Les dilemmes de la conformité à la norme FIPS 140-3
FIPS 140-3 est une norme publiée par le National Institute of Standards and Technology (NIST) qui vise à fournir une méthode cohérente et sécurisée pour le traitement des informations sensibles à l'aide d'un processus de certification rigoureux. La conformité à cette norme est obligatoire pour certaines organisations aux États-Unis et au Canada, mais de nombreuses organisations choisissent encore de l'adopter comme meilleure pratique, même si elle n'est pas spécifiquement requise pour elles.
Cependant, se conformer à la norme FIPS 140-3 peut s'avérer complexe et chronophage. Le processus de certification pour faire valider un système d'exploitation est rigoureux et prend beaucoup de temps.
Lorsqu'une organisation met à jour son système d'exploitation validé FIPS pour corriger une vulnérabilité, ce système n'est plus validé et doit à nouveau être soumis au processus de certification. Ce dilemme peut conduire les entreprises à retarder l'application des correctifs, ce qui les oblige à choisir entre conserver des systèmes certifiés FIPS, tout en mettant en péril leur sécurité, ou protéger ces systèmes contre les dernières vulnérabilités en dépit de l'annulation de leur certification FIPS.
Mais les organisations doivent-elles choisir entre la certification et la sécurité ? En fait, pour la majorité des organisations, ce n'est pas le cas. Ce billet de blog approfondira ces questions et explorera les alternatives disponibles pour les organisations, telles que les Extended Security Updates (ESU), un service de support conçu spécifiquement pour AlmaLinux qui fournit une sécurité et une conformité continues.
Qu'est-ce que la norme FIPS 140-3 ?
La norme FIPS 140-3 spécifie les exigences de sécurité pour les modules cryptographiques utilisés dans le matériel et les logiciels. Dans le contexte d'un système d'exploitation comme AlmaLinux, les modules cryptographiques sont les parties spécifiques des paquets et des bibliothèques du système, y compris le noyau, OpenSSL, GnuTLS, NSS et Libgcrypt, qui contiennent l'implémentation d'un ou plusieurs algorithmes cryptographiques et des mesures de sécurité utilisées pour protéger les informations sensibles. Un module cryptographique certifié conforme aux exigences de la norme FIPS 140-3 est considéré comme une solution sûre et fiable pour la protection de ces informations.
En d'autres termes, lorsqu'un logiciel ou un matériel est certifié FIPS 140-3, il répond aux exigences de base en matière d'efficacité cryptographique et peut être considéré comme fiable.
Indispensable ou agréable à avoir ?
La conformité à cette norme est obligatoire pour les agences gouvernementales fédérales du Canada et des États-Unis, les entrepreneurs gouvernementaux et les entreprises qui fournissent des services au gouvernement fédéral américain. Pour les autres organisations, la conformité à la norme FIPS 140-3 est une meilleure pratique, car elle peut les aider à protéger les données et les actifs sensibles ainsi qu'à accroître la confiance de leurs clients et des autres parties prenantes dans la sécurité de leurs produits et services.
Externalisation ou bricolage
Les organisations qui ont besoin de déploiements certifiés FIPS ou celles qui opèrent sous des régimes de conformité avec des exigences similaires (par exemple, PCI DSS, HIPAA) peuvent choisir de certifier elles-mêmes leurs applications ou de les construire en utilisant des composants déjà certifiés. La première solution implique des investissements importants, une expertise cryptographique et du temps, puisqu'elle implique une validation par un laboratoire tiers accrédité par le NIST. Plus l'application est complexe, plus l'effort à fournir est important.
Certifié ou sécurisé ?
Les systèmes d'exploitation qui comprennent des modules cryptographiques et traitent des informations sensibles doivent être certifiés FIPS 140-3. Bien que les modules cryptographiques ne soient que de petits composants de certains paquets et bibliothèques du système, comme Kernel Crypto API, ces composants doivent être certifiés en tant que parties intégrantes. Cela signifie que, pour maintenir la certification FIPS, de nombreuses mises à jour de ces paquets et bibliothèques exigent qu'ils soient à nouveau certifiés.
Compte tenu du temps et des efforts nécessaires au renouvellement de la certification, les organisations sont souvent contraintes de s'en tenir à la version actuelle de leur système d'exploitation, choisissant essentiellement de rester certifiées FIPS plutôt que de se protéger rapidement contre les dernières vulnérabilités. Dans le même temps, ce retard dans la mise en œuvre des mises à jour de sécurité critiques rend les organisations vulnérables aux cyberattaques, ce qui constitue un problème de sécurité important.
Certaines organisations et agences relèvent ce défi en évaluant soigneusement leurs stratégies de gestion des risques et en pesant les risques potentiels et les coûts associés à la conformité à la norme FIPS. Ils peuvent envisager de mettre en œuvre d'autres mesures de sécurité, telles que la segmentation du réseau, pour atténuer l'impact des vulnérabilités du système d'exploitation. Mais il existe une meilleure solution.
Les compromis ne sont pas nécessaires
Tout d'abord, la certification FIPS 140-3 est un processus très long et, au moment où le certificat est reçu, les paquets et les bibliothèques contenant les modules cryptographiques certifiés seront périmés. Il leur manquera des correctifs de sécurité pour les vulnérabilités identifiées depuis le début du processus de certification FIPS 140-3. S'ils ne sont pas mis à jour, la valeur de la base de sécurité établie par la certification FIPS peut être compromise.
Deuxièmement, la plupart des mises à jour de sécurité importantes et critiques n'affectent pas la cryptographie validée (et dans les termes du NIST, "affectant la cryptographie" est limité au code FIPS). Si nous prenons comme exemple les 4 dernières années du cycle de vie d'AlmaLinux 8, nous verrons que toutes les CVE importantes se trouvaient dans du code non cryptographique (analyse des certificats/ASN.1, contournement des contrôles de sécurité, traitement des paquets TLS). Même la vulnérabilité OpenSSL la plus médiatisée et la plus critique, à savoir Heartbleed - n'a rien à voir avec la cryptographie. Cela signifie que la plupart des corrections de vulnérabilités dans les paquets et bibliothèques certifiés FIPS n'affectent même pas les modules validés ou la cryptographie qu'ils fournissent. En d'autres termes, les paquets et les bibliothèques mis à jour restent entièrement conformes aux normes FIPS.
La conformité à la norme FIPS devrait suffire à la majorité des organisations. Elles peuvent faire fonctionner leurs systèmes avec une cryptographie validée et, en même temps, bénéficier des derniers correctifs de sécurité. Il existe des cas d'utilisation très spécifiques qui nécessitent des implémentations strictes certifiées FIPS qui sont statiques et ne sont jamais corrigées, comme les agences militaires ou de renseignement. Toutefois, en cas de correction d'une vulnérabilité cryptographique, les organisations qui ont choisi d'appliquer des correctifs de sécurité à leurs systèmes certifiés FIPS devront toujours trouver un moyen de recertifier rapidement leur système d'exploitation.
Si vous êtes à la recherche d'une distribution Linux d'entreprise pour vous conformer aux normes des gouvernements américain et canadien ou si vous travaillez dans des environnements hautement réglementés, vous devez penser à une solution qui vous offre une sécurité continue et qui, en même temps, vous permet de respecter les normes requises en matière de protection des données.
S'il existe une distribution qui fournit des composants validés FIPS, des mises à jour de sécurité pour les CVE non cryptographiques et une recertification rapide en cas de vulnérabilité cryptographique, c'est qu'elle est parfaite. Extended Security Updates (ESU), un service de support conçu spécifiquement pour AlmaLinux, fait exactement cela. Il vous fournit non seulement des correctifs de sécurité qui ne touchent pas à la cryptographie validée et assure la recertification FIPS 140-3 lorsque cela est nécessaire, mais il peut également être amélioré avec des correctifs en direct, ce qui vous permet de corriger vos systèmes certifiés FIPS tout en maintenant leur disponibilité à 100 %.
Mises à jour de sécurité étendues (ESU) pour AlmaLinux
Si vous connaissez le cycle de vie d'AlmaLinux, une nouvelle version mineure est publiée tous les six mois, apportant de nouvelles fonctionnalités jusqu'à la cinquième année. Cependant, une version certifiée FIPS doit être stable et introduire le moins de mises à jour possible pour conserver sa certification. La version d'AlmaLinux actuellement certifiée FIPS est la 9.2. Avec les Extended Security Updates de TuxCare, vous pouvez rester sur la version mineure validée et continuer à fonctionner en toute sécurité sur le code validé avec des correctifs de sécurité conformes au FIPS jusqu'à l'expiration du certificat.
Le service fournit une combinaison de mises à jour de sécurité importantes et critiques sous la forme de mises à jour de paquets qui sont conçues pour garantir que vous utilisez une cryptographie conforme à la norme FIPS. Ces mises à jour ne sont jamais regroupées avec des mises à jour de fonctionnalités et fournissent des correctifs pour les vulnérabilités non cryptographiques afin d'apporter de la stabilité tout en permettant aux clients de recevoir la grande majorité des mises à jour de sécurité. De plus, si vous y ajoutez le live patching, vos systèmes AlmaLinux certifiés peuvent être corrigés sans nécessiter de redémarrage ou de fenêtres de maintenance liés aux correctifs.
En même temps, s'il y a une vulnérabilité cryptographique, nous la corrigeons en livrant un nouveau noyau emballé. Les clients peuvent redémarrer et installer ce noyau pour mettre à jour leurs systèmes. Nous avons l'intention de faire passer chaque nouveau noyau qui modifie la cryptographie par le processus de recertification conçu pour les correctifs CVE, qui est beaucoup plus rapide. Cela garantit que les nouveaux noyaux qui contiennent une correction de vulnérabilité sur leur cryptographie seront certifiés conformes aux exigences de la norme FIPS 140-3.
Pour en savoir plus sur les avantages des mises à jour de sécurité étendues, consultez notre page produit.