FIPS 140-2 合规性声明

内容

1.总结

2.概述

a. 关于 Vertica

b. 关于 FIPS 140-2

3.Vertica 和 FIPS 140-2

1.摘要

Vertica 符合美国联邦信息处理标准 140-2 (FIPS 140-2)，该标准定义了联邦机构为保护敏感数据或有价值的数据而指定基于加密的安全系统时要使用的技术要求。通过以下方式确保 Vertica 符合 FIPS 140-2 标准：1) 集成经过验证和经 NIST 认证的第三方加密模块，并将模块作为加密服务的唯一提供程序；2) 使用经 FIPS 批准的加密函数；3) 根据 Vertica 设计、实施和操作，使用合适的经 FIPS 批准和经 NIST 验证的技术。

2. 概述

a. 关于 Vertica

• Vertica 是用于高级分析应用程序的高性能关系数据库管理系统。其性能与规模扩展是通过提供大规模并行处理解决方案的列存储和执行架构来实现的。激进的编码和压缩策略可以减少 CPU、内存和磁盘 I/O 处理时间，从而执行 Vertica 分析。

• 有关 Vertica 及其用法的更多详细信息，请参阅体系结构。

b. 关于 FIPS 140-2

FIPS（美国联邦信息处理标准）140-2，即加密模块的安全要求，是用来对政府购买的计算机系统进行适当加密的联邦标准。

美国联邦信息处理标准 (FIPS) 出版物 140-2“加密模块的安全要求”于 2001 年 5 月由美国国家标准与技术研究所 (NIST) 发布。

使用经 FIPS 140-2 验证的加密模块的好处是，加密算法被视为是合适的，且它们可以正确执行加密/解密/哈希函数。该标准规定了在保护敏感或有价值的数据的安全系统中使用的加密模块的安全要求。有关这些要求，请参阅以下文档：

• 加密模块的安全要求
• 附件 A：经批准的 FIPS PUB 140-2 安全功能、加密模块的安全要求

3.Vertica 和 FIPS 140-2

通过 FIPS 140-2 验证的第三方模块

通过动态链接到操作系统提供的经 FIPS 140-2 批准的 OpenSSL 加密模块（在初始版本中为 Red Hat Enterprise Linux 6.6 OpenSSL 模块），Vertica 符合 FIPS 140-2 1 级合规性。

可以将 Vertica 配置为在 FIPS 兼容模式下运行，以确保其功能和过程（例如 SSL/TLS 连接，需要通过安全哈希、加密、数字签名等进行加密）能够利用经 FIPS 140-2 验证的 RedHat Enterprise Linux 6.6 OpenSSL 模块 v3.0 提供的加密服务。如果您不在 Vertica 支持的 FIPS 兼容操作系统上运行，则将无法在 FIPS 模式下运行 Vertica。RedHat 的实施在操作系统级别保证 Vertica 使用正确的 FIPS 140-2 加密模块。

Vertica 会检查操作系统级别标志设置 /proc/sys/crypto/fips_enabled，以启动 Vertica 的 FIPS 模式安装。有关如何安装和配置 Vertica 及其组件以符合 FIPS 140-2 标准的更多详细信息，请参阅安装和安全指南：

• 使用安装脚本安装 Vertica
• 美国联邦信息处理标准

操作模式

Vertica 服务器在操作系统配置确定的两种模式之一下操作。

• FIPS 兼容模式 – 支持符合 FIPS 140-2 规范的加密函数。在此模式下，所有加密函数、默认算法和密钥长度均绑定为 FIPS 140-2 允许的值。

• 标准模式 – 不符合 FIPS 140-2 规范的模式，该模式使用所有现有的 Vertica 加密函数。

TLS/SSL3.x

所有 Vertica 客户端/服务器通信都可以使用 FIPS 兼容的传输层安全协议 TLS1.2/SSL3.1 或更高版本来进行保护。该协议依赖于经 FIPS 140-2 批准的哈希算法和密码。

• TLS 握手、密钥协商和身份验证可保证数据完整性，并使用安全哈希和经 FIPS 140-2 批准的加密和数字签名。

• 对传输中的数据应用 TLS 加密可保证数据机密性，并使用经 FIPS 140-2 批准的加密。

安全哈希

根据 FIPS 140-2 标准，在 FIPS 140-2 兼容模式下，可以将 Vertica 配置为仅使用 SHA-512 算法。

FIPS 140-2 架构

Vertica 是一个关系数据库系统，由客户端组件和服务器组件组成。在客户端，我们提供一套驱动程序，以供主机客户端访问 Vertica 服务器端组件。客户端和服务器 Vertica 组件均通过动态链接到 RedHat Enterprise Linux 6.6 OpenSSL 模块提供的经 FIPS 140-2 批准的 OpenSSL 加密模块，来符合 FIPS 140-2 1 级合规性。

支持的平台

有关 Vertica 支持的 FIPS 兼容操作系统和客户端驱动程序的信息，请参阅 FIPS 140-2 支持的平台。

设计保证

Vertica 使用安全提供程序 Red Hat Enterprise Linux 6.6 OpenSSL Module v3.0。这是唯一受 FIPS 140-2 支持的安全提供程序。

将 Vertica 配置为符合 FIPS 140-2 规范后，除非在操作系统级别禁用 FIPS 140-2，否则将无法恢复为标准配置。有关注意事项，请参考以下文档部分：

• Vertica 服务器的 FIPS 合规性
• 在客户端上实施 FIPS