FIPS 140-2 Validated Systemのユーザーに課される要件
お客様の要件ごとに、FIPS 140-2検証済みのネットワークスイッチで実際に動作しているFIPSモードで動作しています。これにより、デバイスの暗号化操作が保証されます実行は承認されたアルゴリズムで行われます。
FIPS 140-2は、暗号モジュールに非常に厳しい要件を課し、その暗号モジュールに非常に厳しいテストプロセスを課します。
私にとって不明確なのは、これらの承認されたアルゴリズムが実際にsedでなければならない場合です。
たとえば、デバイスにTelnet接続できません。 SSHを使用する必要があります。これは完全に理にかなっています。
同様に、HTTPを使用してデバイスのWebインターフェイスにアクセスすることも禁止されています。 HTTPSを使用する必要があります。繰り返しますが、これは完全に理にかなっています。
スイッチにログインするときにリモート認証を実行する方法には制限があります。などなど...
一方、デバイスでsyslogを構成すると、コレクター/リレーに送信するトラフィックに認証と暗号化が強制されません。
SNMPでも同様です。私に必要なのは、SET操作を無効にすることだけです。認証や暗号化なしで、デバイスから読み取るか、必要なすべてのトラップを受信できます。私はSNMPv3(認証と暗号化を利用可能にする)を使用する必要さえありません。プレーンテキストの「パブリック」コミュニティストリングでSNMPv1を使用した読み取りを許可することは完全に満足です。
FIPS 140-2検証済みデバイスをFIPS準拠の方法で操作したい場合、どのような場合に必要なのかを知るにはseデバイスが作成する承認済み暗号アルゴリズム利用できる?
すべてのFIPS 140-2デバイスには、FIPS 140プログラムWebサイト(CMVP-- http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm )一部のセキュリティポリシーは他のセキュリティポリシーよりもはるかに優れていますが、最小要件がありますモジュールをFIPS承認された操作モードに入れる方法と、この操作モードで利用可能な暗号化サービスについて説明する必要があるこれらのドキュメント。
FIPS検証済みでFIPSが有効なネットワークスイッチを使用して何かを回避できる場合(syslogトラフィックを保護しない、元の投稿の例を参照するなど)、私はする必要がないと思いますFIPS準拠の方法で動作するための何か。
意見の相違はありますか?