Соответствие требованиям FIPS и конфигурация TLS в Cato Networks

Это неофициальный проект о соответствии требованиям FIPS, версиям TLS и наборам шифров.

Обзор

Эта статья объясняет, как Cato Networks связано с соблюдением федеральных стандартов обработки информации (FIPS). Также обсуждается, как настройка уровня совместимости версий TLS и набора шифров в функции политики инспекции TLS относится к требованиям шифрования FIPS 140-2 и 140-3.

Для справки, см. вики Mozilla Server Side TLS, которая предоставляет уровни совместимости (современный, промежуточный и устаревший) и их ассоциированные конфигурации шифров.

Применение версий TLS и шифров в политике инспекции TLS

Cato Networks не соответствует требованиям FIPS. Однако вы можете использовать политику инспекции TLS для настройки конкретных версий TLS и уровня совместимости набора шифров, чтобы более точно соответствовать рекомендациям FIPS. Для получения дополнительной информации см. Конфигурация политики инспекции TLS для учетной записи.

Чтобы настроить конкретные версии TLS и уровни совместимости в вашей учетной записи, настройте Политику инспекции TLS, используя параметры в Версия TLS и наборы шифров для правила Действие.

TLS_inspect.png

Рекомендации по уровням совместимости FIPS

Уровни совместимости Mozilla предоставляют рекомендации о том, какие шифры рекомендуются для соответствия FIPS. Следующие профили совместимости могут помочь вам настроить политику инспекции TLS соответствующим образом:

  • Используйте профили совместимости «Современный» или «Промежуточный» в зависимости от потребностей вашей организации в соответствии и совместимости с FIPS.

  • Используйте промежуточный профиль совместимости для включения более широкого набора шифров, одобренных FIPS.

  • Избегайте использования устаревшего профиля, так как он включает много устаревших и не соответствующих требованиям шифров.

Современная совместимость

  • TLS 1.3

    • Одобрено для FIPS 140-2/140-3:

      • TLS_AES_128_GCM_SHA256

      • TLS_AES_256_GCM_SHA384

    • Не одобрено:

      • TLS_CHACHA20_POLY1305_SHA256 (редко используется)

  • TLS 1.2

    • Ни один шифр TLS 1.2 в современном наборе не одобрен FIPS.

Рекомендация: Вы можете установить политику инспекции TLS так, чтобы она применяла TLS 1.3 как минимальную версию TLS и Современный набор шифров. Это может помочь вам более точно следовать рекомендуемым криптографическим практикам FIPS.

Промежуточная совместимость

  • TLS 1.3

    • Такая же совместимость, как в Современном

  • TLS 1.2

    • Одобренные FIPS шифры:

      • ECDHE-ECDSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-ECDSA-AES256-GCM-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

      • DHE-RSA-AES128-GCM-SHA256

      • DHE-RSA-AES256-GCM-SHA384

    • Не одобрено:

      • ECDHE-ECDSA-CHACHA20-POLY1305

      • ECDHE-RSA-CHACHA20-POLY1305

      • DHE-RSA-CHACHA20-POLY1305

Рекомендация: Если вашей организации требуется соответствие FIPS и более широкая совместимость клиентского профиля, чем позволяет Современный профиль, настройте политику инспекции TLS с использованием TLS 1.2 как минимальной версии TLS с использованием Промежуточного уровня совместимости. Эта политика включает несколько вариантов, одобренных FIPS, но также содержит не одобренные шифры.

Устаревшая совместимость

Не рекомендуется для применения FIPS, так как включает устаревшие и не одобренные шифры.

Известные ограничения

  • Cato Networks не сертифицировано по FIPS 140-2 или 140-3

  • Эта конфигурация не заменяет формальные требования соблюдения или валидации

  • Вы не можете отключить или заблокировать отдельные шифры TLS

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев