FIPS Certified vs Compliant: Mana yang Lebih Aman?

Ubuntu


Enkripsi adalah kunci untuk melindungi data sensitif. Ada berbagai metode yang menggunakan algoritma kriptografi yang berbeda untuk mengubah plaintext menjadi ciphertext. Menavigasi beberapa metode dan algoritme menciptakan proses yang kompleks dan padat karya untuk tim yang mengevaluasi layanan kriptografi yang disediakan dalam komponen perangkat lunak.

Pemerintah AS dan Kanada memiliki persyaratan enkripsi untuk sistem mereka sendiri dan sistem yang digunakan oleh vendor mereka. Rilis Federal Information Processing Standard (FIPS) adalah standar yang berkembang, saat ini dalam versi 140-2. FIPS 140-2 menyatakan versi perangkat lunak bersertifikat apa yang sesuai untuk digunakan di semua lembaga federal dan entitas yang bekerja dengan lembaga ini. Ubuntu mendukung FIPS 140-3 ketika sudah siap dan organisasi ingin menerapkan standar itu.

Standar FIPS untuk modul kriptografi dan konfigurasi kernel dapat berfungsi sebagai dasar untuk kebijakan enkripsi dan anti-gangguan Anda. Saat Anda mulai menerapkan FIPS, Anda mendengar istilah seperti bersertifikat FIPS dan sesuai dengan FIPS – apa bedanya dan mana yang lebih baik?

Perbedaan antara bersertifikat FIPS dan sesuai dengan FIPS

Implementasi sertifikasi FIPS sesuai dengan FIPS, tanpa peningkatan keamanan di luar persyaratan minimum. Menanggapi lanskap keamanan siber yang terus berkembang, implementasi yang sesuai dengan FIPS menggunakan standar FIPS sebagai dasar dan memberikan peningkatan keamanan di luar solusi standar dan bersertifikat.

Apa perbedaan antara implementasi sertifikasi FIPS dan kepatuhan FIPS? Apa yang paling masuk akal untuk organisasi Anda? Jawabannya mungkin mengejutkan Anda.

Lihat default sebelumnya

Untuk memahami apakah lebih baik bersertifikasi FIPS atau bersertifikasi FIPS, mari kita pertimbangkan contoh hipotetis dari industri otomotif. ISO 26262 adalah pedoman untuk keselamatan fungsional dan merupakan standar industri untuk produsen mobil. Dengan asumsi bahwa dua produsen mobil memproduksi mobil yang identik, kecuali yang satu bersertifikat ISO 26262 dan yang lainnya sesuai ISO 26262, mobil mana yang lebih menarik bagi konsumen dan mengapa?

Jika standar hipotetis yang disetujui untuk mobil membutuhkan bodi logam dan 4 roda, maka kedua mobil di atas akan memenuhi standar. Mobil di sebelah kiri bersertifikat dan sama persis. Mobil di sebelah kanan mengambil standar yang disetujui sebagai dasar dan melampaui batas minimum ini.

Sebagai konsumen, kita tahu bahwa implementasi bersertifikat membutuhkan investasi waktu dan uang yang signifikan dan memerlukan validasi pihak ketiga atas pekerjaan tersebut. Reaksi spontan konsumen adalah untuk mengasumsikan bahwa penegakan kesesuaian mungkin merupakan upaya untuk menyesuaikan diri dengan praktik terbaik dengan mengabaikan validasi formal demi evaluasi diri. Mobil yang kompatibel dianggap sebagai kecelakaan umum. Sebuah mobil bersertifikat diharapkan memiliki fitur yang diinginkan yang hanya dapat dicita-citakan oleh masyarakat.

Meskipun ini berlaku untuk ISO 26262, apakah sertifikasi selalu lebih baik daripada kepatuhan? Jawabannya tidak selalu. Mengambil standar sebagai dasar, dan melampaui garis dasar untuk mengurangi risiko, dapat menghasilkan hasil yang lebih baik. Perbedaan antara implementasi yang patuh dan implementasi bersertifikat adalah keputusan strategis.

Memiliki tingkat keamanan yang seragam melindungi informasi sensitif dan mengurangi risiko pada setiap tingkat serangan. Jika organisasi Anda perlu menerapkan sertifikasi FIPS, ada baiknya bertanya tentang risiko yang terkait dengan menjalankan sistem dengan kerentanan yang belum ditambal.

Pelajari lebih lanjut tentang trade-off antara FIPS-compliant dan FIPS-certified, dan cara memaksimalkan keamanan sambil meminimalkan risiko.

Tonton rekaman webinar tentang penerapan FIPS yang aman

Disampaikan oleh Wakil Presiden Urusan Publik Canonical, Chris Hoffman, dan Manajer Produk, Rajan Patel, Ajjal Lotfi, dan Henry Coghill.

Webinar ini mencakup baseline, standar, dan pedoman terkait penerapan FIPS dengan keamanan maksimum.

Akses webinarnya

Persyaratan FIPS dipenuhi melalui Ubuntu

Ubuntu bersertifikasi FIPS dan Ubuntu yang memenuhi syarat FIPS keduanya memenuhi syarat sebagai sistem operasi bersertifikasi FIPS. Di antara kedua proposal tersebut, persyaratan FIPS dipenuhi untuk lembaga pemerintah, mitra mereka, dan mereka yang ingin berbisnis dengan pemerintah federal.

Tonton webinar kami, “Menerapkan FIPS dengan Pengaturan Keamanan Maksimum” untuk memahami kompromi lebih detail.

Kelola Ubuntu dengan Lansekap

Landscape adalah alat pemantauan dan manajemen Canonical untuk Ubuntu yang dapat digunakan di mana saja, bahkan sebagai layanan yang dihosting sendiri di lingkungan dengan celah udara.

Selain implementasi dan audit untuk FIPS, Landscape juga menangani perbaikan keamanan dan kerentanan dan merupakan komponen penting dari strategi kepatuhan yang lebih luas dari banyak organisasi. Lanskap yang dihosting sendiri gratis untuk penggunaan atau evaluasi pribadi terbatas. Semua mesin dengan langganan Ubuntu Advantage aktif dapat menggunakan Landscape tanpa biaya tambahan.

Landscape disertakan dengan Ubuntu Pro FIPS di Amazon Web Services dan Microsoft Azure, dan Ubuntu Pro di Google Cloud Platform.

Jika Anda ingin tahu lebih banyak

Bicaralah dengan kami tentang FIPS di Ubuntu di lingkungan dengan celah udara dan opsi layanan profesional kami.

hubungi kami



Source link

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.