这是 FIPS 合规性和 TLS 版本及密码套件的非正式草稿。
本文解释了 Cato Networks 如何与联邦信息处理标准(FIPS)合规性相关。 还讨论了在 TLS 检查策略功能中自定义 TLS 版本和密码套件兼容性级别如何与 FIPS 140-2 和 140-3 加密要求相关。
参考请见 Mozilla 服务器端 TLS 维基,提供了兼容性级别(现代,中级和遗留)及其相关密码配置。
Cato Networks 不符合 FIPS。 但是,您可以使用 TLS 检查策略强制执行特定的 TLS 版本和密码套件的兼容性级别,以使其与 FIPS 指南更一致。 有关更多信息,请参见为账户配置 TLS 检查策略。
要在您的帐户中强制执行特定的 TLS 版本和兼容性级别,使用规则Action中的选项配置 TLS Version and Cipher Suites 的 TLS Inspection Policy。
Mozilla 兼容性级别提供了关于哪些密码适合与 FIPS 对齐的指导。 以下兼容性配置文件可帮助您相应地配置 TLS 检查策略:
-
根据组织的 FIPS 对齐和兼容性需要,使用现代或中级兼容性配置文件
-
使用中级兼容性配置文件来包括更多 FIPS 批准的密码
-
避免使用遗留配置文件,因为它包含许多过时和不合规的密码
-
TLS 1.3
-
FIPS 140-2/140-3 批准:
-
TLS_AES_128_GCM_SHA256 -
TLS_AES_256_GCM_SHA384
-
-
未批准:
-
TLS_CHACHA20_POLY1305_SHA256(很少使用)
-
-
-
TLS 1.2
-
现代集中的 TLS 1.2 密码没有 FIPS 批准。
-
建议: 您可以将 TLS 检查策略设置为强制执行 TLS 1.3 作为最低 TLS 版本,以及 现代密码套件。 这可以帮助您更接近 FIPS 推荐的加密实践。
-
TLS 1.3
-
与现代兼容性相同
-
-
TLS 1.2
-
FIPS 批准的密码:
-
ECDHE-ECDSA-AES128-GCM-SHA256 -
ECDHE-RSA-AES128-GCM-SHA256 -
ECDHE-ECDSA-AES256-GCM-SHA384 -
ECDHE-RSA-AES256-GCM-SHA384 -
DHE-RSA-AES128-GCM-SHA256 -
DHE-RSA-AES256-GCM-SHA384
-
-
未批准:
-
ECDHE-ECDSA-CHACHA20-POLY1305 -
ECDHE-RSA-CHACHA20-POLY1305 -
DHE-RSA-CHACHA20-POLY1305
-
-
建议: 如果您的组织需要 FIPS 对齐并且比现代配置文件允许的更广泛的客户端兼容性,请使用中级兼容性级别配置 TLS 检查策略,将最低 TLS 版本设置为TLS 1.2。 此策略包含多个 FIPS 批准选项,但也包含未批准的密码。
0 条评论
文章评论已关闭。