Cómo utilizar SQL Server 2016 en FIPS 140-2-modo compatible con

Introducción

Este artículo analiza las instrucciones de FIPS 140-2 y cómo utilizar 2016 de SQL Server en el modo FIPS 140-2 compatibles.

Notas:

  • Los términos "FIPS 140-2 compatible," "Cumplimiento de normas FIPS 140-2" y "FIPS 140-2-modo compatible con" se definen aquí para uso y claridad. Estas condiciones no son reconocidas o gobierno términos definidos. Los Gobiernos de los Estados Unidos y Canadá reconocen la validación de los módulos criptográficos de estándares como FIPS 140-2 en lugar de utilizar los módulos criptográficos de especificada o forma conforme.

    En este artículo, utilizamos FIPS 140-2 compatibles, cumplimiento de normas FIPS 140-2y FIPS 140-2 - modo compatible con significa que SQL Server 2016 utiliza sólo FIPS 140-2-validado instancias de algoritmos y las funciones de hash en todos los casos en los que cifran o datos hash es importados a o exportados de 2016 de SQL Server. Además, esto significa que SQL Server 2016 administrará las claves de forma segura, como se requiere de módulos criptográficos de FIPS 140-2 validado. El proceso de administración de claves también incluye la generación de claves y el almacenamiento de claves.

  • Utilizamos "certificadas" aquí significa que la instancia del algoritmo FIPS 140-2 validado o que el sistema operativo contiene FIPS140-2-validar instancias de algoritmos.

¿Qué es FIPS?

Information Processing Standard (FIPS) federal es un estándar desarrollado por los órganos de gobierno de dos siguientes:

  • El Instituto nacional de estándares y tecnología (NIST) de Estados Unidos

  • El establecimiento de la seguridad de comunicaciones (CSE) de Canadá

Las normas FIPS se recomienda o impuestas para su uso en sistemas de TI operado por el gobierno federales de los Estados Unidos y Canadá.

¿Qué es FIPS 140-2?

FIPS 140-2 es una instrucción que se ha titulado "Security Requirements for Cryptographic Modules". Especifica qué algoritmos de cifrado y qué algoritmos de hash se pueden utilizar y cómo son las claves de cifrado generadas y administradas. Algunos hardware, software y procesos que contienen los algoritmos pueden considerarse FIPS 140-2 certificados y otro hardware, el software y los procesos que llaman a los algoritmos correctos pueden considerarse FIPS 140-2 compatibles.

¿Cuál es la diferencia entre estar compatible con FIPS 140-2 y FIPS 140-2 certificados?

2016 de SQL Server se puede configurar y ejecutar de una manera que sea compatible con FIPS 140-2. Para configurar SQL Server 2016 de esta manera, se debe ejecutar en un sistema operativo que es la certificación FIPS 140-2 o que proporciona los módulos criptográficos que están certificados. La diferencia entre la certificación y cumplimiento de normas no es sutil. Algoritmos pueden certificarse. No es suficiente para utilizar un algoritmo simplemente porque aparece en las listas aprobadas en FIPS 140-2. En su lugar, debe utilizar una instancia de tal algoritmo que esté certificado. Esto significa que la instancia está validado por el gobierno. La certificación requiere pruebas y comprobación por un laboratorio de evaluación aprobados por el gobierno de Estados Unidos o Canadá. Windows Server 2012 y versiones posteriores y Windows 8 y versiones posteriores contienen la instancia certificada de cada algoritmo permitido. Lo más importante, una llamada a cada uno de estos algoritmos proporciona sólo la instancia certificada.

¿Qué aplicaciones pueden ser FIPS 140-2 compatible con?

Todas las aplicaciones que realice el cifrado o hash y que se ejecutan en una versión certificada de Windows pueden ser compatibles con utilizando sólo las instancias certificadas de los algoritmos aprobados y cumpliendo los requisitos de generación de claves y administración de claves. Para ello, mediante la función de Windows para la generación de claves y administración de claves o cumplir con los requerimientos de administración de claves y de generación de clave dentro de la aplicación. Tenga en cuenta que puede haber zonas en una aplicación compatible con FIPS donde están habilitados los algoritmos no compatibles o procesos. Por ejemplo, se permiten algunos procesos internos que permanecen en el sistema y algunos datos externos que se han programado para cifrarse además por una instancia del algoritmo certificadas.

¿Es SQL Server 2016 siempre FIPS 140-2 compatibles?

No SQL Server 2016 puede ser FIPS 140-2 compatible con porque puede configurar y ejecutar para que utilice únicamente las instancias FIPS 140-2 certificados algoritmo. Además, estas instancias se denominan mediante CryptoAPI o CGN para el cifrado o hash en todos los casos donde se requiera FIPS 140-2.

¿Cómo se puede configurar SQL Server 2016 ser FIPS 140-2 compatibles?

Requisitos del sistema operativo

Debe instalar SQL Server 2016 en un host que está ejecutando uno de los siguientes sistemas operativos:

  • Windows Server 2012

  • Windows Server 2012 R2

  • Windows Server 2016

  • Windows 8

  • Windows 8.1

  • Windows 10

Requisitos de administración del sistema de Windows

Antes de iniciar SQL Server 2016, debe establecerse el modo FIPS. SQL Server lee la configuración en el inicio. Para establecer el modo FIPS, siga estos pasos:

  1. Inicie sesión en Windows como administrador del sistema de Windows.

  2. Haga clic en Inicio.

  3. Haga clic en Panel de Control.

  4. Haga clic en Herramientas administrativas. (Tendrá que cambiar a iconos grandes para el paso siguiente).

  5. Haga clic en Directiva de seguridad Local. Aparecerá el cuadro de diálogo Configuración de seguridad Local .

  6. En el panel de exploración, haga clic en Directivas localesy, a continuación, haga clic en Opciones de seguridad.

  7. En el panel de la derecha, haga doble clic en criptografía de sistema: usar compatible con algoritmos FIPS para cifrado, firma y operaciones hash.

  8. En el cuadro de diálogo que aparece, haga clic en habilitaday, a continuación, haga clic en Aplicar.

  9. Haga clic en Aceptar.

  10. Cierre la ventana de Configuración de seguridad Local .

Requisito de administrador de SQL Server

Cuando el servicio de SQL Server (cuando se configura un extremo de Service Broker o reflejo de base de datos) detecta que está habilitado el modo FIPS en el inicio, SQL Server registra el mensaje siguiente en el registro de errores de SQL Server:

Transporte de Service Broker se ejecuta en el modo de cumplimiento de normas FIPS.

Además, puede encontrar el mensaje siguiente en el registro de eventos de Windows:

Transporte de reflejo de base de datos se ejecuta en el modo de cumplimiento de normas FIPS.

Puede comprobar que el servidor se está ejecutando en modo FIPS buscando estos mensajes.

Notas:

  • Para la seguridad de diálogo (entre servicios), el proceso de cifrado utiliza la instancia certificada por FIPS de AES si está habilitado el modo FIPS. Si el modo FIPS está deshabilitado, el proceso de cifrado utiliza todavía AES.

  • Cuando configura un extremo de service broker en modo FIPS, el administrador debe especificar "AES" para service broker. Si el extremo está configurado para RC4, SQL Server genera un error. Por lo tanto, no se iniciará la capa de transporte.

¿Cómo funciona 2016 de SQL Server en el modo FIPS 140-2 compatibles?

  • Con el modo FIPS en Windows activado en todas las áreas donde el usuario no tendrá elección acerca de si desea cifrar o hash y cómo se llevará a cabo, 2016 de SQL Server se ejecutará en el cumplimiento de FIPS 140-2. (SQL Server 2016 utilizará la CryptoAPI de Windows y utilizará sólo las instancias certificadas de los algoritmos).

  • Con el modo FIPS en Windows activado en todas las áreas donde el usuario puede elegir si se va a utilizar el cifrado, SQL Server 2016 bien habilitará sólo FIPS 140-2 compatible con cifrado o no permitirá ningún tipo de encriptación.

  • Información importante para los desarrolladores de software: En todas las áreas donde el desarrollador o el usuario escribe su propio código para cifrado o hash, enseñarles a utilizar sólo la CryptoAPI (y, por tanto, sólo las instancias certificadas) y para especificar sólo los algoritmos permitidos por FIPS 140-2. Por el NIST oficial lista de FIPS 140-2 aprobado algoritmos criptográficos, consulte los anexos A, C y D en http://csrc.nist.gov/groups/STM/cmvp/standards.html.

¿Cuál es el efecto de 2016 de SQL Server en ejecución en el modo FIPS 140-2 compatibles?

  • Cuando se utiliza un cifrado más seguro, puede tener un pequeño efecto en el rendimiento de los procesos para los que menos robusto cifrado está permitido cuando el proceso no funciona como FIPS 140-2 compatible con.

  • La selección de cifrado para SSIS (UseEncryption = True) generará un error que indica que el cifrado disponible es incompatible con el cumplimiento de normas FIPS y no está permitido. En otras palabras, no se realiza ningún cifrado de proceso de mensajes.

  • Cuando se utiliza cifrado junto con DTS heredado, cifrado no es compatible con FIPS 140-2. Tenga en cuenta que para DTS, el modo FIPS en Windows no está activado. Por lo tanto, es responsabilidad del usuario para no seleccionar cifrado para que sigan siendo compatibles.

  • Porque ya están FIPS 140-2 compatible con la mayoría de 2016 de SQL Server de cifrado y hash procesos, ejecución de cumplimiento completo (que es, con el modo FIPS en Windows activado) tendrá poco o ningún efecto en el uso o el rendimiento de la aplicación.

¿Dónde puedo aprender más acerca de FIPS 140-2?

Para obtener más información acerca de FIPS 140-2 y cómo descargarlo, visite el sitio Web NIST.

Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×