Logotipo – Pure Storage
Página inicial do blog

O que é o modo FIPS?

Quando um sistema está no modo FIPS, ele é restrito a algoritmos e protocolos criptográficos que atendem a um padrão federal dos EUA para conformidade de segurança.

Compartilhe:

image_pdfimage_print

Em um artigo anterior, explicamos quais são os padrões federais de processamento de informações (FIPS, Federal Information Processing Standards) e como todos os dias, as agências governamentais recebem dados que podem afetar vidas, a segurança nacional e a fé do público no próprio governo. Seja um departamento de polícia da cidade analisando filmagens de câmeras físicas, uma agência de saúde gerenciando prontuários médicos ou um contratado federal processando documentos classificados, os riscos são altos. Nesse ambiente, a inteligência artificial (AI) é um divisor de águas, mas somente se a infraestrutura de dados subjacente for segura, resiliente e compatível com os mais altos padrões.

É aí que entram os padrões federais de processamento de informações (FIPS, Federal Information Processing Standards). Geralmente, já nos aprofundamos em FIPS.  Neste blog, vamos nos concentrar mais no que são o modo FIPS e a validação de FIPS e em como eles permitem a resiliência cibernética dentro de uma empresa. 

Recapitulação rápida: Quais são os padrões federais de processamento de informações (FIPS, Federal Information Processing Standards)?

Fundada em 1974, a Federal Information Processing Standards (FIPS) é um conjunto de padrões federais de segurança desenvolvido para proteger dados e sistemas confidenciais aproveitados por agências do governo dos EUA e pelos contratados e fornecedores com quem trabalham. Elas são especificamente destinadas a informar a operação de módulos criptográficos, algoritmos que criptografam dados armazenados no sistema ou dispositivo. 

Os módulos de criptografia para programas de tecnologia da informação e segurança de computadores que estão sendo executados no modo FIPS executarão funções compatíveis com FIPS, como geração de chaves, criptografia e descriptografia. 

O que é NIST?

Imagine os primórdios do governo digital: dados espalhados por mainframes, pouca padronização e uma conscientização crescente de que as informações, sejam um número de previdência social ou um plano de defesa, eram um ativo e um alvo. O Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology) surgiu como a resposta do governo federal a esse desafio, desenvolvendo um conjunto abrangente de diretrizes, controles e práticas recomendadas para ajudar as agências a proteger suas informações mais sensíveis.

Os padrões de segurança NIST são mais do que apenas listas de verificação técnicas. Eles são uma estrutura ativa para gerenciamento de riscos, desenvolvida para ajudar as agências a:

  • Identifique e avalie vulnerabilidades
  • Detecte e responda a ameaças cibernéticas
  • Recupere-se de incidentes e mantenha a continuidade operacional

As estruturas do NIST, como o Cybersecurity Framework (CSF) 2.0 e a série Special Publication (SP) 800, tornaram-se o padrão de excelência não apenas para agências federais, mas para qualquer organização, pública ou privada, que queira demonstrar um compromisso com a segurança, a transparência e a confiança pública.

FIPS: A norma federal para segurança de dados

Agora, vamos ampliar novamente a FIPS. Desenvolvida e mantida pelo NIST, a FIPS fornece a espinha dorsal técnica para a segurança federal de dados, especialmente em torno de módulos criptográficos e de criptografia. Se você estiver armazenando, transmitindo ou processando dados confidenciais do governo, a FIPS não é opcional, é obrigatória.

Como é a conformidade com a FIPS na prática?

Criptografia: Todos os dados confidenciais, em repouso ou em trânsito, devem ser protegidos usando algoritmos criptográficos validados pela FIPS (como o AES-256).

  • Segurança física: O hardware (como arrays de armazenamento) deve ser protegido em datacenters seguros, com monitoramento e controles de acesso rigorosos.
  • Autenticação: Os sistemas devem usar mecanismos de autenticação seguros, incluindo autenticação de vários fatores e tokens criptográficos, para evitar acesso não autorizado.
  • Auditoria e monitoramento: Os sistemas compatíveis com FIPS devem registrar todos os eventos de segurança, permitindo que as agências detectem e respondam a incidentes rapidamente.

Para agências federais, contratados e qualquer organização que trabalhe com dados do governo, a conformidade com a FIPS costuma ser o guardião de contratos, subsídios e financiamento contínuo. Mas é mais do que um obstáculo de aquisição: é um sinal para o público de que suas informações estão sendo protegidas com o máximo cuidado.

O que é o modo FIPS?

O modo FIPS é uma configuração disponível em determinados sistemas de hardware e software, como matrizes de armazenamento de dados, sistemas operacionais e dispositivos de rede. Quando ativado, o modo FIPS garante que o sistema use apenas algoritmos e módulos criptográficos validados pela FIPS para criptografia e outras funções de segurança. Isso ajuda a proteger dados confidenciais e atender aos requisitos regulatórios para organizações que lidam com informações confidenciais. Embora a execução no modo FIPS não garanta que um sistema seja totalmente compatível com FIPS, é um passo essencial para alcançar a conformidade, especialmente quando combinado com outras medidas de segurança e processos de validação.

Perguntas frequentes sobre o modo FIPS

1. O modo FIPS pode ser desativado?

Sim, o modo FIPS pode ser desativado. Quando o modo FIPS está desativado, as funções não compatíveis com FIPS não são mais restritas.

2. Qual tecnologia pode ser colocada no modo FIPS?

Qualquer tecnologia ou sistema que possa executar algoritmos ou operações de criptografia compatíveis com FIPS pode ser colocado no modo FIPS. 

Hardware que pode ser colocado no modo FIPS

Os tipos de hardware que podem ser colocados no modo FIPS incluem hardware que executa funções criptográficas, como:

  • Arrays de armazenamento de dados (por exemplo, unidades de autocriptografia)
  • Dispositivos de rede, como roteadores, firewalls e switches de rede
  • Dispositivos de segurança
Software que pode ter o modo FIPS ativado

Os tipos de software que podem ter o modo FIPS ativado incluem sistemas ou software que executam módulos de criptografia, como:

  • Sistemas operacionais
  • Software de criptografia
  • Redes privadas virtuais (VPNs, Virtual Private Networks)
  • Software SIEM ou sistemas de detecção de invasão de rede

3. Quais redes e setores precisam do modo FIPS?

As redes ou setores que precisam do modo FIPS são contratualmente obrigados e normalmente são aquelas redes nos Estados Unidos que lidam com informações confidenciais para o governo dos EUA. Isso pode incluir:

  • Redes federais e governamentais
  • Redes de aplicação da lei, segurança nacional e defesa nacional
  • Redes de assistência médica
  • Redes militares
  • Infraestrutura crítica, incluindo o setor de serviços públicos, energia, energia e redes de rede elétrica

Modo FIPS: Mais do que um switch: uma mentalidade de segurança

Pense no modo FIPS como um “bloqueio” de segurança. Quando um sistema ou dispositivo de armazenamento está operando no modo FIPS, ele usa apenas funções criptográficas validadas por FIPS. Algoritmos não conformes estão desativados. Isso garante que cada bit e byte, seja um documento classificado ou um prontuário médico do cidadão, seja criptografado e protegido de acordo com os padrões mais rigorosos.

Mas o modo FIPS é apenas parte da história, porque também há validação de FIPS. A verdadeira validação FIPS significa que o produto foi testado e certificado de forma independente por laboratórios credenciados, com cada função criptográfica examinada quanto a vulnerabilidades. Para agências do governo, não se trata apenas de conformidade, mas de resiliência diante de ataques ransomware, ameaças internas e adversários de países

Saiba mais sobre conformidade com FIPS e como ela é determinada.

Como a validação da FIPS aumenta a resiliência cibernética?

Para agências governamentais e organizações regulamentadas, a validação da FIPS é mais do que uma caixa de seleção de conformidade. É a base de uma postura resiliente e defensável de cibersegurança. Ao aderir à FIPS, as organizações ganham não apenas criptografia robusta, mas também uma abordagem holística e padronizada para proteger dados confidenciais e manter os systgems funcionando diante das ameaças em evolução.

Proteção de dados inflexível

Os sistemas de armazenamento validados pela FIPS usam módulos criptográficos rigorosamente testados, como criptografia AES-256, para proteger dados inativos e em trânsito. Isso significa que, mesmo que um adversário obtenha acesso físico à mídia de armazenamento, as informações permanecem indecifráveis e inutilizáveis. A filosofia de “criptografar tudo” exigida pela FIPS garante que todos os dados, independentemente de onde estejam, estejam protegidos sem prejudicar o desempenho do sistema. Para agências que lidam com informações confidenciais, mas não classificadas (SBU, sensitive but unclassified information), esse nível de garantia é essencial, especialmente à medida que os adversários cibernéticos se tornam mais sofisticados.

Arquitetura de segurança multicamadas

A conformidade com a FIPS vai muito além da criptografia. Ela exige uma estrutura de segurança abrangente que aborde:

  • Segurança física: Os padrões da FIPS exigem controles rígidos sobre a infraestrutura física, incluindo datacenters seguros, restrições de acesso, vigilância e proteções ambientais para evitar adulteração ou roubo não autorizados.
  • Autenticação: Mecanismos de autenticação segura, como autenticação multifator e tokens criptográficos, são necessários para garantir que apenas funcionários autorizados possam acessar sistemas e dados críticos.
  • Auditoria e monitoramento: Os sistemas compatíveis com FIPS devem fornecer recursos robustos de registro, monitoramento e geração de relatórios. Isso permite a detecção em tempo real de atividades suspeitas, dá suporte à resposta a incidentes e atende aos requisitos de relatórios regulatórios.

Defesa contra Ransomware e recuperação de incidentes

Com ataques ransomware em ascensão, o armazenamento compatível com FIPS oferece uma linha de defesa crucial. Ao aplicar criptografia forte, controles de acesso e gerenciamento de chaves, as organizações podem impedir que agentes maliciosos criptografem ou extraiam dados, mesmo que as defesas do perímetro sejam violadas. Os controles padronizados exigidos pela FIPS ajudam a garantir que, no caso de um ataque, os dados críticos permaneçam protegidos e recuperáveis, minimizando o tempo de inatividade e a perda de dados.

Possibilitando a continuidade de negócios e a confiança pública

A implementação de soluções validadas por FIPS oferece benefícios tangíveis além da segurança técnica:

  • Alinhamento regulatório: A conformidade com a FIPS dá suporte à adesão a outras exigências, como HIPAA, FISMA e CMMC, reduzindo a complexidade da conformidade e a sobrecarga de auditoria.
  • Acesso ao mercado: Para agências e contratados do governo, a validação da FIPS é frequentemente um pré-requisito para fazer negócios, abrir portas para novos contratos e oportunidades de financiamento.
  • Reputação e confiança: Demonstrar sinais de conformidade com a FIPS para cidadãos, parceiros e órgãos de supervisão de que sua organização leva a proteção de dados a sério, reforçando a confiança do público.

Padronização para interoperabilidade

A FIPS oferece uma linha de base de segurança comum entre agências e fornecedores, permitindo troca segura de dados e interoperabilidade, independentemente da plataforma ou pilha tecnológica. Essa padronização é essencial para operações governamentais modernas, onde a colaboração e o compartilhamento de dados são essenciais.

Conclusão

O modo FIPS é uma configuração muito específica para dispositivos e sistemas que devem estar em conformidade com a FIPS, mas é importante observar que não é um ponto de acesso nem será apropriado para todos os dispositivos ou sistemas. Nem todos os dispositivos de armazenamento de dados podem estar em conformidade com a FIPS ou ser executados no modo FIPS. Se você precisar de um dispositivo de armazenamento de dados compatível com FIPS, procure um array de armazenamento que observe explicitamente a conformidade com a FIPS em sua documentação do sistema (por exemplo, especificações técnicas e manuais do usuário) ou verifique a documentação de um fornecedor ou entre em contato com o suporte técnico.

Navigating changes at Broadcom VMware by modernizing your virtualization strategy for future flexibility, certainty and scale

GUIA DO COMPRADOR, 14 PÁGINAS

Guia do comprador para virtualização avançada

Leia o guia do comprador

Escrito por:

Carrie Parecki

Pure’s Government Solutions

Learn all about Pure’s government data center solutions!

Read the Solutions Brief

Top Stories