Cumplimiento FIPS y Configuración TLS en Cato Networks

Este es un borrador no oficial del cumplimiento FIPS y las versiones TLS y suites de cifrado.

Visión general

Este artículo explica cómo Cato Networks se relaciona con el cumplimiento de los Estándares Federales de Procesamiento de Información (FIPS). También discute cómo la personalización del nivel de compatibilidad de la Versión TLS y Suite de Cifrado en la función de Política de Inspección TLS se relaciona con los requisitos de cifrado FIPS 140-2 y 140-3.

Para referencia, consulte el wiki de Mozilla Server Side TLS, que proporciona niveles de compatibilidad (Moderno, Intermedio y Legado) y sus configuraciones de cifrado asociadas.

Imposición de Versiones TLS y Cifrados en la Política de Inspección TLS

Cato Networks no cumple con FIPS. Sin embargo, puedes usar la Política de Inspección TLS para imponer versiones TLS específicas y el nivel de compatibilidad de las suites de cifrado para ser más consistente con las directrices FIPS. Para más información, consulta Configuración de la Política de Inspección TLS para la Cuenta.

Para imponer versiones TLS específicas y niveles de compatibilidad en tu cuenta, configura la Política de Inspección TLS usando las opciones en Versión TLS y Suites de Cifrado para la regla Acción.

TLS_inspect.png

Recomendaciones para Niveles de Compatibilidad FIPS

Los niveles de compatibilidad de Mozilla proporcionan orientación sobre qué cifrados se recomiendan para alineación con FIPS. Los siguientes perfiles de compatibilidad pueden ayudarte a configurar la Política de Inspección TLS en consecuencia:

  • Utiliza los perfiles de compatibilidad Moderno o Intermedio, basado en la alineación y necesidades de compatibilidad FIPS de tu organización.

  • Usa el perfil de compatibilidad Intermedio para incluir un conjunto más amplio de cifrados aprobados por FIPS.

  • Evita usar el perfil Legado, ya que incluye muchos cifrados obsoletos y no conformes.

Compatibilidad Moderna

  • TLS 1.3

    • Aprobado para FIPS 140-2/140-3:

      • TLS_AES_128_GCM_SHA256

      • TLS_AES_256_GCM_SHA384

    • No aprobado:

      • TLS_CHACHA20_POLY1305_SHA256 (raramente usado)

  • TLS 1.2

    • No hay cifrados TLS 1.2 aprobados por FIPS en el conjunto Moderno.

Recomendación: Puedes configurar la Política de Inspección TLS para imponer TLS 1.3 como la versión mínima de TLS y la suite de cifrado Moderna. Esto puede ayudarte a alinearte más estrechamente con las prácticas criptográficas recomendadas por FIPS.

Compatibilidad Intermedia

  • TLS 1.3

    • La misma compatibilidad que en el perfil Moderno.

  • TLS 1.2

    • Cifrados aprobados por FIPS:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • DHE-RSA-AES128-GCM-SHA256

      • DHE-RSA-AES256-GCM-SHA384

    • No aprobado:

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • DHE-RSA-CHACHA20-POLY1305

Recomendación: Si tu organización requiere alineación FIPS y una compatibilidad más amplia del cliente que la que permite el perfil Moderno, configura la Política de Inspección TLS con TLS 1.2 como la versión mínima de TLS usando el nivel de compatibilidad Intermedio. Esta política incluye varias opciones aprobadas por FIPS, pero también contiene cifrados no aprobados.

Compatibilidad Legada

No recomendado para la imposición relacionada con FIPS porque incluye cifrados obsoletos y no aprobados.

Limitaciones conocidas

  • Cato Networks no está certificado bajo FIPS 140-2 o 140-3.

  • Esta configuración no reemplaza los requisitos formales de cumplimiento o validación.

  • No puedes deshabilitar o bloquear cifrados TLS individuales.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios