FIPS/TAA 補充說明  NCCCoE  NIST

產品相容問題：

根據美國聯邦規範FIPS 安全標準，符合FIPS 標準的產品必須要搭配專屬的硬體。

軟體必須支援FIPS，硬體必須支援TAA

下面這個文件有說明Aruba 控制器符合　FIPS-140-2 Level 2 標準　7210 TAA 控制器料號JW745A .如文件中Page 6所示

https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp3552.pdf

針對美國國家安全規範 這邊可以查詢哪些產品 符合美國國家安全規範 各位可以參考一下  基本上都是TAA機種 (感謝Matt Kuan提供相關連結)

https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search?SearchMode=Basic&ModuleName=aruba&CertificateStatus=Active&ValidationYear=0

美國NCCCoE 定義安全規範 Aruba 是Trust IT Vender ..可以參考下面聯結  

https://www.nccoe.nist.gov/projects/trusted-iot-device-network-layer-onboarding-and-lifecycle-management

Mobility Master 符合FIPS 規範，控制器硬體必須使用TAA 料號版本。同時AP(基地台)必須使用TAA料號版本..

因為韌體與韌體有搭配性問題，無法使用FIPS 版本納管非 TAA版本硬體(這點貴司已經測試過MM無法納管非TAA型號控制器)。

ARUBA 產品支援FIPS 查詢連結 

https://www.arubanetworks.com/zh-hant/solutions/government/certifications/

最近有通路商遇到開標規範內文包含下文

承商所交付韌體(軟體)須為最新版本，並提供安全性檢測證明(或佐證資料)，說明所交付版本當下並無已知漏洞(已知漏洞已修補完成)，且未內藏惡意程式(如病毒、蠕蟲、特洛伊木馬、間諜軟體等)及隱密通道(covert channel) 

北美政府公告有通過驗證的產品清單 

https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/certificates/February%202021_010321_1145_signed.pdf

北美政府網站上面放的Aruba產品說明

https://csrc.nist.gov/CSRC/media/projects/cryptographic-module-validation-program/documents/security-policies/140sp3826.pdf

授權轉移問題：

如果用戶的硬體設備屬於相同的(全部FIPS/TAA版本，或全都不是FIPS/TAA版本)保固內是可以透過Aruba Support 開立Case 轉移一次。　

基地台納管問題：

正常來說不應該這樣使用，如果未來遇到需要開立CASE 問題，有可能Aruba Support 會要求移除不相容產品(非FIPS/TAA產品)。

祝各位網路暢行無阻