Zertifizierungen

Datum der Aktualisierung: 10. Mai 2019

Gesetzliche Bestimmungen

F5 unterhält ein aktives Programm zur Zertifizierung und Bewertung von Produkten, das den gesetzlichen Bestimmungen entspricht und die Aufrechterhaltung einer sicheren IT-Umgebung gewährleistet.

Federal Information Processing Standard (FIPS) 140-2

Das Portfolio von F5 umfasst Virtual Editions (VEs), Full-Box-FIPS-Plattformen, PCI-Karten für integrierte Hardware-Sicherheitsmodule (HSM) und externe (Netzwerk-HSM) FIPS-Lösungen, um den strengsten Compliance-Anforderungen und Architekturen zu entsprechen. Einzelheiten entnehmen Sie bitte der nachstehenden Tabelle.

Kunden, die lediglich eine Lösung nach FIPS 140-2 Level 1 benötigen, erhalten mit FIPS BIG-IP VE von F5 ein NIST-validiertes, softwarebasiertes kryptographisches Modul für x86-Plattformen.

Full-Box-FIPS-Plattformen von F5 gewährleisten eine Validierung auf Geräteebene nach FIPS 140-2 Level 2, einschließlich der Anbringung von manipulationssicheren Aufklebern.

Darüber hinaus bietet F5 eine Auswahl an BIG-IP-Plattformen, die ein HSM umfassen, das eine Implementierung nach FIPS 140-2 Level 2 für die Generierung und Nutzung von kryptographischen Schlüsseln mit dem RSA-Verfahren unterstützt. Schlüssel, die auf einem in BIG-IP integrierten HSM generiert oder in dieses importiert wurden, können nicht im Klartextformat extrahiert werden. BIG-IP-Hardwaregeräte mit integrierten HSMs verfügen über eine versiegelte Epoxidabdeckung, die die Karte unbrauchbar und die Schlüssel unzugänglich macht, wenn sie entfernt wird. Für ein zusätzliches Maß an Schutz unterstützt BIG-IP 10350v-F eine Implementierung des internen HSM nach FIPS 140-2 Level 3. Diese Sicherheitseinstufung kennzeichnet, dass die HSM-Karte von 10350v-F einen Manipulationsschutz bietet, der physische Zugriffsversuche, eine Manipulation des kryptographischen Moduls und/oder Manipulationsversuche erkennt und daraufhin die Schlüssel zerstört und die Karte unbrauchbar macht.

FIPS-LogoFull-Box-FIPS-Plattformen von F5 gewährleisten eine Validierung aufGeräteebenenach FIPS 140-2 Level 2, einschließlich der Anbringung von manipulationssicheren Aufklebern.

FIPS-Integrationsunterstützung in der öffentlichen Cloud

  • AWS CloudHSM – Mit CloudHSM können Sie Ihre eigenen Verschlüsselungsschlüssel mithilfe von nach FIPS 140-2 Level 3 validierten HSMs verwalten. BIG-IP v14.1.0 und AWS-Versionen 1.0.18 und 1.1.0.
  • Equinix SmartKey – Sicherheit der HSM-Klasse in einem anwenderfreundlichen Cloud-Dienst mit integrierter Verschlüsselung und Tokenisierung sowie einer Zertifizierung nach FIPS 140-2 Level 3. BIG-IP v14.1.0 und SmartKey-Client-Version 2.9.804.
F5-Modell NIST-validierte kryptographische Module Allgemeines
FIPS-
Level
Sicherheits-
strategie
Konsolidiertes
Validierungs-
zertifikat

BIG-IP 10350v-F

(FIPS 140-2 Inside)

Teilweise unterstützt: DFARS 252.204-7012/NIST SP 800-171. 

Erfordert das kryptographische Gerätemodul von F5®

Integriertes Modul:
Cavium Nitrox III CNN3560-NFBE-G
Level 3 Sicherheitsstrategie nach Level 3 FIPS 140-2-Validierungszertifikate:
Level 2: 3142
Level 3: 2733

BIG-IP i5820/i7820

(FIPS 140-2 Inside)

Teilweise unterstützt: DFARS 252.204-7012/NIST SP 800-171.  

Erfordert das kryptographische Gerätemodul von F5®

Integriertes Modul:
Cavium Nitrox III CNN3560-NFBE-G
Level 3 Sicherheitsstrategie nach Level 3 FIPS 140-2-Validierungszertifikate:
Level 2: In Arbeit
Level 3: 2733

BIG-IP 11000-F, 11050-F, 10200v-F, 7200v-F, 5250v-F

(FIPS 140-2 Inside)

Erfordert das kryptographische Gerätemodul von F5®

Integriertes Modul:
Cavium Nitrox XL 1600-NFBE HSM-Familie
Level 2 Sicherheitsstrategie nach Level 2 FIPS 140-2-Validierungszertifikate:
Level 2: 1369
Level 3: 1511

BIG-IP, VIPRION, BIG-IP Virtual Edition der Version 11.2 und höher

(FIPS 140-2 Inside)

Nicht unterstützt: DFARS 252.204-7012/NIST SP 800-171. 

Externes Modul:
Thales nShield Connect 500+, nShield Connect 1500+, nShield Connect 6000+
Level 2/3 Sicherheitsstrategie nach Level 2
Sicherheitsstrategie nach Level 3
FIPS 140-2-Validierungszertifikate:
Level 2: 1203 und 1733
Level 3: 1197 und 1742

BIG-IP, VIPRION, BIG-IP VE der Version 11.5 und höher

(FIPS 140-2 Inside)

Nicht unterstützt: DFARS 252.204-7012/NIST SP 800-171. 

Externes Modul:
SafeNet Luna SA 6000
Level 2/3 Sicherheitsstrategie nach Level 2
Sicherheitsstrategie nach Level 3
FIPS 140-2-Validierungszertifikate:
Level 2: 1347
Level 3: 1167

BIG-IP Virtual Edition (v12.1.2 HF1 auf VMware ESXi 5.5, AWS auf Xen HVM domU und Microsoft Azure auf der virtuellen Maschine Hyper-V)
(v13.1.1 auf VMware ESXi 6.5, AWS auf Xen 4.2.amazon, Hyper-V 10.0 und Microsoft Azure auf der virtuellen Maschine Hyper-V)
(v14.1.0.3 auf VMware ESXi 6.5, Hyper-V 2019, AWS und Azure)

(FIPS 140-2 Inside)

Unterstützt: DFARS 252.204-7012/NIST SP 800-171 für CUI
Softwaremodul:
Kryptographisches Modul für BIG-IP®
Level 1
Sicherheitsstrategie nach Level 1 VE
FIPS 140-2-Validierungszertifikate:
Level 1: 2911

Validierung für BIG-IP v14.1.0.3 in Arbeit

BIG-IP 4000/7000-Serie, 10350v-F, BIG-IP i4000/i5000/i7000-Serie, VIPRION B2250/B4450 (v13.1)

BIG-IP 4000/7000-Serie, 5250v-F, 7200v-F, 10200v-F, 10350v-F, BIG-IP i4000/i5000/i7000/i10800/i11800/i15800-Serie, i5820v-F, i7820v-F, VIPRION B2250/B4450 (v13.1.1)

BIG-IP 5250v-F, 7200v-F, 10200v-F, 10350v-F, BIG-IP i4000/i5000/i7000/i10800/i11800/i15800-Serie, i5820v-F, i7820v-F, VIPRION B2250/B4450 (v14.1.0.3)

Unterstützt: DFARS 252.204-7012/NIST SP 800-171 für CUI

Hardware- und Firmwaremodul:
Kryptographisches Gerätemodul von F5®
Level 2
Sicherheitsstrategie nach Level 2

FIPS 140-2
Validierungs-
zertifikate:
Level 2: 3142 (v13.1), Level 2: 3450 (v13.1.1)

BIG-IP v14.1.0.3 in Arbeit

VIPRION B2250/B4450-vCMP (v13.1)

VIPRION B2250/B4450-vCMP (v13.1.1)


i4000/i5000/i7000/i15800-Serie, i5820v-F, i7820v-F, VIPRION B2250/B4450-vCMP (14.1.0.3)

Unterstützt: DFARS 252.204-7012/NIST SP 800-171 für CUI

Firmwaremodul:
Kryptographisches vCMP-Modul von F5®
Level 2 Sicherheitsstrategie nach Level 2

FIPS 140-2
Validierungszertifikate:
Level 2: 3179 (v13.1), Level 2: 3439 (v13.1.1)

BIG-IP v14.1.0.3 in Arbeit

Historische FIPS

BIG-IP 6900F und 8900F von F5 entsprechen zwar den Vorgaben nach FIPS 140-2, unterstützen jedoch ein notwendiges Firmware-Upgrade für ihr HSM nicht und wurden daher in die Liste historischer FIPS aufgenommen.

F5-Modell NIST-validierte kryptographische Module Allgemeines FIPS-Level Sicherheitsstrategie Konsolidiertes Validierungszertifikat
BIG-IP 6900F, 8900F Integriertes Modul:
Cavium Nitrox XL CN1520-VBD-04-0201
Level 2 Sicherheitsstrategie nach Level 2
Sicherheitsstrategie nach Level 3
FIPS 140-2-Validierungszertifikate:
Level 2: 1360
Level 3: 1361

Wesentliche Vorteile der Verwendung von FIPS-konformen Lösungen von F5:

  • Leistungsstarkes SSL – branchenführende Leistung mit von derBrancheempfohlenen Standards.
  • Einheitliche Plattform – Mit BIG-IP ist es möglich, ein HSM, das einen sicheren Schlüsselspeicher bietet, mit einer Lösung zur Anwendungsbereitstellung mitsamt SSL-Schlüsselverwaltung und Zertifikatverwaltung auf nur einem Gerät zusammenzuführen. Andere Lösungen erfordern ein separates System oder eine FIPS-zertifizierte Karte für jeden Webserver. Dagegen gestattet das Schlüsselverwaltungskonzept des BIG-IP-Systems die Pflege einer höchst skalierbaren, sicheren Infrastruktur, die auch höhere Datenverkehrsaufkommen bewältigen kann. Hinzu kommt, dass Unternehmen der Infrastruktur problemlos neue Dienste hinzufügen können.
  • Sichere Ressourcen – Die Lösungen von F5 schützen die Integrität von Unternehmen, indem Unternehmensressourcen sicher verwahrt und Unternehmensmarken geschützt werden.

DFARS 252.204-7012/NIST SP 800-171 für Controlled Unclassified Information (CUI) ist ein Mandat für Unternehmer des US-amerikanischen Verteidigungsministeriums, das im Dezember2017 in Kraft getreten ist,und wird mithilfe von FIPS-validierten Lösungen erfüllt, die sowohl asymmetrische als auch symmetrische kryptographische Operationen abdecken. Einige FIPS-Plattformen von F5 erfüllen diese Anforderung direkt oder aber durch die Hinzufügung des FIPS-Moduls von F5. Qualifizierende Plattformen und Einzelheiten finden sich weiter oben.

Common Criteria for Information Technology Security Evaluation (Common Criteria, CC)

Common Criteria ist ein internationaler Standard (ISO 15408) für die Bewertung der Sicherheitseigenschaften eines IT-Produkts. Der enthaltene Kanon aus Anforderungen dient der Bewertung von Hardware, Software, Firewalls und Servern. Ziel der Bewertung ist es, Gewissheit dafür zu geben, dass ein Gerät oder eine Software sicher mit Daten umgeht und keine Elemente enthält, die die Datenintegrität gefährden könnten. Jeder Evaluation Assurance Level (EAL, Stufe der Vertrauenswürdigkeit) erfordert schrittweise detailliertere Informationen zur Auslegung und Prüfung des zu bewertenden Geräts oder der zu bewertenden Software. (Es ist zu beachten, dass das EAL-Klassifizierungssystem durch gemeinsame Schutzprofile ersetzt wird, die für bestimmte Technologien entwickelt wurden und die die in den Sicherheitsvorgaben aufgeführten Anforderungen ebenso wie Sicherungsmaßnahmen für diese Anforderungen darlegen.)

Common Criteria gibt dem US-amerikanischen Verteidigungsministerium und den Bundesnachrichtendiensten die Gewissheit, dass von ihnen erworbene Produkte den Bestimmungen der Präsidialverordnung für den Betrieb sicherer Informationssysteme entsprechen. Andere Bundesbehörden und einige Finanzinstitute haben es deutlich leichter, nach Common Criteria zugelassene Produkte für ihre sensiblen Bereitstellungen zu erwerben. F5 wurde mit Zertifizierungen nach EAL 2+ und EAL 4+ akkreditiert. Zertifizierungen für gemeinsame Schutzprofile für Netzwerkgeräte und Firewalls sind in Arbeit. Einzelheiten sind der nachstehenden Tabelle und den Links zu entnehmen.

Deutsches IT-Sicherheitszertifikat

Zertifizierung nach Common Criteria

F5-Modell Softwareversion Informationen zur Zertifizierung Sicherheitsvorgaben
BIG-IP 6900, 8900, 11050 10.2.2 LTM + ACA + PSM NIAP-Common-Criteria-Zertifikat EAL 2+ Sicherheitsvorgaben für F5 Networks BIG-IP Local Traffic Manager
BIG-IP 11.5.1 ADF-Base (LTM + AFM)

BSI-DSZ-CC-0856-2017 EAL4+

Sicherheitsvorgaben

Basierend auf dem NIAP-Schutzprofil für Netzwerkgeräte, Version 1.1, und Network Device Protection Profile Extended Package Stateful Traffic Filter Firewall, Version 1.0
BIG-IP 11.5.1 ADC-AP (LTM + APM) BSI-DSZ-CC-0975-2018 EAL4+ Sicherheitsvorgaben
Basierend auf dem NIAP-Schutzprofil für Netzwerkgeräte, Version 1.1
BIG-IP 10350-F, BIG-IP i5000/i7000-Serie, VIPRION B2250/B4450, vCMP 12.1.3.4 LTM + AFM CSEC 2017004
NIAP APL
Gemeinsames Schutzprofil für Stateful Traffic Filter Firewalls v1.0
BIG-IP 10350-F, BIG-IP i5000/i7000-Serie, VIPRION B2250/B4450, vCMP 12.1.3.4 LTM + APM CSEC 2017005
NIAP APL
Gemeinsames Schutzprofil für Netzwerkgeräte v1.0
BIG-IP 10350-F, BIG-IP i5000/i7000-Serie, einschließlich i5820v-F und i7820v-F, i10000/i11000/i15800-Serie, VIPRION B2250/B4450, vCMP 13.1.1 LTM + AFM CSEC 2017016 in Arbeit Gemeinsames Schutzprofil für Stateful Traffic Filter Firewalls v2.0E
BIG-IP 10350-F, BIG-IP i5000/i7000-Serie, einschließlich i5820v-F und i7820v-F, i10000/i11000/i15800-Serie, VIPRION B2250/B4450, vCMP 13.1.1 LTM + APM CSEC 2017021 in Arbeit Gemeinsames Schutzprofil für Netzwerkgeräte v2.0E
BIG-IP 10350-F, BIG-IP i5000/i7000-Serie, einschließlich i5820v-F und i7820v-F, i10000/i11000/i15800-Serie, VIPRION B2250/B4450, vCMP 14.1.0.3 LTM + AFM CSEC 2019003 Gemeinsames Schutzprofil für Stateful Traffic Filter Firewalls v2.0E
BIG-IP 10350-F, BIG-IP i5000/i7000-Serie, einschließlich i5820v-F und i7820v-F, i10000/i11000/i15800-Serie, VIPRION B2250/B4450, vCMP 14.1.0.3 LTM + APM CSEC 2019004 Gemeinsames Schutzprofil für Netzwerkgeräte v2.0E

 

Commercial Solutions for Classified (CSfC)

CSfC ist ein Programm der National Security Agency / Central Security Service (NSA/CSS), mit dem kommerzielle Produkte in mehrschichtigen Lösungen zum Schutz von klassifizierten Daten nationaler Sicherheitssysteme (NSS) verwendet werden können. Das Programm besteht aus zwei Teilen – einer Komponentenliste und Lösungen, die aus Elementen in der Komponentenliste zusammengestellt wurden. Auch BIG-IP von F5 ist in der Komponentenliste aufgeführt.

F5-Komponente Informationen zur Zertifizierung
BIG-IP 12.1 LTM + AFM CSfC-Datenverkehrsfilter-Firewall
BIG-IP 13.1.1 In Arbeit
BIG-IP 14.1.0.3 In Arbeit

IPv6-Konformitätszertifizierung der US-Regierung (USGv6)

Das US-amerikanische Office of Management and Budget (OMB) hat erklärt, dass sämtliche Bundesbehörden dazu verpflichtet sind, IPv6 in ihren Netzwerken in OMB Memorandum M-05-22 zu nutzen. Die IPv6-Konformitätszertifizierung der US-Regierung (USGv6) ist ein Kanon aus technischen Standards für den Erwerb von IPv6-fähigen Hosts, Routern und Netzwerksicherheitsgeräten. Das National Institute of Standards and Technology (NIST) stellte die USGv6-Konformitätsstandards zusammen, um die Umstellung auf IPv6 in der US-Regierung zu vereinfachen.

BIG-IP von F5 ist IPv6-fähig und USGv6-zertifiziert. Sehen Sie sich die Ankündigung an: F5 erhält IPv6-Ready Gold Logo und USGv6-Zertifizierungen

Plattformen Produktversion Informationen zur Zertifizierung
BIG-IP 10000-Serie 11.3, 12.1 IPv6 Gold
Phase-2 Gold Logo ID #02-C-001106
BIG-IP 10000-Serie, VIPRION B4300-Serie 11.3.0 und alle neueren Versionen USGv6
Ergebnisse von UNH-IOL

JITC PKE

Das Joint Interoperability Test Command (JITC) ist eine Abteilung der Defense Information Systems Agency (DISA) des US-amerikanischen Verteidigungsministeriums. Es stellt risikobasierte Testauswertungs- und Zertifizierungsdienste, Tools und Umgebungen bereit, um auf diese Weise die schnelle Bereitstellung von interoperablen und operativ wirksamen Informationstechnologien und nationalen Sicherheitssystemen zu gewährleisten und zu ermöglichen. Clients oder Server werden getestet, um sicherzustellen, dass sie Public-Key-fähig (PKE) sind und Sicherheitsdienste wie Authentifizierung, Vertraulichkeit, VerbindlichkeitundZugriffssteuerung bereitstellen können. Zu den JITC-PKE-Testbereichen gehören NIST- und JITC-Zertifizierungen, das Online Certificate Status Protocol (OCSP), Zertifikatssperrlisten (CRLs) und DoD Common Access Cards (CACs).

BIG-IP von F5 ist vom US-amerikanischen Verteidigungsministerium als PUBLIC-KEY-ENABLED (PKE) zertifiziert. Sehen Sie sich die Ankündigung an: F5 erhält Zertifizierung des Joint Interoperability Test Command (JITC)

Modell Einzelheiten zur Zertifizierung Anmerkungen
BIG-IP v11.2 Zertifiziert Kompatibel mit DoD Common Access Cards (CAC)

NIST 800-53

Die NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations, ist ein zentraler Standard, der definiert, wie die Informationssicherheit und das Risikomanagement innerhalb der Bundesregierung anzugehen sind. Dieser Standard wurde von NIST, DoD, der Intelligence Community und dem Committee on National Security Systems entwickelt und liefert Anweisungen zu kontinuierlicher Überwachung und FISMA-Anforderungen. Er unterstützt auch einen risikobasierten Ansatz zum Schutz kritischer Projekte und Geschäftsfunktionen.

F5 hat dieses mehr als 240 Seiten lange Dokument in einer F5 iApp für NIST 800-53 zusammengefasst. DieiAppbietet mehrere Seiten mit relevanten Fragen und Aufgaben, die den Administrator bei der Anwendung der relevanten Sicherheitskontrollen auf seinem BIG-IP-Gerät unterstützen. Unternehmen profitieren somit von immensen Zeit- und Ressourceneinsparungen.

Wenn Ihre Behörde das DIACAP-Verfahren verbessernmöchteoder nach Möglichkeiten sucht, um den FISMA-Anforderungen zu entsprechen, trägt die iApp für NIST 800-53 von F5 dazu bei, sicherzustellen, dass die korrekten Konfigurationseinstellungen auf dem BIG-IP-Gerät geprüft und eingestellt werden.

Weitere Informationen zur Verwendung der F5 iApp-Vorlage

DoDIN APL (Department of Defense Information Network Approved Product List)

Die Liste anerkannter Produkte für Informationsnetzwerke des US-amerikanischen Verteidigungsministeriums (DoDIN APL) ist eine konsolidierte Liste mit Produkten, die mit Zertifizierungen zur Interoperabilität (IO) und Informationssicherung (IA) akkreditiert wurden. DoDIN APL-Zertifizierungen belegen, dass das System den Security Technical Implementation Guides (STIG) des DISA Field Security Office (FSO) entspricht und gemäß diesen konfiguriert ist.

Weitere Informationen zum DoDIN APL-Verfahren finden Sie auf der Website zur DoDIN APL-Prüfung und Zertifizierung.

Zertifikatsnummer/TN-Nummer Produkt Externe Zertifizierung
1312201 F5 Networks BIG-IP-Ver. 11.6 Zertifizierung
1630801 F5 Networks BIG-IP-Ver. 13.1 Zertifizierung

Zusätzliche Zertifizierungen

Wenden Sie sich für weitere Informationen zu den zahlreichen anderen Zertifizierungen von F5 an den F5-Vertrieb.