BLOG

Wie Hardware die Anwendungssicherheit verbessern kann

F5 Miniaturansicht
F5
Veröffentlicht am 18. Dezember 2018

In den letzten fünf Jahren war die Sicherheit für die meisten Organisationen – ob groß oder klein – eines der Hauptanliegen. Ein großer Teil der Aufmerksamkeit richtete sich in letzter Zeit auf die Sicherheit der öffentlichen Cloud, da Unternehmen entweder Apps migrieren oder Cloud-native Apps erstellen. Viele wichtige Apps befinden sich jedoch noch immer in privaten Rechenzentren und werden dies auch in absehbarer Zukunft tun. Daher müssen Unternehmen auch hinsichtlich ihrer eigenen Infrastruktur und Hardware wachsam bleiben.

Ein kürzlich erschienener Bloomberg-Artikel lenkte die Aufmerksamkeit verstärkt auf versteckte Arten von Supply-Chain-Hacks, bei denen Dritte Netzwerkgeräte abfangen, um Daten zu manipulieren, auszuspionieren oder auf andere Weise zu kompromittieren, und unterstreicht diesen Punkt.

Obwohl die Manipulation der Hardware normalerweise nicht der Einstiegspunkt für Anwendungsangriffe ist, kann sie durchaus eine einfache Möglichkeit sein, unbemerkt zu bleiben. Kurz gesagt: Heutzutage gibt es keinen Teil eines Systems – von der Hardware bis zur Software – der nicht irgendeiner Art von Bedrohung ausgesetzt ist. Deshalb ist es für Unternehmen äußerst wichtig, den Schutz ihrer Systeme aus jedem möglichen Blickwinkel sicherzustellen. Darüber hinaus erhöht die zunehmende Verwendung von Subsystemen aus Drittanbieterfertigung im letzten Jahrzehnt die Möglichkeit eines Hacks in der Lieferkette, der sich auf die gesamte Hardware auf Platinenebene auswirkt. Organisationen stellen (und sollten) die folgenden Fragen: Verlassen sich Hardwareanbieter auf ihre eigene oder auf die Hardware anderer? Und was bedeutet das für die Sicherheit der Anwendungen?

An dieser Stelle möchte ich kurz auf zwei wichtige Punkte eingehen:

  • Bei F5 sind wir zu 100 % Eigentümer unserer Hardware-Design- und Fertigungstestprozesse und haben eine strenge Kontrolle.
  • Das gesamte F5-Team arbeitet unermüdlich daran, wirkungsvolle Hardware- und Softwareverbesserungen vorzunehmen.

Bessere Hardware-Sicherheit während der Herstellung

Während der Hauptsitz von F5 in Seattle im US-Bundesstaat Washington liegt, erfolgt jeder Aspekt unseres Hardware-Designs und unserer Entwicklung in einer sicheren Unternehmensanlage am anderen Ende des Staates, in Spokane. Entstanden aus dem Wunsch, dedizierte Hardware für den Betrieb unserer BIG-IP -Plattform zu entwickeln, können wir dadurch die Sicherheit unserer Hardware direkt gewährleisten und sie vor gezielten Angriffen schützen. Innerhalb des Standorts behält F5 auch die Kontrolle über den Herstellungs- und Testprozess, vom ersten Entwurf in der CAD-Software über die Herstellung der Leiterplatte (PCB) bis hin zur Montage der Leiterplatte (PCA), bei der die eigentlichen Komponenten auf die Leiterplatte gelötet werden. 

Bei F5 unternehmen wir einen großen Schritt zur Gewährleistung von Schutz und Privatsphäre: Wir besitzen nicht nur unsere Produktdesigns und kontrollieren alle Aspekte der Tests in der Einrichtung unseres Vertragsherstellers, sondern das IT-Team von F5 besitzt und verwaltet auch die Infrastruktur, auf der unsere Tests ausgeführt werden. Um den Wert dieser Kontrolle über den Herstellungsprozess zu verstehen, müssen wir zunächst kurz darüber sprechen, wie unsere Hardware hergestellt und entwickelt wird. Zunächst wird das Design in einer CAD-Software erstellt, die Gerber-Daten, ein Vektorbild der Platine, generiert. Anschließend wird anhand dieser Daten bei einem anderen Zulieferer als unserem Vertragshersteller eine Leiterplatte (PCB) hergestellt. Anschließend wird eine Leiterplattenbaugruppe (PCA) zusammengebaut, wobei die eigentlichen Komponenten (CPU, Speicher, ICs, Transistoren usw.) auf die Leiterplatte gelötet werden. Darüber hinaus verwenden wir eine Kombination aus Validierungsprozessen namens AOI (Automated Optical Inspection) und 5DX/AXI (Röntgen-)Inspektion, um Probleme zu finden, die die Qualität und Systemintegrität beeinträchtigen könnten. Hierzu gehört die Identifizierung aller Elemente, die nicht Teil des ursprünglichen Produktdesigns sind und unter der Kontrolle von F5 stehen.

Gewährleistung der Hardwaresicherheit durch Software

Auch durch Softwareinnovationen lässt sich mehr Vertrauen in die Sicherheit der Hardware erreichen. Ein Beispiel hierfür ist die Einführung unserer Funktion zur Manipulationserkennung: „TPM-Verwahrungskette.“ Dies ist eine Funktion unserer Hardware, die sicherstellt, dass die auf der F5-Hardware installierte Firmware tatsächlich von F5 hergestellt und nicht manipuliert wurde, um einen besseren Schutz vor Angriffen zu bieten. Diese Funktion vergleicht die verschiedenen Ebenen der beim Start „gemessenen“ Firmware (durch einen Prozess, der einer Prüfsumme in Paketen ähnelt) mit den bekannten, validierten Werten, die während des F5-Herstellungsprozesses ermittelt wurden. Dieser Vergleich beim Systemstart wird als Attestierung bezeichnet.

In unserer vorherigen BIG-IP-Softwareversion, BIG-IP v14.0, kündigte F5 die TPM-basierte lokale Attestierung an, eine automatisierte Methode zum Vergleichen der von F5 ermittelten Werte mit den aktuellen Werten der Hardware/Software, gemessen beim Start (während des Bootens). Dies bedeutet, dass während der BIG-IP-Startreihenfolge die aktuelle Startsicherheitsbewertung mehrerer Software-Stack-Komponenten durch lokale Bestätigung automatisch mit den F5 bekannten Werten verglichen wird. Dadurch können die Kunden sicher sein, dass es sich bei dem System um eine von F5 hergestellte und unveränderte Version handelt. Diese Funktion entlastet unsere Kunden von der manuellen Durchführung der Aktion, wodurch wiederum Ressourcen und Zeit frei werden und die Gesamtgemeinkosten gesenkt werden.

Mit der kürzlich veröffentlichten Version BIG-IP v14.1 hat F5 unsere Implementierung verbessert und freut sich sehr, die allgemeine Verfügbarkeit von Remote Attestation für TPM Chain of Custody bekannt zu geben. Das Hauptunterscheidungsmerkmal besteht darin, dass F5 nun durch die Schnittstelle zu iHealth die aktuellen Startwerte der F5-Firmware mit den bekannten F5-Werten vergleichen kann. iHealth wird zentral von F5 gesteuert und gesichert, was besser ist als eine lokale Validierung. Sobald die iHealth-Plattform die Gerätewerte in ihrem Register überprüft hat, meldet sie dem BIG-IP-System, ob das TPM gültig ist oder nicht. So können Kunden die Echtheit ihres F5-Geräts bestätigen und so hardware- und firmwarebasierte Angriffe verhindern.

Rekapitulieren

Zusammenfassend lässt sich sagen, dass das mit TPM ausgestattete F5-System jetzt über eine Funktion verfügt, die die Attestierung und Bestätigung der Verwahrungskette für das Gerät vor Ort und aus der Ferne unterstützt, ohne dass dies manuell erfolgen muss. Diese Funktion überprüft, ob die richtige F5-Software auf der BIG-IP-Hardware ausgeführt wird, und gibt unseren Kunden die Gewissheit, dass ihre Hardware nicht manipuliert wurde. Mit der BIG-IP-Hardware von F5 müssen sich Kunden um ein Sicherheitsproblem weniger sorgen und können sich besser auf die Sicherung ihrer Apps und App-Daten konzentrieren.

Weitere Informationen zu den Hardwareplattformen von F5 finden Sie unter https://www.f5.com/products/big-ip-services/iseries-appliance . Informationen dazu, wie F5 die Anwendungssicherheit Ihres Unternehmens verbessert, finden Sie unter https://www.f5.com/solutions/application-security .