Conformidade FIPS e Configuração de TLS na Cato Networks

Este é um esboço não oficial da conformidade FIPS e das versões de TLS e suítes de cifras.

Visão Geral

Este artigo explica como a Cato Networks se relaciona com os padrões de processamento de informações federais (FIPS) de conformidade. Também discute como personalizar o nível de compatibilidade da versão TLS e da suíte de cifras na funcionalidade de Política de Inspeção TLS se relaciona com os requisitos de criptografia FIPS 140-2 e 140-3.

Para referência, consulte o wiki Server Side TLS da Mozilla, que fornece níveis de compatibilidade (Moderna, Intermediária e Legada) e suas configurações de cifras associadas.

Aplicando Versões e Cifras TLS na Política de Inspeção TLS

Cato Networks não é compatível com FIPS. No entanto, você pode usar a Política de Inspeção TLS para aplicar versões específicas de TLS e o nível de compatibilidade das suítes de cifras para ser mais consistente com as diretrizes FIPS. Para mais informações, consulte Configurando a Política de Inspeção TLS para a Conta.

Para aplicar versões específicas de TLS e níveis de compatibilidade em sua conta, configure a Política de Inspeção TLS usando as opções em Versão TLS e Suítes de Cifras para a regra Ação.

TLS_inspect.png

Recomendações para Níveis de Compatibilidade FIPS

Os níveis de compatibilidade da Mozilla fornecem orientação sobre quais cifras são recomendadas para alinhamento com FIPS. Os seguintes perfis de compatibilidade podem ajudá-lo a configurar a Política de Inspeção TLS de acordo:

  • Use os perfis de compatibilidade Moderna ou Intermediária, com base nas necessidades de alinhamento e compatibilidade FIPS da sua organização

  • Use o perfil de compatibilidade Intermediário para incluir um conjunto mais amplo de cifras aprovadas pelo FIPS

  • Evite usar o perfil de Legado, pois ele inclui muitas cifras desatualizadas e não compatíveis

Compatibilidade Moderna

  • TLS 1.3

    • Aprovado para FIPS 140-2/140-3:

      • TLS_AES_128_GCM_SHA256

      • TLS_AES_256_GCM_SHA384

    • Não Aprovado:

      • TLS_CHACHA20_POLY1305_SHA256 (raramente utilizado)

  • TLS 1.2

    • Nenhuma cifra TLS 1.2 no conjunto Moderno é aprovado pelo FIPS.

Recomendação: Você pode definir a Política de Inspeção TLS para aplicar TLS 1.3 como a versão mínima do TLS, e a suíte de cifras Moderna. Isso pode ajudá-lo a alinhar-se mais de perto com práticas criptográficas recomendadas pelo FIPS.

Compatibilidade Intermediária

  • TLS 1.3

    • Mesma compatibilidade que no Moderna

  • TLS 1.2

    • Cifras Aprovadas pelo FIPS:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • DHE-RSA-AES128-GCM-SHA256

      • DHE-RSA-AES256-GCM-SHA384

    • Não Aprovado:

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • DHE-RSA-CHACHA20-POLY1305

Recomendação: Se sua organização requer alinhamento com o FIPS e uma compatibilidade mais ampla do cliente do que o perfil Moderna permite, configure a Política de Inspeção TLS com TLS 1.2 como a versão mínima do TLS usando o nível de compatibilidade Intermediário. Esta política inclui várias opções aprovadas pelo FIPS, mas também contém cifras não aprovadas.

Compatibilidade de Legado

Não recomendado para aplicação relacionada ao FIPS, pois inclui cifras desatualizadas e não aprovadas.

Limitações Conhecidas

  • Cato Networks não é certificada para FIPS 140-2 ou 140-3

  • Esta configuração não substitui os requisitos formais de conformidade ou validação

  • Você não pode desabilitar ou bloquear cifras TLS individuais

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário