FIPS 검증 및 FedRAMP 규정 준수

연방 정보 처리 표준(FIPS) 140은 미국 국립표준기술연구소(NIST)에서 개발한 보안 표준입니다. 특히 하드웨어와 소프트웨어 구성 요소 모두에 사용되는 암호화 모듈에 대한 요구 사항에 중점을 두고 있습니다. 흔히 오해하는 것은 전체 시스템 또는 배포판이 "FIPS를 준수"할 수 있다는 것입니다. 실제로는 개별 암호화 모듈만 NIST의 암호화 모듈 검증 프로그램(CMVP)을 통해 FIPS 검증을 받을 수 있습니다.

Linux 배포의 경우, 이는 특정 암호화 라이브러리와 모듈을 개별적으로 검증해야 함을 의미합니다. 모듈이 FIPS 검증을 통과하면 엄격한 테스트 및 검증 프로세스를 성공적으로 통과하여 연방 보안 요건을 충족한다는 것을 의미합니다. 이 검증이 없으면 미국 정부는 검증되지 않은 모듈로 암호화된 데이터를 사실상 보호되지 않는 것으로 간주하기 때문에 이 검증은 매우 중요합니다.

1. 모듈 수준 유효성 검사
   • 개별 암호화 모듈의 유효성을 검사해야 합니다.
   • 유효성 검사는 특정 버전의 모듈에 적용됩니다.
   • 모듈을 변경하면 재검증이 필요할 수 있습니다.
2. 유효성 검사 프로세스
   • 모듈은 승인된 실험실에서 테스트해야 합니다.
   • 이 과정에는 상당한 시간이 소요될 수 있습니다.
   • 모듈을 업데이트하려면 새로운 유효성 검사가 필요할 수 있습니다.
3. 보안 업데이트
   • 재검증이 완료되기 전에 중요한 보안 패치가 필요할 수 있습니다.
   • 조직은 이러한 균형을 관리하기 위한 전략이 필요합니다.
   • 편차를 문서화하는 것이 중요합니다.

FIPS 검증과 강력한 보안 태세를 모두 유지하는 데는 고유한 어려움이 있습니다. 가장 중요한 문제 중 하나는 조직이 지속적인 규정 준수를 보장하면서 암호화 모듈에 대한 보안 업데이트를 처리하는 방법입니다. FIPS 검증을 받은 암호화 모듈이 포함된 Linux 패키지에서 취약점이 발견되면 시스템 관리자는 중요한 결정을 내려야 합니다:

1. 검증되었지만 취약한 버전을 계속 사용하세요.
2. 일시적으로 FIPS 유효성 검사를 잃을 수 있는 더 안전한 최신 버전으로 업데이트하기

이 문제는 시스템 보안을 유지하기 위해 정기적인 보안 업데이트가 중요하지만 암호화 모듈을 업데이트하면 유효성 검사 상태에 영향을 미칠 수 있는 Linux 환경에서 특히 심각합니다.

TuxCare의 AlmaLinix 엔터프라이즈 지원은 적시에 보안 업데이트를 제공하는 동시에 AlmaLinux용 검증된 암호화 모듈을 제공하여 조직이 보안 태세와 규정 준수 상태를 모두 유지할 수 있도록 지원합니다.

알마리눅스에서 영향을 받는 암호화 모듈은 커널 암호화 API, OpenSSL, NSS, libgcrypt 및 GnuTLS입니다. 이러한 모듈의 유효성 검사 프로세스 상태는 유효성 검사 상태 및 온라인 인증서 정보에 대한 링크가 포함된 AlmaLinux용 FIPS 페이지에서 확인할 수 있습니다.

인증 절차가 매우 길기 때문에 감사자는 해당 페이지에 링크된 NIST CMVP 목록을 확인하여 규정 준수 여부를 확인할 수 있습니다.

현재 TuxCare는 AlmaLinux 9.2 FIPS 검증 모듈을 제공하므로 "진행 중인 모듈"(MIP) NIST 목록에 나열되어 있으며, openssl 및 커널은 이미 활성 목록에 있습니다.

TuxCare는 AlmaLinux 9.6 모듈에 대해서도 유사한 지위를 획득하는 중이며, 이는 '테스트 중인 구현(IUT)' NIST 목록에서 확인할 수 있습니다.

이러한 복잡한 요구 사항을 해결하고자 하는 조직을 위해 TuxCare의 AlmaLinux 기업 지원 서비스는 포괄적인 솔루션을 제공합니다. ESU(확장 보안 업데이트) 서비스를 통해 다음과 같은 서비스를 제공합니다:

알마리눅스용 FIPS 인증 암호화 패키지

• 유효성 검사 상태와 보안 간의 균형을 유지하는 정기적인 보안 업데이트
• 조직이 규정 준수 요구 사항을 관리하는 데 도움이 되는 확장 지원
• 시스템 보안을 유지하면서 FIPS 유효성 검사를 유지하기 위한 전문가 지침

현재 FIPS/ESU를 위한 openssl 및 커널 라이브 패치도 곧 제공할 예정입니다.

FIPS 검증은 특히 암호화 모듈에 중점을 두는 반면, 연방 위험 및 권한 관리 프로그램(FedRAMP)은 보안에 대한 보다 광범위한 접근 방식을 취합니다. FedRAMP는 연방 기관에서 사용하는 클라우드 제품 및 서비스에 대한 보안 평가, 승인 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공합니다. 종종 간과하는 중요한 점은 FIPS 검증은 FedRAMP 규정 준수의 필수 구성 요소이며 선택적 강화가 아니라는 점입니다.

연방 기관과 협력하는 클라우드 서비스 제공업체 및 조직의 경우, 이는 분명한 필수 사항입니다: FIPS 검증은 단순히 '있으면 좋은' 보안 기능이 아니라 FedRAMP 인증을 위한 기본 요건입니다. FIPS 검증을 거친 암호화 모듈이 없는 시스템은 FedRAMP 인증을 받을 수 없으므로 연방 정부 고객에게 서비스를 제공할 수 있는 능력이 제한될 수 있습니다.

최근 Linux 에코시스템의 변화는 FIPS 유효성 검사 전략에 큰 영향을 미쳤습니다. 2021년 3월부터 CentOS의 지원 정책 변경 및 수명 종료 발표( FedRAMP에서 공식적으로 인정)에 따라 CentOS 사용자는 더 이상 RHEL의 FIPS 검증 상태를 신뢰할 수 없게 되었습니다. 이는 CentOS가 더 이상 연방 규정 준수 요구 사항을 충족하지 않으므로 조직이 현재 검증된 대안을 찾아야 함을 의미합니다.

마찬가지로 RHEL 7의 FIPS 인증도 점차 기록 목록으로 이동하고 있으며, 이는 더 이상 적극적으로 유지 관리되지 않음을 의미합니다. RHEL 7 커널 및 NSS를 비롯한 주요 모듈은 여전히 FIPS 140-2 인증을 보유하고 있지만 이러한 인증은 곧 만료될 예정이므로 조직은 전환 계획을 세워야 합니다.

규정 준수를 유지하려면 CentOS를 사용하거나 RHEL 7의 FIPS 검증에 의존하는 조직은 현재 FIPS 검증을 보유하고 있으며 지속적인 보안 업데이트를 통해 장기적인 안정성을 제공하는 대안을 평가해야 합니다.

규정 준수 요구 사항이 진화하고 이전에 검증된 시스템의 수명이 다함에 따라 조직은 보안과 규정 준수를 모두 유지하기 위한 사전 예방적 전략을 채택해야 합니다. 바로 이 점에서 TuxCare의 AlmaLinux용 엔터프라이즈 유지보수가 필수적입니다.

당사의 접근 방식은 FIPS 검증 모듈에 대한 액세스를 보장하고, 진화하는 보안 환경에서 장기적인 규정 준수를 지원하며, 일반적으로 CIS/STIG 강화를 통해 달성되는 NIST 800-53 보안 제어를 구현하여 FedRAMP 요구 사항을 충족하도록 돕습니다. 이 서비스는 다음을 제공합니다:

• FIPS 호환 보안 업데이트 및 FIPS 보안 관련 CVE에 대한 지속적인 재검증을 통해 AlmaLinux용 FIPS 검증 모듈을 제공합니다.
• 수명이 다했거나 역사적으로 검증된 시스템으로부터의 원활한 전환 경로
• 지속적인 규정 준수 지원을 통해 조직이 CIS/STIG 강화 등 진화하는 보안 요구 사항을 탐색할 수 있도록 지원합니다.

안정적이고 규정을 준수하는 환경을 원하는 조직은 단순히 과거 유효성 검사나 수명이 다한 배포에 의존하는 것이 더 이상 실행 가능한 전략이 아니라는 점을 고려해야 합니다. FedRAMP 요구 사항과 진화하는 FIPS 검증 상태의 조합은 규정 준수 관리에 대한 보다 사전 예방적인 접근 방식을 요구합니다.