Soporte técnico
Documentación
Inicio de sesión
Contáctenos
Blog TuxCareAsegurando el futuro: Validación FIPS 140-3 y la DISA STIG para AlmaLinux OS
por Simon John
22 de agosto de 2024 - Responsable de certificación de seguridad
FIPS 140-3
Una noticia emocionante: TuxCare ha recibido recientemente un certificado validado por la CMVP certificado validado para el kernel AlmaLinux 9.2 y ahora está en la lista NIST lista activa (por delante de Red Hat y Oracle!), estamos esperando nuestro certificado OpenSSL pronto también.
Los módulos de espacio de usuario (libgcrypt, nss, gnutls) están en la lista del PIM pero pueden tardar unos meses más debido al retraso de la CMVP, que gracias a la nueva Validación provisional que, gracias al nuevo programa de validación provisional, debería avanzar mucho más rápido. De hecho, no esperábamos nuestro certificado del núcleo hasta dentro de un par de meses.
Nuestros paquetes FIPS 140-3 forman parte de nuestras Actualizaciones de seguridad ampliadas que incluye actualizaciones de los paquetes FIPS (recientemente hemos realizado una revalidación V2 del kernel para incluir una corrección de varias vulnerabilidades, incluida la CVE-2024-1086, que se ha incluido en el Catálogo de vulnerabilidades explotadas conocidas de CISA). Catálogo de vulnerabilidades explotadas conocidas), así como la capacidad de permanecer en una versión menor de AlmaLinux durante un período prolongado sin dejar de recibir actualizaciones de seguridad - ¡no más ciclo de vida de 6 meses o elegir entre la seguridad o el cumplimiento de sus productos o infraestructura!
La validación FIPS, aparte de la criptografía, también demuestra que el proveedor aplica rigurosas pruebas de software, ha invertido en un modelo de desarrollo maduro y se compromete a mantener la seguridad de los módulos.
No es necesario trabajar con el gobierno de EE.UU. para beneficiarse de los productos validados por FIPS 140-3: cualquiera que desee proteger sus datos y la privacidad de sus clientes debería considerar la posibilidad de activar el "modo fips" en sus servidores, de modo que pueda estar seguro de que la criptografía utilizada por su servidor web, servidor de correo, acceso remoto, etc., ha sido sometida a pruebas exhaustivas. El proceso de validación también garantiza que la implementación de esa criptografía en el software ha sido examinada e incluye medidas para evitar su modificación o ejecución con configuraciones no autorizadas.
DISA STIG
(Actualizado el 4 de diciembre de 2024)
Nuestra siguiente noticia: desde hace algo más de un año, TuxCare colabora con DISA en la redacción de una STIG para AlmaLinux OS 9.
Ahora puede leer el anuncio de publicación de DISA y descargar la STIG ¡!
La automatización Ansible/Chef/SCAP seguirá en breve desde DISA pero para la gente que no puede esperar, mi propia automatización se puede encontrar aquíya ha sido utilizado por algunos de nuestros clientes en un piloto.
¿Qué es una STIG? Se trata de un conjunto de normas de configuración seguras para utilizar un producto (sistema operativo, hardware, software ....) en el Departamento de Defensa de Estados Unidos y sus redes asociadas (DoDIN).
Un marco de ciberseguridad como ISO 27001 describiría las STIG del siguiente modo "un conjunto de requisitos de cumplimiento de la seguridad informática y controles técnicos para alcanzarlos".
Los requisitos se basan en gran medida en la omnipresente NIST SP800-53. Tienen tres categorías de gravedad: la categoría I puede provocar la pérdida de vidas humanas, la categoría II puede causar lesiones o la pérdida de confidencialidad, integridad o disponibilidad (conocidas en el mundo de la infoseguridad como la tríada de la tríada de la CIA) y, por último, la categoría III podría provocar retrasos en la recuperación de desastres o la pérdida de la capacidad de protección contra las categorías de mayor riesgo.
El uso de módulos criptográficos FIPS es obligatorio con una STIG, al igual que algunas políticas bastante estrictas como la autenticación SmartCard, la protección de CPU/RAM, el cifrado de disco completo LUKS y el uso de USBGuard: ¡se acabó enchufar el móvil al portátil del trabajo!
Una vez más, no es necesario formar parte del gobierno estadounidense para encontrar valor en una STIG y utilizarla: es probablemente la guía de refuerzo de la seguridad de más alto nivel que existe, y abarca prácticas como AAA, DLP, control de acceso físico/lógico y mínimo privilegio; está disponible de forma gratuita y, con varias herramientas capaces de comprobar el cumplimiento de la STIG, podría ser la respuesta a todas sus necesidades de cumplimiento de la ciberseguridad.
Puntos de referencia del CIS
Por último, me enorgullece anunciar que el Centro para la Seguridad en Internet ha publicado la v2.0.0 AlmaLinux OS 9 punto de referencia que fue probado en 9.4, es compatible con la última versión de CIS-CAT Pro y estará disponible como un Build Kit a finales de este mes.
He actualizado mi Ansible/libvirt automatización que también incluye soporte para AlmaLinux OS 8 v3.0.0 punto de referencia.
Las principales actualizaciones se basan en los cambios introducidos en los últimos benchmarks AlmaLinux OS 8 y Debian 12, para simplificar la orientación en torno a las políticas de cifrado en todo el sistema, la descarga de módulos del kernel y la eliminación de paquetes frente a los servicios de enmascaramiento. Cambios similares se introducirán en el próximo benchmark de Ubuntu 24.04.
El personal de TuxCare dona su tiempo y experiencia al desarrollo y las pruebas de los puntos de referencia del CIS y trabajamos con varios proveedores de productos de seguridad para garantizar que el análisis de conformidad de las distribuciones de Linux que apoyamos se mantiene actualizado. Muchos de nuestros clientes utilizan los puntos de referencia CIS para sus líneas de base de seguridad interna o para productos que no requieren el cumplimiento de la legislación del Gobierno de EE.UU..
Póngase en contacto hoy mismo para hablar de sus necesidades de ciberseguridad.
