Validation FIPS et conformité FedRAMP

Le Federal Information Processing Standard (FIPS) 140 est une norme de sécurité élaborée par le National Institute of Standards and Technology (NIST). Elle se concentre spécifiquement sur les exigences relatives aux modules cryptographiques utilisés dans les composants matériels et logiciels. On croit souvent à tort que des systèmes ou des distributions entiers peuvent être "conformes à la norme FIPS". En réalité, seuls les modules cryptographiques individuels peuvent recevoir la validation FIPS par le biais du programme de validation des modules cryptographiques (CMVP) du NIST.

Pour les distributions Linux, cela signifie que des bibliothèques et des modules cryptographiques spécifiques doivent être validés individuellement. Lorsqu'un module obtient la validation FIPS, il a passé avec succès des tests rigoureux et des processus de vérification pour s'assurer qu'il répond aux exigences fédérales en matière de sécurité. Cette validation est cruciale car, sans elle, le gouvernement américain considère que les données cryptées avec des modules non validés ne sont pas protégées.

1. Validation au niveau du module
   • es modules cryptographiques individuels doivent être validés
   • La validation s'applique à des versions spécifiques des modules
   • Les modifications apportées au module peuvent nécessiter une revalidation
2. Processus de validation
   • Les modules doivent être testés par des laboratoires agréés
   • Le processus peut prendre beaucoup de temps
   • Les mises à jour des modules peuvent nécessiter une nouvelle validation
3. Mises à jour de la sécurité
   • Des correctifs de sécurité critiques peuvent être nécessaires avant que la revalidation ne soit terminée.
   • Les organisations ont besoin d'une stratégie pour gérer cet équilibre
   • La documentation de tout écart est cruciale

Le maintien de la validation FIPS et d'une posture de sécurité solide présente des défis uniques. L'un des problèmes les plus critiques est la manière dont les organisations gèrent les mises à jour de sécurité des modules cryptographiques tout en garantissant le maintien de la conformité. Lorsque des vulnérabilités sont découvertes dans des paquets Linux contenant des modules cryptographiques validés par le FIPS, les administrateurs système sont confrontés à une décision critique :

1. Continuer à utiliser la version validée mais vulnérable
2. Mise à jour vers une version plus récente et plus sûre qui peut perdre temporairement la validation FIPS

Ce problème est particulièrement aigu dans les environnements Linux où des mises à jour régulières sont essentielles pour maintenir la sécurité du système, mais où la mise à jour des modules cryptographiques peut affecter leur statut de validation.

AlmaLinix Enterprise Support de TuxCare aide les organisations à maintenir leur position de sécurité et leur statut de conformité en fournissant des modules cryptographiques validés pour AlmaLinux tout en assurant des mises à jour de sécurité opportunes.

Les modules cryptographiques concernés dans AlmaLinux sont Kernel Crypto API, OpenSSL, NSS, libgcrypt et GnuTLS. Vous pouvez vérifier l'état du processus de validation de ces modules sur la page FIPS pour AlmaLinux, qui contient l'état de la validation et des liens vers les informations relatives aux certificats en ligne.

Le processus de certification étant très long, les auditeurs peuvent vérifier la conformité en consultant les listes CMVP du NIST dont le lien figure sur cette page.

Actuellement, TuxCare propose des modules AlmaLinux 9.2 validés par le FIPS, et figure donc sur la liste "Modules In Process" (MIP) du NIST, avec openssl et le noyau qui figurent déjà sur la liste Active.

TuxCare est également en train d'obtenir un statut similaire pour les modules d'AlmaLinux 9.6, ce qui est visible dans la liste NIST "Implementation Under Test" (IUT).

Pour les organisations qui cherchent à naviguer dans ces exigences complexes, le service AlmaLinux Enterprise Support de TuxCare offre une solution complète. Grâce à notre service Extended Security Updates (ESU), nous fournissons :

Paquets cryptographiques validés par la FIPS pour AlmaLinux

• Mises à jour régulières de la sécurité qui maintiennent l'équilibre entre le statut de validation et la sécurité
• Support étendu pour aider les organisations à gérer leurs exigences en matière de conformité
• Conseils d'experts sur le maintien de la validation FIPS tout en assurant la sécurité des systèmes

Nous envisageons également de fournir prochainement des correctifs openssl et kernel pour FIPS/ESU.

Alors que la validation FIPS se concentre spécifiquement sur les modules cryptographiques, le Federal Risk and Authorization Management Program (FedRAMP) adopte une approche plus large de la sécurité. FedRAMP fournit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services en nuage utilisés par les agences fédérales. Un point critique souvent négligé est que la validation FIPS est un composant obligatoire de la conformité FedRAMP - et non une amélioration optionnelle.

Pour les fournisseurs de services en nuage et les organisations travaillant avec des agences fédérales, cela crée un impératif clair : La validation FIPS n'est pas seulement une fonctionnalité de sécurité "agréable à avoir", mais une exigence fondamentale pour l'autorisation FedRAMP. Sans modules cryptographiques validés par le FIPS, un système ne peut pas obtenir l'autorisation FedRAMP, ce qui limite potentiellement sa capacité à servir les clients fédéraux.

De récents changements dans l'écosystème Linux ont eu un impact significatif sur les stratégies de validation FIPS. À partir de mars 2021, les utilisateurs de CentOS ne pourront plus compter sur le statut de validation FIPS de RHEL, suite au changement de politique de support de CentOS et à l'annonce de sa fin de vie - officiellement reconnue par FedRAMP. Cela signifie que CentOS ne répond plus aux exigences de conformité fédérales, ce qui oblige les organisations à rechercher des alternatives actuellement validées.

De même, les certifications FIPS de RHEL 7 sont progressivement déplacées vers la liste historique, ce qui indique qu'elles ne sont plus activement maintenues. Des modules clés, notamment le noyau RHEL 7 et NSS, sont toujours validés FIPS 140-2, mais ces certifications vont bientôt expirer, ce qui oblige les entreprises à planifier leur transition.

Pour rester en conformité, les organisations qui utilisent CentOS ou qui s'appuient sur la validation FIPS de RHEL 7 doivent évaluer les alternatives qui détiennent actuellement la validation FIPS et qui offrent une stabilité à long terme avec des mises à jour de sécurité permanentes.

Alors que les exigences de conformité évoluent et que les systèmes précédemment validés atteignent leur fin de vie, les organisations doivent adopter des stratégies proactives pour maintenir à la fois la sécurité et l'alignement réglementaire. C'est là que le support d'entreprise de TuxCare pour AlmaLinux devient essentiel.

Notre approche garantit l'accès à des modules validés par FIPS, soutient la conformité à long terme dans un paysage de sécurité en évolution, et aide à répondre aux exigences de FedRAMP en mettant en œuvre les contrôles de sécurité NIST 800-53 - généralement réalisés par CIS/STIG hardening. Le service fournit :

• Modules validés FIPS pour AlmaLinux avec des mises à jour de sécurité conformes aux normes FIPS et une revalidation continue des CVE pertinentes pour la sécurité FIPS.
• Une voie de transition transparente à partir de systèmes en fin de vie ou validés historiquement
• Soutien continu à la conformité pour aider les organisations à s'adapter à l'évolution des exigences en matière de sécurité, y compris le renforcement CIS/STIG.

Les organisations à la recherche d'un environnement stable et conforme doivent considérer qu'il n'est plus viable de se contenter des validations historiques ou des distributions en fin de vie. La combinaison des exigences FedRAMP et de l'évolution des statuts de validation FIPS exige une approche plus proactive de la gestion de la conformité.