehr langwierig ist, können Auditoren die Einhaltung der Vorschriften anhand der auf dieser Seite verlinkten NIST CMVP-Listen überprüfen.

Derzeit bietet TuxCare AlmaLinux 9.2 FIPS-validierte Module an und ist daher in der NIST-Liste "Modules In Process" (MIP) aufgeführt, wobei openssl und der Kernel bereits auf der Active-Liste stehen.

TuxCare ist auch dabei, einen ähnlichen Status für AlmaLinux 9.6 Module zu erhalten, was in der "Implementation Under Test" (IUT) NIST Liste zu sehen ist.

Für Unternehmen, die diese komplexen Anforderungen bewältigen wollen, bietet der AlmaLinux Enterprise Support Service von TuxCare eine umfassende Lösung. Durch unseren Extended Security Updates (ESU) Service bieten wir:

FIPS-validierte kryptographische Pakete für AlmaLinux

• Regelmäßige Sicherheitsaktualisierungen, die das Gleichgewicht zwischen Validierungsstatus und Sicherheit wahren
• Erweiterter Support zur Unterstützung von Unternehmen bei der Erfüllung ihrer Compliance-Anforderungen
• Fachkundige Anleitung zur Aufrechterhaltung der FIPS-Validierung bei gleichzeitiger Gewährleistung der Systemsicherheit

Wir prüfen derzeit auch, ob wir demnächst Openssl- und Kernel-Live-Patches für FIPS/ESU bereitstellen können.

Während sich die FIPS-Validierung speziell auf kryptografische Module konzentriert, verfolgt das Federal Risk and Authorization Management Program (FedRAMP) einen breiteren Sicherheitsansatz. FedRAMP bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten, die von Bundesbehörden genutzt werden. Ein wichtiger Punkt, der oft übersehen wird, ist, dass die FIPS-Validierung eine obligatorische Komponente der FedRAMP-Konformität ist - keine optionale Erweiterung.

Für Cloud-Service-Anbieter und Organisationen, die mit Bundesbehörden zusammenarbeiten, ergibt sich daraus eine klare Notwendigkeit: Die FIPS-Validierung ist nicht nur ein "Nice to have"-Sicherheitsmerkmal, sondern eine grundlegende Voraussetzung für die FedRAMP-Autorisierung. Ohne FIPS-validierte kryptografische Module kann ein System keine FedRAMP-Autorisierung erlangen, was seine Fähigkeit, Bundeskunden zu bedienen, potenziell einschränkt.

Die jüngsten Veränderungen im Linux-Ökosystem haben sich erheblich auf die FIPS-Validierungsstrategien ausgewirkt. Ab März 2021 können sich CentOS-Benutzer nicht mehr auf den FIPS-Validierungsstatus von RHEL verlassen, nachdem CentOS seine Support-Richtlinien geändert und das Ende seiner Lebensdauer angekündigt hat - was von FedRAMP offiziell bestätigt wurde. Das bedeutet, dass CentOS nicht mehr die Compliance-Anforderungen des Bundes erfüllt und Unternehmen gezwungen sind, nach aktuell validierten Alternativen zu suchen.

Auch die FIPS-Zertifizierungen von RHEL 7 werden nach und nach in die historische Liste verschoben, was bedeutet, dass sie nicht mehr aktiv gepflegt werden. Wichtige Module, darunter der RHEL 7-Kernel und NSS, verfügen noch über eine FIPS 140-2-Validierung, aber diese Zertifizierungen laufen bald aus, sodass Unternehmen ihren Übergang planen müssen.

Um die Konformität aufrechtzuerhalten, müssen Unternehmen, die CentOS verwenden oder sich auf die FIPS-Validierung von RHEL 7 verlassen, Alternativen evaluieren, die derzeit über eine FIPS-Validierung verfügen und langfristige Stabilität mit laufenden Sicherheitsupdates bieten.

Da sich die Compliance-Anforderungen weiterentwickeln und bereits validierte Systeme das Ende ihrer Lebensdauer erreichen, müssen Unternehmen proaktive Strategien anwenden, um sowohl die Sicherheit als auch die Einhaltung von Vorschriften zu gewährleisten. An dieser Stelle wird der Enterprise Support von TuxCare für AlmaLinux unverzichtbar.

Unser Ansatz gewährleistet den Zugang zu FIPS-validierten Modulen, unterstützt die langfristige Konformität in einer sich weiterentwickelnden Sicherheitslandschaft und hilft bei der Erfüllung der FedRAMP-Anforderungen durch die Implementierung von NIST 800-53 Sicherheitskontrollen - in der Regel durch CIS/STIG-Härtung erreicht. Der Service bietet:

• FIPS-validierte Module für AlmaLinux mit FIPS-konformen Sicherheitsupdates und laufender Revalidierung für FIPS-sicherheitsrelevante CVEs
• Ein nahtloser Übergangspfad von End-of-Life- oder historisch validierten Systemen
• Kontinuierliche Unterstützung bei der Einhaltung von Vorschriften, um Unternehmen bei der Erfüllung sich entwickelnder Sicherheitsanforderungen zu helfen, einschließlich CIS/STIG-Härtung

Unternehmen, die eine stabile, konforme Umgebung anstreben, sollten bedenken, dass es keine praktikable Strategie mehr ist, sich einfach auf historische Validierungen oder End-of-Life-Distributionen zu verlassen. Die Kombination aus FedRAMP-Anforderungen und sich entwickelnden FIPS-Validierungsstatus erfordert einen proaktiveren Ansatz für das Compliance-Management.