Conformité FIPS et configuration TLS chez Cato Networks

Ceci est une ébauche non officielle de la conformité FIPS et des versions TLS et suites de chiffrement.

Vue d'ensemble

Cet article explique comment Cato Networks se rapporte à la conformité aux normes fédérales de traitement de l'information (FIPS). Il aborde également comment la personnalisation du niveau de compatibilité de la version TLS et des suites de chiffrement dans la fonction de politique d'inspection TLS se rapporte aux exigences de chiffrement FIPS 140-2 et 140-3.

Pour référence, voir le wiki Mozilla Server Side TLS, qui fournit des niveaux de compatibilité (moderne, intermédiaire et ancien) et leurs configurations de chiffre associées.

Application des versions et des chiffrements TLS dans la politique d'inspection TLS

Cato Networks n'est pas conforme au FIPS. Cependant, vous pouvez utiliser la politique d'inspection TLS pour imposer des versions TLS spécifiques et le niveau de compatibilité des suites de chiffrement afin d'être plus cohérent avec les directives FIPS. Pour plus d'informations, voir Configurer la politique d'inspection TLS pour le compte.

Pour imposer des versions TLS spécifiques et des niveaux de compatibilité dans votre compte, configurez la politique d'inspection TLS en utilisant les options dans les versions TLS et suites de chiffrement pour la règle Action.

Recommandations pour les niveaux de compatibilité FIPS

Les niveaux de compatibilité Mozilla fournissent des indications sur les chiffrements recommandés pour l'alignement FIPS. Les profils de compatibilité suivants peuvent vous aider à configurer la politique d'inspection TLS en conséquence :

Utilisez les profils de compatibilité Moderne ou Intermédiaire, en fonction de l'alignement FIPS et des besoins de compatibilité de votre organisation
Utilisez le profil de compatibilité Intermédiaire pour inclure un ensemble plus large de chiffrements approuvés par le FIPS
Évitez d'utiliser le profil Ancien, car il inclut de nombreux chiffrements obsolètes et non conformes

Compatibilité Moderne

TLS 1.3
- Approuvé pour FIPS 140-2/140-3 :
  - TLS_AES_128_GCM_SHA256
  - TLS_AES_256_GCM_SHA384
- Non approuvé :
  - TLS_CHACHA20_POLY1305_SHA256 (rarement utilisé)
TLS 1.2
- Aucun chiffre TLS 1.2 dans l'ensemble Moderne n'est approuvé par le FIPS.

Recommandation : Vous pouvez définir la politique d'inspection TLS pour imposer TLS 1.3 comme la version TLS minimale, et la suite de chiffrement Moderne. Cela peut vous aider à vous aligner plus étroitement sur les pratiques cryptographiques recommandées par le FIPS.

Compatibilité Intermédiaire

TLS 1.3
- Même compatibilité que dans Moderne
TLS 1.2
- Chiffrements approuvés par le FIPS :
  - ECDHE-ECDSA-AES128-GCM-SHA256
  - ECDHE-RSA-AES128-GCM-SHA256
  - ECDHE-ECDSA-AES256-GCM-SHA384
  - ECDHE-RSA-AES256-GCM-SHA384
  - DHE-RSA-AES128-GCM-SHA256
  - DHE-RSA-AES256-GCM-SHA384
- Non approuvé :
  - ECDHE-ECDSA-CHACHA20-POLY1305
  - ECDHE-RSA-CHACHA20-POLY1305
  - DHE-RSA-CHACHA20-POLY1305

Recommandation : Si votre organisation nécessite un alignement FIPS et une compatibilité client plus large que le profil Moderne ne permet, configurez la politique d'inspection TLS avec TLS 1.2 comme version TLS minimale en utilisant le niveau de compatibilité Intermédiaire. Cette politique inclut plusieurs options approuvées par le FIPS, mais elle contient également des chiffrements non approuvés.

Compatibilité Ancienne

Non recommandé pour la mise en œuvre liée au FIPS car il inclut des chiffrements obsolètes et non approuvés.

Limitations Connues

Cato Networks n'est pas certifié FIPS 140-2 ou 140-3
Cette configuration ne remplace pas les exigences de conformité ou de validation formelles
Vous ne pouvez pas désactiver ou bloquer des chiffrements TLS individuels