الامتثال FIPS وتكوين TLS في شبكات Cato

هذا مسودة غير رسمية للامتثال FIPS وإصدارات TLS ومجموعات التشفير.

Overview

توضح هذه المقالة كيف ترتبط شبكات Cato بمعايير معالجة المعلومات الفدرالية (FIPS) الامتثال. تتناول أيضاً كيفية تخصيص مستوى توافق إصدارات TLS ومجموعات التشفير في ميزة سياسة تفتيش TLS لعلاقتها بمتطلبات تشفير FIPS 140-2 و 140-3.

للمرجع، انظر Mozilla Server Side TLS wiki، الذي يوفر مستويات التوافق (حديثة، وسيطة، وقديمة) وتكويناتها التشفيرية المرتبطة.

فرض إصدارات TLS ومجموعات التشفير في سياسة تفتيش TLS

شبكات Cato ليست متوافقة مع FIPS. ومع ذلك، يمكنك استخدام سياسة التفتيش TLS لفرض إصدارات TLS محددة ومستوى توافق مجموعات التشفير لتكون أكثر اتساقا مع إرشادات FIPS. لمزيد من المعلومات، انظر Configuring TLS Inspection Policy for the Account.

لتطبيق إصدارات TLS ومستويات التوافق الخاصة في حسابك، قم بتكوين سياسة تفتيش TLS باستخدام الخيارات في إصدارات TLS ومجموعات التشفير للقواعد الإجراءات.

TLS_inspect.png

توصيات لمستويات توافق FIPS

توفر مستويات التوافق لـ Mozilla إرشادات عن أي مجموعات التشفير ينصح بها للتماشي مع FIPS. يمكن أن تساعدك ملفات تعريف التوافق التالية على تكوين سياسة تفتيش TLS وفقاً لذلك:

  • استخدم ملفات تعريف التوافق الحديثة أو المتوسطة، بناءً على احتياجات التوافق والمواءمة مع FIPS لمنظمتك

  • استخدم ملف تعريف التوافق الوسيط ليتضمن مجموعة أوسع من مجموعات التشفير المعتمدة من FIPS

  • تجنب استخدام الملف الشخصي القديم، لأنه يتضمن العديد من مجموعات التشفير غير المحدثة وغير المتوافقة

التوافق الحديث

  • TLS 1.3

    • معتمد لـ FIPS 140-2/140-3:

      • TLS_AES_128_GCM_SHA256

      • TLS_AES_256_GCM_SHA384

    • غير معتمد:

      • TLS_CHACHA20_POLY1305_SHA256 (نادر الاستخدام)

  • TLS 1.2

    • لا توجد مجموعات تشفير TLS 1.2 في المجموعة الحديثة موافق عليها من قبل FIPS.

توصية: يمكنك إعداد سياسة التفتيش TLS لفرض TLS 1.3 كأقل إصدار TLS، ومجموعة التشفير الحديثة. يمكن أن يساعدك هذا في التماشي بشكل أقرب مع ممارسات التشفير الموصى بها من FIPS.

التوافق الوسيط

  • TLS 1.3

    • نفس التوافق كما في الحديث

  • TLS 1.2

    • مجموعات التشفير المعتمدة من FIPS:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • DHE-RSA-AES128-GCM-SHA256

      • DHE-RSA-AES256-GCM-SHA384

    • غير معتمد:

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • DHE-RSA-CHACHA20-POLY1305

توصية: إذا كانت منظمتك تتطلب التماشي مع FIPS وتوافق العميل الأوسع من الذي يسمح به الملف الشخصي الحديث، قم بتكوين سياسة التفتيش TLS مع TLS 1.2 كأقل إصدار TLS باستخدام مستوى التوافق الوسيط. تتضمن هذه السياسة عدة خيارات معتمدة من FIPS، لكنها تحتوي أيضاً على مجموعات تشفير غير معتمدة.

التوافق القديم

غير موصى به لفرض القوانين ذات العلاقة بـ FIPS بسبب احتوائه على مجموعات تشفير غير محدثة وغير معتمدة.

القيود المعروفة

  • شبكات Cato ليست معتمدة من FIPS 140-2 أو 140-3

  • هذا التكوين لا يحل محل الامتثال الرسمي أو متطلبات التحقق

  • لا يمكنك تعطيل أو حجب مفردات تشفير TLS

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات