Compartir comentarios
Las respuestas se generan en base a la documentación.

FIPS

Tabla de contenidos
Suscripción: Docker Hardened Images Select o Enterprise

¿Qué es FIPS 140?

FIPS 140 es un estándar del gobierno de los EE. UU. que define los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial. Se utiliza ampliamente en entornos regulados como el sector público, el de la salud y los servicios financieros.

La certificación FIPS está gestionada por el NIST Cryptographic Module Validation Program (CMVP), que garantiza que los módulos criptográficos cumplan con rigurosos estándares de seguridad.

Por qué es importante el cumplimiento de FIPS

El cumplimiento de FIPS 140 es obligatorio o se recomienda encarecidamente en muchos entornos regulados donde se debe proteger la información confidencial, como en el gobierno, el sector salud, las finanzas y la defensa. Estos estándares garantizan que las operaciones criptográficas se realicen utilizando algoritmos evaluados y de confianza implementados en módulos seguros.

El uso de componentes de software que dependen de módulos criptográficos validados ayuda a las organizaciones a:

  • Satisfacer los mandatos federales y de la industria, como FedRAMP, que exigen o recomiendan encarecidamente la criptografía validada por FIPS 140.
  • Demostrar la preparación para las auditorías, con pruebas verificables de prácticas criptográficas seguras y basadas en estándares.
  • Reducir el riesgo de seguridad, al bloquear algoritmos no aprobados o inseguros (por ejemplo, MD5) y garantizar un comportamiento consistente en todos los entornos.

Cómo admiten el cumplimiento de FIPS las Docker Hardened Images

Aunque las Docker Hardened Images están disponibles para todo el mundo, la variante FIPS requiere una suscripción de pago de Docker Hardened Images.

Las Docker Hardened Images (DHI) incluyen variantes que utilizan módulos criptográficos validados bajo FIPS 140. Estas imágenes tienen como objetivo ayudar a las organizaciones a cumplir con los requisitos de conformidad al incorporar componentes que se ajustan al estándar.

  • Las variantes de imagen FIPS utilizan módulos criptográficos que ya están validados bajo FIPS 140.
  • Estas variantes son construidas y mantenidas por Docker para dar soporte a entornos con necesidades regulatorias o de cumplimiento.
  • Docker proporciona atestaciones de prueba firmadas que documentan el uso de módulos criptográficos validados. Estas atestaciones pueden respaldar las auditorías internas y los informes de cumplimiento.
  • Las fuentes de entropía (generación de números aleatorios para operaciones criptográficas) varían según la imagen base. Las imágenes basadas en Debian utilizan la fuente de entropía de OpenSSL, mientras que las imágenes basadas en Alpine obtienen la entropía del kernel del host.
Note

El uso de una variante de imagen FIPS ayuda a cumplir con los requisitos de conformidad, pero no hace que una aplicación o sistema sea completamente conforme. El cumplimiento depende de cómo se integre y utilice la imagen dentro del sistema general.

Identificar imágenes compatibles con FIPS

Las Docker Hardened Images compatibles con FIPS están marcadas como conformes con FIPS en el catálogo de Docker Hardened Images.

Para encontrar repositorios DHI con variantes de imagen FIPS, busca en el catálogo y:

  • Utiliza el filtro FIPS en la página del catálogo
  • Busca la indicación de conformidad con FIPS en los listados de imágenes individuales

Estos indicadores te ayudan a localizar rápidamente los repositorios que admiten necesidades de cumplimiento basadas en FIPS. Las variantes de imagen que incluyen soporte FIPS tendrán una etiqueta que termina en -fips, como 3.13-fips.

Utilizar una variante FIPS

Para utilizar una variante FIPS, debes replicar (mirror) el repositorio y luego descargar la imagen FIPS desde tu repositorio replicado.

Visualizar la atestación FIPS

Las variantes FIPS de las Docker Hardened Images contienen una atestación FIPS que detalla los módulos criptográficos reales incluidos en la imagen.

Puedes recuperar e inspeccionar la atestación FIPS utilizando la CLI de Docker Scout:

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/fips/v0.1 \
  --predicate \
  dhi.io/<image>:<tag>

Por ejemplo:

$ docker scout attest get \
  --predicate-type https://docker.com/dhi/fips/v0.1 \
  --predicate \
  dhi.io/python:3.13-fips

El resultado de la atestación es un array JSON que describe los módulos criptográficos incluidos en la imagen y su estado de cumplimiento. Por ejemplo:

[
  {
    "certification": "CMVP #4985",
    "certificationUrl": "https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4985",
    "name": "OpenSSL FIPS Provider",
    "package": "pkg:dhi/[email protected]",
    "standard": "FIPS 140-3",
    "status": "active",
    "sunsetDate": "2030-03-10",
    "version": "3.1.2"
  }
]