연방 고객을 위한 FIPS 규정 준수 준비 상태

정부, 국방, 연방 계약과 같은 규제 대상 산업에서 활동하는 고객은 FIPS 140-2 또는 FIPS 140-3 표준을 준수하는 암호화 구성 요소가 필요할 수 있습니다. 이 문서에서는 현재 아리아카의 FIPS 요건 준수 현황과 보안 암호화 프로토콜 사용에 대해 간략하게 설명합니다.

FIPS 140은 연방 정부에서 사용하기 위해 암호화 모듈을 설계, 구현 및 테스트하는 방법을 정의하는 미국 정부 표준입니다.

• FIPS 140-2는 널리 채택되고 있으며 여전히 규정 준수에 대한 인정을 받고 있습니다.
• FIPS 140-3은 업데이트된 버전으로 140-2를 점진적으로 대체하며 더욱 엄격한 유효성 검사를 추가합니다.

암호화 모듈 사용

아리아카 보안 서비스는 암호 제품군과 알고리즘을 FIPS 표준에 따라 승인된 것으로 제한하여 FIPS 가이드라인에 부합하는 강력한 암호화 관행을 시행합니다. 이러한 접근 방식은 규정 준수가 필요한 곳에서 강력한 암호화 제어를 보장합니다.

기능별 TLS 암호 사용량:

• SSL 검사:

• SSL 최적화:

참고: FIPS 요건을 준수하기 위해 FIPS에서 승인하지 않은 암호는 제한될 수 있습니다.

TLS 및 암호화 표준

• 지원되는 TLS 버전: TLS 1.2 및 TLS 1.3
• 암호화 알고리즘: AES-256 GCM, SHA-2 제품군(예: SHA-256)
• 데이터 보호: 저장 데이터와 전송 중인 데이터 모두에 대해 AES-256 적용
• 보안 표준: SOC 2, ISO 27001, GDPR 및 기타 글로벌 표준

FIPS에 부합하는 배포 권장 사항

규제 대상 산업에 속한 고객은 다음과 같은 방법으로 FIPS에 부합하는 구성을 사용할 수 있습니다:

• FIPS 승인 암호 제품군과 함께 TLS 1.2 이상 사용
• 감사 로깅 및 SIEM 시스템과 통합하여 규정 준수 가시성 확보

인증 상태

Aryaka는 현재 전체 제품 스택에 대해 FIPS 140-2 또는 140-3 인증을 받지 않았습니다. 하지만:

• FIPS 검증 암호화 모듈을 활용합니다.
• 당사는 FIPS 표준에 부합하도록 알고리즘과 암호 사용을 제한하는 등 FIPS에 부합하는 자세로 운영합니다.
• 연방 및 국방 부문의 수요 증가로 인해 공식 인증이 검토 중입니다.

아리아카는 FIPS 140-2 인증을 받았나요?

현재로서는 없습니다. 전체 제품에 대한 인증을 받은 것은 아니지만, 저희는 FIPS 인증을 받은 암호화 모듈을 활용하고 암호화 파이프라인에서 FIPS에 부합하는 관행을 따르고 있습니다.

FIPS를 준수하는 방식으로 솔루션을 배포할 수 있나요?

예, FIPS 승인 암호화를 적용하는 FIPS 정렬 모드로 솔루션을 배포할 수 있습니다. 적합한 구성에 대한 안내는 지원팀에 문의하세요.

FIPS 140-3이 지원되나요?

FIPS 140-3은 140-2의 후속 표준입니다. 저희 로드맵에는 이 새로운 표준에 대한 조정이 포함되어 있지만, 현재로서는 140-2 호환성에 대한 고객의 요구에 초점을 맞추고 있습니다.