為什麼 Google Cloud 接受比 IBM Cloud 更低的 FIPS 140-2 級別？

FIPS 140-2 是處理加密模組以及組織用來加密靜態數據和動態數據的標準。FIPS 140-2 有 4 個安全級別，1 級是最不安全的，4 級是最安全的。

與 IBM Cloud（第 4 級）相比，Google Cloud 的級別（第 3 級）較低。我想知道為什麼Google選擇接受這個較低的級別？我假設Google是有意識地做出這個決定的，並且差異不應該帶來太大的風險，因為Google會做出明智的決定。但如果是這樣，那可能是什麼原因呢？

更重要的是，如果您在財務部門執行儲存敏感數據的 SaaS 業務，那麼在選擇遷移到 IBM Cloud 還是 Google Cloud 時，您應該考慮這種差異嗎？

資源：

• Google FIPS 140-2 認證
• Google 的加密頁面
• IBM FIPS 140-2 認證
• IBM 超保護服務

該問題進行了蘋果與橙色的比較：Google 的 1 級證書 #3318用於“軟體庫”，IBM 的 4 級證書 #3410用於“PCIe 加密協處理器硬體安全模組”。軟體無法獲得 3 級或 4 級 FIPS 140-2 證書，因為清單中的某些框（例如關於檢測物理入侵）不適用於軟體。

然後問題將這些證書視為它們不是什麼：關於雲服務安全性的證書。例如，IBM Cloud 肯定沒有通過 FIPS 140-2 第 4 級認證：也許它使用了某個小玩意兒。無論如何，在雲服務中使用 Gizmo（軟體或硬體）並不是所述服務安全性的令人滿意的指標。

剩下的問題歸結為 IT 解決方案的架構選擇，以及決策者基於錯誤應用的技術論點對其安全性的看法。因此，它是題外話。

引用自：https://crypto.stackexchange.com/questions/98554