Cumplimiento de FIPS en Jitterbit App Builder

El Instituto Nacional de Normas y Tecnología (NIST) define los Estándares Federales de Procesamiento de Información (FIPS).

FIPS son estándares y pautas para sistemas informáticos federales desarrollados por el Instituto Nacional de Estándares y Tecnología (NIST) de conformidad con la Ley Federal de Gestión de Seguridad de la Información (FISMA) y aprobados por el Secretario de Comercio.

App Builder es una aplicación .NET. La siguiente página describe la postura de Microsoft sobre la conformidad con FIPS en relación con .NET:

< https://docs.microsoft.com/en-us/dotnet/standard/security/fips-compliance >

En el contexto de App Builder, la conformidad con FIPS restringe el uso de criptografía a:

• Bibliotecas criptográficas validadas FIPS.
• Algoritmos criptográficos y tamaños de claves aprobados por FIPS.

La criptografía incluye:

• Generación de números aleatorios
• Hash
• Cifrado
• Firmas digitales
• Almacenamiento y codificación de certificados

Configuración

App Builder no requiere ninguna configuración especial para habilitar la compatibilidad con FIPS.

App Builder no implementa ningún algoritmo criptográfico. Delega todas las operaciones criptográficas al sistema operativo alojar. Si el sistema operativo alojar está configurado correctamente, App Builder utilizará implementaciones validadas por FIPS.

App Builder genera tokens de seguridad utilizando únicamente algoritmos aprobados por FIPS. Siempre que es posible, App Builder garantiza que los tokens de seguridad de externo, como las firmas digitales, utilicen únicamente algoritmos aprobados por FIPS.

Habilitación de FIPS en Windows

En Windows, Utilice algoritmos compatibles con FIPS para cifrado, hash y firma la política del sistema habilita el modo FIPS.

Habilitación de FIPS en Linux

Linux no tiene equivalente a la política del sistema FIPS de Windows. La habilitación de FIPS en Linux varía según la distribución y queda fuera del alcance de este documento. Los siguientes enlaces ofrecen un punto de partida para varias distribuciones:

• Red Hat Enterprise Linux
• Ubuntu
• Amazon Linux 2

Finalmente, .NET delega en OpenSSL. Por lo tanto, se debe instalar una despliegue de OpenSSL validada por FIPS. Además, OpenSSL debe configurarse para ejecutarse en modo FIPS, por ejemplo, configurando OPENSSL_FIPS variable de ambiente.

Usos de la criptografía

App Builder utiliza criptografía en varios subsistemas, incluidos:

• Generación de identificador de sesión
• Generación de tokens de falsificación de solicitud entre sitios (CRSF).
• Hashing de contraseñas
• Generación de clave API
• Generación de contraseña de autenticación básica HTTP
• Firma digital OAuth JWT y SAML
• Verificación de firma digital SAML SSO
• Firma de firma digital del proveedor de identidad SAML
• Verificación de firma digital de WS-Federation
• Verificación de firma digital JWT SSO
• cifrado de columnas
• Función de tiempo de ejecución mvSQL RANDOMBYTES()