Validación FIPS y conformidad con FedRAMP

La Norma Federal de Procesamiento de la Información (FIPS) 140 es una norma de seguridad desarrollada por el Instituto Nacional de Normas y Tecnología (NIST). Se centra específicamente en los requisitos de los módulos criptográficos utilizados tanto en componentes de hardware como de software. Un error común es creer que sistemas o distribuciones enteras pueden ser "conformes con FIPS". En realidad, sólo los módulos criptográficos individuales pueden recibir la validación FIPS a través del Programa de Validación de Módulos Criptográficos (CMVP) del NIST.

Para las distribuciones de Linux, esto significa que las bibliotecas y módulos criptográficos específicos deben validarse individualmente. Cuando un módulo obtiene la validación FIPS, ha superado con éxito rigurosas pruebas y procesos de verificación para garantizar que cumple los requisitos federales de seguridad. Esta validación es crucial porque, sin ella, el gobierno estadounidense considera que los datos cifrados con módulos no validados están efectivamente desprotegidos.

1. Validación a nivel de módulo
   • os módulos criptográficos individuales deben validarse
   • La validación se aplica a versiones específicas de los módulos
   • Los cambios en el módulo pueden requerir una revalidación
2. Proceso de validación
   • Los módulos deben ser probados por laboratorios autorizados
   • El proceso puede llevar mucho tiempo
   • Las actualizaciones de los módulos pueden requerir una nueva validación
3. Actualizaciones de seguridad
   • Es posible que se necesiten parches de seguridad críticos antes de completar la revalidación
   • Las organizaciones necesitan una estrategia para gestionar este equilibrio
   • La documentación de cualquier desviación es crucial

Mantener tanto la validación FIPS como una postura de seguridad sólida presenta retos únicos. Una de las cuestiones más críticas es cómo las organizaciones gestionan las actualizaciones de seguridad de los módulos criptográficos al tiempo que garantizan el cumplimiento continuo. Cuando se descubren vulnerabilidades en paquetes Linux que contienen módulos criptográficos validados por FIPS, los administradores de sistemas se enfrentan a una decisión crítica:

1. Seguir utilizando la versión validada pero vulnerable
2. Actualizar a una versión más nueva y segura que puede perder temporalmente la validación FIPS.

Este reto es especialmente grave en entornos Linux, donde las actualizaciones periódicas de seguridad son cruciales para mantener la seguridad del sistema, pero la actualización de los módulos criptográficos puede afectar a su estado de validación.

AlmaLinix Enterprise Support de TuxCare ayuda a las organizaciones a mantener tanto su postura de seguridad como su estado de cumplimiento, proporcionando módulos criptográficos validados para AlmaLinux al tiempo que garantiza actualizaciones de seguridad oportunas.

Los módulos criptográficos afectados en AlmaLinux son Kernel Crypto API, OpenSSL, NSS, libgcrypt y GnuTLS. Puede comprobar el estado del proceso de validación de estos módulos en la página de FIPS para AlmaLinux, que contiene el estado de validación y enlaces a la información del certificado en línea.

Dado que el proceso de certificación es muy largo, los auditores pueden verificar el cumplimiento consultando las listas CMVP del NIST enlazadas en esa página.

Actualmente, TuxCare ofrece módulos AlmaLinux 9.2 validados por FIPS, por lo que aparece en la lista "Módulos en proceso" (MIP) del NIST, con openssl y el kernel ya en la lista Activa.

TuxCare también está en proceso de obtener un estatus similar para los módulos de AlmaLinux 9.6, y esto se puede ver en la lista NIST de "Implementación bajo prueba" (IUT).

Para las organizaciones que buscan navegar por estos complejos requisitos, el servicio AlmaLinux Enterprise Support de TuxCare ofrece una solución integral. A través de nuestro servicio de actualizaciones de seguridad extendida (ESU), proporcionamos:

Paquetes criptográficos validados por FIPS para AlmaLinux

• Actualizaciones periódicas de seguridad que mantienen el equilibrio entre el estado de validación y la seguridad.
• Asistencia ampliada para ayudar a las organizaciones a gestionar sus requisitos de cumplimiento de la normativa
• Orientación experta para mantener la validación FIPS y la seguridad de los sistemas

Actualmente también estamos estudiando la posibilidad de proporcionar en breve parches activos de openssl y del kernel para FIPS/ESU.

Mientras que la validación FIPS se centra específicamente en los módulos criptográficos, el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) adopta un enfoque más amplio de la seguridad. FedRAMP proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube utilizados por las agencias federales. Un punto crítico que a menudo se pasa por alto es que la validación FIPS es un componente obligatorio del cumplimiento de FedRAMP, no una mejora opcional.

Para los proveedores de servicios en la nube y las organizaciones que trabajan con agencias federales, esto crea un claro imperativo: La validación FIPS no es sólo una característica de seguridad "agradable de tener", sino un requisito fundamental para la autorización FedRAMP. Sin módulos criptográficos validados por FIPS, un sistema no puede obtener la autorización FedRAMP, lo que puede limitar su capacidad para prestar servicios a clientes federales.

Los recientes cambios en el ecosistema Linux han afectado significativamente a las estrategias de validación FIPS. A partir de marzo de 2021, los usuarios de CentOS ya no podrán confiar en el estado de validación FIPS de RHEL, tras el cambio de CentOS en las políticas de soporte y el anuncio del fin de su vida útil, reconocido formalmente por FedRAMP. Esto significa que CentOS ya no cumple los requisitos federales de conformidad, lo que obliga a las organizaciones a buscar alternativas validadas actualmente.

Del mismo modo, las certificaciones FIPS de RHEL 7 se están moviendo gradualmente a la lista histórica, lo que indica que ya no se mantienen activamente. Los módulos clave, incluidos el núcleo de RHEL 7 y NSS, aún cuentan con la validación FIPS 140-2, pero estas certificaciones caducarán pronto, lo que obliga a las organizaciones a planificar su transición.

Para mantener la conformidad, las organizaciones que utilicen CentOS o confíen en la validación FIPS de RHEL 7 deben evaluar alternativas que cuenten actualmente con la validación FIPS y proporcionen estabilidad a largo plazo con actualizaciones de seguridad continuas.

A medida que los requisitos de cumplimiento evolucionan y los sistemas previamente validados llegan al final de su vida útil, las organizaciones deben adoptar estrategias proactivas para mantener tanto la seguridad como la alineación normativa. Aquí es donde el Soporte Empresarial de TuxCare para AlmaLinux se convierte en esencial.

Nuestro enfoque garantiza el acceso a módulos validados por FIPS, respalda el cumplimiento a largo plazo en un panorama de seguridad en evolución y ayuda a cumplir los requisitos de FedRAMP mediante la aplicación de controles de seguridad NIST 800-53, lo que normalmente se consigue mediante el endurecimiento CIS/STIG. El servicio proporciona:

• Módulos validados por FIPS para AlmaLinux con actualizaciones de seguridad conformes a FIPS y revalidación continua de CVE relevantes para la seguridad FIPS.
• Una vía de transición sin fisuras desde los sistemas al final de su vida útil o validados históricamente.
• Asistencia continua en materia de conformidad para ayudar a las organizaciones a cumplir los cambiantes requisitos de seguridad, incluido el refuerzo de CIS/STIG.

Las organizaciones que buscan un entorno estable y conforme a las normas deben tener en cuenta que confiar simplemente en las validaciones históricas o en las distribuciones al final de su vida útil ya no es una estrategia viable. La combinación de los requisitos de FedRAMP y la evolución de los estados de validación de FIPS exige un enfoque más proactivo de la gestión de la conformidad.