LÖSUNGSÜBERSICHT

F5 BIG-IP-Plattformlösung für privilegierten Benutzerzugriff

Daten von Bundesbehörden schützen und Risiken mindern.

F5 BIG-IP-Plattformlösung für privilegierten Benutzerzugriff

Die entscheidende Bedeutung einer starken Authentifizierung

Der herkömmliche Zugriff auf Verwaltungsressourcen mit Benutzernamen und Passwörtern stellt in unseren heutigen Netzwerken eine große Sicherheitslücke dar. Zur Unterstützung dieser Priorität legt der Cybersecurity Discipline Implementation Plan des US-Verteidigungsministeriums (DoD) vor allem Wert auf eine starke Authentifizierung für privilegierte Benutzer.

Anstrengungslinie: Starke Authentifizierung

Die Verringerung der Anonymität sowie die Durchsetzung von Authentizität und Verantwortlichkeit für Aktionen in den Informationsnetzwerken des Verteidigungsministeriums verbessern die Sicherheitslage des Verteidigungsministeriums. Der Zusammenhang zwischen schwacher Authentifizierung und Kontoübernahme ist gut belegt. Eine starke Authentifizierung trägt dazu bei, unbefugten Zugriff zu verhindern, einschließlich der großflächigen Gefährdung des Netzwerks durch die Nachahmung privilegierter Administratoren. Kommandanten und Vorgesetzte richten ihr Augenmerk auf den Schutz hochwertiger Vermögenswerte wie Server und Router sowie den privilegierten Zugriff von Systemadministratoren. Dieser Ansatz unterstützt die Ziele 3 und 4 der Cyber-Strategie des Verteidigungsministeriums und verlangt vom CIO des Verteidigungsministeriums, bekannte Schwachstellen zu beheben.

Darüber hinaus sieht der neueste DISA Network Device Management Security Requirements Guide – der ausführliche Sicherheitspraktiken und -verfahren für die Verwaltung von Netzwerkgeräten des Verteidigungsministeriums enthält – eine Einstufung der Kategorie 2 (mittel) für das Versäumnis vor, für privilegierte Benutzerkonten, die auf Netzwerkgeräte zugreifen, eine mehrstufige Authentifizierung zu verwenden.

  • Befund-ID: V-55105
  • Schwere: Hoch
  • Einzelheiten: …das Verteidigungsministerium hat die Verwendung des Tokens/der Anmeldeinformation Common Access Card (CAC) vorgeschrieben, um die Identitätsverwaltung und persönliche Authentifizierung für Systeme zu unterstützen, die unter HSPD 12 fallen. Die vom US-Verteidigungsministerium empfohlene Architektur für Netzwerkgeräte sieht vor, dass sich Systemadministratoren mithilfe eines Authentifizierungsservers authentifizieren und dabei die CAC-Anmeldeinformationen des US-Verteidigungsministeriums mit einer vom US-Verteidigungsministerium genehmigten PKI verwenden.

Allerdings kann es schwierig sein, eine CAC-Authentifizierung gegenüber Verwaltungsressourcen durchzuführen. Es gibt sehr viele Geräte und Systeme, die nicht für eine starke Authentifizierung oder den Zugriff per Smartcard ausgelegt sind. Die Optionen waren traditionell beschränkt auf:

  1. Akzeptieren Sie das Risiko für die Organisation.
  2. Entfernen oder ersetzen Sie das Gerät.

Hauptvorteile

Reduziert die Angriffsfläche

F5 Privileged User Access erstellt eine Shell um anfällige Geräte und Verwaltungsschnittstellen. Für jeden Zugriff ist die Verwendung eines CAC/PIV erforderlich, das den Zugriff auf die einzelne Ressource autorisiert.

Erfordert keine Installation von Modifikationen

Die F5-Lösung erfordert keine Softwareinstallation oder Änderung kritischer Backend-Systeme.

Bietet einen Prüfpfad

Diese Lösung bietet Sicherheitsteams eine Prüfspur und Flexibilität für Sicherheitsrichtlinien; das Unternehmen bestimmt die Gültigkeit einer Sitzung/eines Passworts.

F5 Privilegierter Benutzerzugriff

Die F5 Privileged User Access-Lösung bietet jetzt eine zusätzliche Option, mit der einer Netzwerkinfrastruktur, die diese Funktionalität nicht nativ unterstützt, eine CAC-Authentifizierung oder eine andere starke Authentifizierungsmethode hinzugefügt werden kann. Dies geschieht, ohne dass irgendwo in der Umgebung Client-Software oder Agenten erforderlich sind, und ermöglicht Ihnen die vollständige und sichere Nutzung Ihrer vorhandenen oder nicht konformen Systeme. Es lässt sich direkt in DoD-PKI-Systeme integrieren und kann für die Zusammenarbeit mit einem vorhandenen RADIUS, TACACS, Active Directory oder einer Vielzahl von Authentifizierungsdatenbanken von Drittanbietern konfiguriert werden.


Abbildung 1: Die F5 Privileged User Access-Lösung stellt durch den in diesem Diagramm hervorgehobenen starken Authentifizierungsprozess sicher, dass die richtigen Benutzer Zugriff auf vertrauliche Daten haben.

Diese Lösung besteht aus vier Hauptkomponenten, darunter die F5 BIG-IP-Plattform, BIG-IP Access Policy Manager (APM), Ephemeral Authentication und Web SSH Client.

BIG-IP-Plattform

Die BIG-IP-Plattform ist ein FIPS-konformes, Common Criteria-zertifiziertes und UC APL-zugelassenes Produkt , das sowohl in physischen als auch in virtuellen Formfaktoren verfügbar ist. Alle Funktionen der F5 Privileged User Access-Lösung laufen innerhalb der BIG-IP-Plattform. BIG-IP ist ein in den Netzwerken des US-Verteidigungsministeriums weit verbreitetes Sicherheitsprodukt, das bereits für Tausende kritischer Anwendungen eine starke Authentifizierung durchführt. Diese zusätzliche Lösung wendet die vorhandene Funktionalität einfach auf die Anforderungen privilegierter Benutzer an.

BIG-IP-Zugriffsrichtlinien-Manager

Ein privilegierter Benutzer, der auf eine Anwendung zugreift, wird zuerst vom BIG-IP Access Policy Manager (APM) authentifiziert. BIG-IP APM zeigt erstmals einen US-amerikanischen Warnbanner der Regierung (USG) an den Benutzer, das akzeptiert werden muss, bevor mit der Authentifizierung fortgefahren werden kann.

Als Nächstes fordert BIG-IP APM vom Benutzer CAC oder starke Anmeldeinformationen an, die dann anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) oder eines OCSP-Servers (Online Certificate Status Protocol) überprüft werden, um sicherzustellen, dass die Anmeldeinformationen nicht widerrufen wurden. Optional kann BIG-IP APM einen Verzeichnisserver wie einen Microsoft Active Directory (AD)- oder Lightweight Directory Access Protocol (LDAP)-Server, einen Security Assertion Markup Language (SAML)-Anbieter oder verschiedene Verzeichnisse von Drittanbietern abfragen, um die Identität des Benutzers weiter zu ermitteln.

Sobald BIG-IP APM überprüft hat, dass der privilegierte Benutzer auf das System zugreifen darf, fragt BIG-IP APM zusätzliche Attribute ab, um zu bestimmen, auf welche Ressourcen der privilegierte Benutzer zugreifen kann. Abschließend wird dem privilegierten Benutzer eine Portalseite mit den Ressourcen angezeigt, auf die er zugreifen darf. BIG-IP APM bietet außerdem erweiterte Funktionen zum Sicherstellen der Integrität des Clients, z. B. die Überprüfung, ob es sich bei dem Client um von der Regierung bereitgestelltes Gerät (Government Furnished Equipment, GFE) handelt, ob er dem Host Based Security System (HBSS) entspricht und/oder ob auf ihm ein unterstütztes Betriebssystem ausgeführt wird.

Flüchtige Authentifizierung

Bei der temporären Authentifizierung handelt es sich im Wesentlichen um ein geschlossenes Einmalkennwort für Systeme, die sich nur mit einem Benutzernamen und einem Kennwort authentifizieren können. Das gesamte System ist in F5 BIG-IP vorhanden und arbeitet mit BIG-IP APM zusammen, um eine sichere, durchgängig verschlüsselte Verbindung zu gewährleisten und gleichzeitig die Möglichkeit einer erneuten Wiedergabe von Anmeldeinformationen auszuschließen. Zu keinem Zeitpunkt des Vorgangs ist dem Benutzer oder Client dieses flüchtige Kennwort bekannt, und im höchst unwahrscheinlichen Fall, dass dieses Kennwort kompromittiert wird, ist es für einen Angreifer oder böswilligen Akteur völlig wertlos. Dadurch kann F5 sogar CAC oder eine Multi-Faktor-Authentifizierung für jedes System bereitstellen, das zur Authentifizierung auf die Verwendung von Benutzername und Kennwort beschränkt ist.

Web-SSH-Client

Der Web-SSH-Client ist ein HTML5-Client, der auf jedem vom Staat bereitgestellten Webbrowser läuft und keine Installation clientseitiger Komponenten erfordert. Dies ermöglicht den sofortigen Zugriff von jedem aktuellen und zukünftigen Standort in den USA aus. System der Bundesregierung mit einem Webbrowser. Dieser Client bietet vollständige Terminalemulation, Mausereignisse, Ausschneiden und Einfügen und die Möglichkeit, Verbindungen auf dem Client zu protokollieren. Dieser Client unterstützt auch die Möglichkeit, Klassifizierungsbanner einzublenden, die pro Host oder global angegeben werden können, sowie Verschlüsselungsoptionen pro Host bereitzustellen, um die Kompatibilität mit älteren Geräten sicherzustellen.

Konsolidierung des privilegierten Benutzerzugriffs

Die F5 Privileged User Access-Lösung schließt nicht nur eine ernste Sicherheitslücke bei veralteten und nicht konformen Systemen, sondern stellt auch eine effektive Möglichkeit dar, den Zugriff auf moderne Systeme zu aggregieren. F5 kann viele Systeme schützen, die privilegierten Benutzerzugriff erfordern. Einige Beispiele:

  • Telefonie-Administrationsschnittstellen (z. B. Cisco Communications Manager Administration)
  • Firewall-, IDS/IPS- und DLP-Administrationsschnittstellen (z. B. Palo Alto-Weboberfläche)
  • Proxy-Verwaltungsschnittstellen (z. B. BlueCoat ProxySG)
  • Speicherarray-Schnittstellen (z. B. NetApp OnCommand, Pure Storage)
  • VDI-Administrationsschnittstellen und VDI-Client-Authentifizierungsanforderungen (z. B. VMWare Horizon, Citrix XenDesktop, Windows Remote Desktop)

Durch die Konsolidierung der Zugriffskontrolle für Administratoren können Sie die umfassenden Authentifizierungs- und Kontrollfunktionen von BIG-IP APM nutzen. Es ermöglicht Ihnen, die Verwendung von TLS-Verschlüsselungsstandards in nicht vertrauenswürdigen Netzwerken zu erzwingen. Sie können außerdem die Protokollierungsfunktionen von BIG-IP APM nutzen, um einen einzigen Punkt für die Protokollierung und Prüfung des Administratorzugriffs auf diese Systeme bereitzustellen und sie aus Compliance-Gründen in Berichts- und Protokollierungssysteme zu integrieren.

Die Zukunft der Authentifizierung

F5 bietet einen Rahmen zum Hinzufügen von Funktionen, die in Zukunft zu Anforderungen werden könnten. Zu den Authentifizierungsmöglichkeiten, die von der Regierung und der Führung des Verteidigungsministeriums in Betracht gezogen werden, zählen abgeleitete Anmeldeinformationen, biometrische Daten und zusätzliche Authentifizierungsfaktoren. Wenn sich die Regierung dafür entscheidet, von der Verwendung von CAC oder den heute allgemein verwendeten Authentifizierungsmethoden abzurücken, bietet die F5-Lösung die Flexibilität, erweitert zu werden, um diese zusätzlichen Funktionen so zu unterstützen, wie sie definiert sind.

Die F5-Lösung unterstützt Authentifizierungsföderationsmodelle und kann die Einführung von SAML und Cloud-Technologie durch das US-Verteidigungsministerium erleichtern. F5 kann eine starke Authentifizierung für Anwendungen, Geräte, Verwaltungsschnittstellen und Systeme in DoD-Umgebungen bereitstellen – in der Cloud oder wo auch immer sie sich in Zukunft befinden.

Weitere Informationen finden Sie unter www.f5.com/solutions/us-federal-government oder lesen Sie mehr über Cybersicherheitstrends, die sich auf Bundesbehörden auswirken .