Los dilemas de la conformidad con FIPS 140-3
FIPS 140-3 es una norma publicada por el Instituto Nacional de Normas y Tecnología (NIST) cuyo objetivo es proporcionar un método coherente y seguro para el tratamiento de información sensible mediante un riguroso proceso de certificación. La conformidad con esta norma es obligatoria para determinadas organizaciones en Estados Unidos y Canadá, pero muchas siguen optando por adoptarla como mejor práctica, aunque no se les exija específicamente.
Sin embargo, cumplir la norma FIPS 140-3 puede ser complejo y llevar mucho tiempo. El proceso de certificación para validar un sistema operativo es riguroso y lleva bastante tiempo.
Cuando una organización actualiza su sistema operativo validado por FIPS para solucionar una vulnerabilidad, dicho sistema deja de estar validado y debe someterse de nuevo al proceso de certificación. Este enigma puede llevar a las organizaciones a retrasar los parches, obligándolas a decidir entre seguir con los sistemas con certificación FIPS pero, al mismo tiempo, arriesgando su seguridad o proteger estos sistemas de las últimas vulnerabilidades a pesar de romper su certificación FIPS.
Pero, ¿necesitan las organizaciones elegir entre certificación y seguridad? De hecho, para la mayoría de las organizaciones no es el caso. Esta entrada de blog profundizará en estas cuestiones y explorará las alternativas disponibles para las organizaciones, como Extended Security Updates (ESU), un servicio de soporte diseñado específicamente para AlmaLinux que proporciona seguridad y cumplimiento continuos.
¿Qué es FIPS 140-3?
FIPS 140-3 especifica los requisitos de seguridad para los módulos criptográficos utilizados en hardware y software. Los módulos criptográficos en el contexto de un sistema operativo como AlmaLinux son las partes específicas de los paquetes y bibliotecas del sistema, incluyendo el núcleo, OpenSSL, GnuTLS, NSS, y Libgcrypt, que contienen la implementación de uno o más algoritmos criptográficos y medidas de seguridad utilizadas para proteger la información sensible. Un módulo criptográfico que haya sido certificado para cumplir los requisitos de FIPS 140-3 se considera una solución segura y fiable para proteger dicha información.
En pocas palabras, cuando un producto de software o hardware tiene un certificado FIPS 140-3, ha cumplido los requisitos básicos de eficacia criptográfica y es de confianza.
¿Es imprescindible o sólo es bueno tenerlo?
El cumplimiento de la norma es obligatorio para las agencias gubernamentales federales de Canadá y Estados Unidos, los contratistas gubernamentales y las empresas que prestan servicios al gobierno federal estadounidense. Para otras organizaciones, el cumplimiento de la norma FIPS 140-3 es una práctica recomendada, ya que puede ayudarles a proteger datos y activos sensibles, así como a aumentar la confianza de sus clientes y otras partes interesadas en la seguridad de sus productos y servicios.
Externalización frente a bricolaje
Las organizaciones que requieren implantaciones con certificación FIPS o las que operan bajo regímenes de cumplimiento con requisitos similares (por ejemplo, PCI DSS, HIPAA) pueden elegir entre certificar ellas mismas sus aplicaciones o construirlas utilizando componentes ya certificados. La primera opción implica importantes inversiones, conocimientos criptográficos y tiempo, ya que implica la validación por un laboratorio externo acreditado por el NIST. Cuanto más compleja sea la aplicación, mayor será el esfuerzo necesario.
¿Certificado o asegurado?
Los sistemas operativos que incluyen módulos criptográficos y manejan información sensible deben contar con la certificación FIPS 140-3. Aunque los módulos criptográficos no son más que pequeños componentes de determinados paquetes y bibliotecas del sistema, como Kernel Crypto API, estos componentes deben certificarse como sus partes integrantes. Esto significa que, para mantener la certificación FIPS, muchas actualizaciones de estos paquetes y bibliotecas requieren que se vuelvan a certificar.
Teniendo en cuenta el tiempo y el esfuerzo necesarios para la recertificación, las organizaciones a menudo se ven obligadas a seguir con su versión actual del sistema operativo, optando esencialmente por mantener la certificación FIPS en lugar de protegerse rápidamente contra las vulnerabilidades más recientes. Al mismo tiempo, este retraso en la aplicación de actualizaciones de seguridad críticas deja a las organizaciones vulnerables a los ciberataques, lo que constituye un importante problema de seguridad.
Algunas organizaciones y agencias afrontan este reto evaluando cuidadosamente sus estrategias de gestión de riesgos y sopesando los posibles riesgos y costes asociados a la conformidad con la norma FIPS. Pueden plantearse aplicar medidas de seguridad alternativas, como la segmentación de la red, para mitigar el impacto de las vulnerabilidades del sistema operativo. Pero hay una forma mejor.
Las contrapartidas no son necesarias
En primer lugar, la certificación FIPS 140-3 es un proceso muy largo y, para cuando se reciba el certificado, los paquetes y bibliotecas que contengan los módulos criptográficos certificados estarán obsoletos. Les faltarán parches de seguridad para las vulnerabilidades identificadas desde que comenzó el proceso de certificación FIPS 140-3. Si no se actualizan, el valor de la línea base de seguridad establecida por la certificación FIPS puede verse comprometido.
En segundo lugar, la mayoría de las actualizaciones de seguridad altas y críticas no afectan a la criptografía validada (y en términos del NIST, "criptografía que afecta" se limita al código FIPS). Si tomamos los últimos 4 años del ciclo de vida de AlmaLinux 8 como ejemplo, entonces veremos que todas las CVEs importantes estaban en código no criptográfico (análisis sintáctico de certificados/ASN.1, omisiones de comprobaciones de seguridad, manejo de paquetes TLS). Incluso la vulnerabilidad más criticada de OpenSSL - Heartbleed - no tenía nada que ver con la criptografía. Esto significa que la mayoría de las correcciones de vulnerabilidades en los paquetes y bibliotecas con certificación FIPS ni siquiera afectan a los módulos validados ni a la criptografía que proporcionan. En otras palabras, los paquetes y bibliotecas actualizados siguen siendo totalmente compatibles con FIPS.
Para la mayoría de las organizaciones debería bastar con cumplir la normativa FIPS. Pueden ejecutar sus sistemas con criptografía validada y, al mismo tiempo, beneficiarse de las últimas correcciones de seguridad. Hay casos de uso muy específicos que requerirán implementaciones con certificación FIPS estrictas que sean estáticas y nunca se parcheen, como las agencias militares o de inteligencia. Sin embargo, en caso de parchear una vulnerabilidad criptográfica, las organizaciones que hayan optado por aplicar correcciones de seguridad a sus sistemas con certificación FIPS seguirán necesitando encontrar una forma de volver a certificar rápidamente su sistema operativo.
Si busca una distribución Linux de nivel empresarial para cumplir las normas de los gobiernos de EE.UU. y Canadá u opera en entornos muy regulados, debe pensar en una solución que le proporcione seguridad continua y, al mismo tiempo, le permita cumplir las normas de protección de datos exigidas.
Si hay una distribución que ofrece componentes validados por FIPS, actualizaciones de seguridad para CVEs no criptográficos, y una rápida re-certificación en caso de una vulnerabilidad criptográfica, sería un ajuste perfecto. Extended Security Updates (ESU), un servicio de apoyo diseñado específicamente para AlmaLinux, hace exactamente eso. No sólo le proporciona parches de seguridad que no tocan la criptografía validada y proporciona la recertificación FIPS 140-3 cuando sea necesario, sino que también se puede mejorar con parches en vivo - lo que le permite parchear sus sistemas certificados FIPS, manteniendo su 100% de tiempo de actividad.
Actualizaciones de seguridad ampliadas (ESU) para AlmaLinux
Si está familiarizado con el ciclo de vida de AlmaLinux, una nueva versión menor llega cada seis meses, aportando nuevas características hasta el quinto año. Sin embargo, una versión certificada FIPS debe ser estable e introducir el menor número posible de actualizaciones para mantener su certificación. La versión actualmente certificada FIPS de AlmaLinux es la 9.2. Con las actualizaciones de seguridad extendida de TuxCare, puede permanecer en la versión menor validada y seguir funcionando de forma segura en el código validado con parches de seguridad compatibles con FIPS hasta que expire el certificado.
El servicio ofrece una combinación de actualizaciones de seguridad críticas y de alto nivel en forma de actualizaciones de paquetes adaptadas para garantizar que se ejecuta con criptografía compatible con FIPS. Nunca se agrupan con actualizaciones de funciones y ofrecen correcciones de vulnerabilidades no criptográficas para aportar estabilidad al tiempo que permiten a los clientes recibir la gran mayoría de las actualizaciones de seguridad. Por otra parte, si se le añade live patching, sus sistemas AlmaLinux certificados pueden ser parcheados sin necesidad de reinicios relacionados con parches o ventanas de mantenimiento.
Al mismo tiempo, si existe una vulnerabilidad criptográfica, la corregimos suministrando un nuevo kernel empaquetado. Los clientes pueden reiniciar e instalar este kernel para actualizar sus sistemas. Nuestra intención es que cada nuevo núcleo que modifique la criptografía pase por el proceso de recertificación diseñado para las correcciones de CVE, que es mucho más rápido. Esto garantiza que los nuevos kernels que contengan una corrección de vulnerabilidades en su criptografía serán certificados para ajustarse a los requisitos de FIPS 140-3.
Para obtener más información sobre todas las ventajas de las Actualizaciones de seguridad ampliadas, consulte nuestra página del producto.