Préparation à la conformité FIPS pour les clients fédéraux

Les clients opérant dans des secteurs réglementés tels que le gouvernement, la défense et les contrats fédéraux peuvent avoir besoin de composants cryptographiques conformes aux normes FIPS 140-2 ou FIPS 140-3. Ce document décrit l’alignement actuel d’Aryaka sur les exigences FIPS et l’utilisation de protocoles cryptographiques sécurisés.

FIPS 140 est une norme du gouvernement américain qui définit la manière dont les modules cryptographiques doivent être conçus, mis en œuvre et testés pour une utilisation fédérale.

• La norme FIPS 140-2 est largement adoptée et toujours reconnue pour la conformité.
• FIPS 140-3 est la version mise à jour et remplace progressivement 140-2, en ajoutant une validation plus stricte.

Utilisation du module cryptographique

Les services de sécurité d’Aryaka mettent en œuvre des pratiques de chiffrement solides alignées sur les directives FIPS en limitant les suites de chiffrement et les algorithmes à ceux approuvés par les normes FIPS. Cette approche garantit des contrôles cryptographiques solides lorsque la conformité réglementaire est requise.

Utilisation du chiffrement TLS par fonction :

• Inspection SSL :

• Optimisation SSL :

Note : Les algorithmes de chiffrement non approuvés par le FIPS peuvent être restreints afin de maintenir l’alignement sur les exigences du FIPS.

TLS et normes de cryptage

• Versions TLS prises en charge : TLS 1.2 et TLS 1.3
• Algorithmes de cryptage : AES-256 GCM, famille SHA-2 (par exemple, SHA-256)
• Protection des données : AES-256 pour les données au repos et en transit
• Normes de sécurité : SOC 2, ISO 27001, GDPR et autres normes internationales

Recommandations de déploiement alignées sur les normes FIPS

Les clients des secteurs réglementés peuvent mettre en place une configuration conforme aux normes FIPS :

• Utilisation de TLS 1.2 ou supérieur avec des suites de chiffrement approuvées par la FIPS
• Intégration avec les systèmes d’enregistrement des audits et les systèmes SIEM pour une meilleure visibilité de la conformité

Statut de la certification

Aryaka n’est pas actuellement certifié FIPS 140-2 ou 140-3 pour l’ensemble de ses produits. Cependant, Aryaka n’est pas certifiée FIPS 140-2 ou 140-3 :

• Nous utilisons des modules cryptographiques validés par la FIPS.
• Nous opérons dans une position alignée sur les normes FIPS, en limitant les algorithmes et l’utilisation du chiffrement pour correspondre aux normes FIPS.
• Une certification officielle est en cours d’évaluation, en raison de la demande accrue des secteurs fédéral et de la défense.

Aryaka est-elle certifiée FIPS 140-2 ?

Pas pour l’instant. Bien que nous ne soyons pas certifiés en tant que produit complet, nous utilisons des modules cryptographiques validés par la FIPS et suivons des pratiques alignées sur la FIPS dans notre pipeline de cryptage.

Puis-je déployer votre solution dans le respect des normes FIPS ?

Oui, vous pouvez déployer notre solution dans un mode aligné FIPS qui applique la cryptographie approuvée par FIPS. Veuillez contacter notre équipe d’assistance pour obtenir des conseils sur les configurations appropriées.

La norme FIPS 140-3 est-elle prise en charge ?

La norme FIPS 140-3 succède à la norme 140-2. Bien que notre feuille de route prévoie l’alignement sur cette nouvelle norme, nous nous concentrons actuellement sur les besoins des clients en matière de compatibilité avec la norme 140-2.