BLOG

Cómo el hardware puede mejorar la seguridad de las aplicaciones

Miniatura F5
F5
Publicado el 18 de diciembre de 2018

Durante los últimos cinco años, una de las principales preocupaciones de la mayoría de las organizaciones, grandes o pequeñas, es la seguridad. Últimamente, gran parte de la atención se ha centrado en la seguridad de la nube pública a medida que las empresas migran aplicaciones o crean aplicaciones nativas de la nube. Sin embargo, muchas aplicaciones importantes aún residen en centros de datos privados y seguirán así en el futuro previsible. Como resultado, las empresas también deben permanecer vigilantes con respecto a su propia infraestructura y hardware.

Un artículo reciente de Bloomberg atrajo mayor atención a los tipos de ataques a la cadena de suministro, donde terceros han interceptado equipos de red con el propósito de manipular, espiar o comprometer datos de alguna otra manera, y resalta este punto.

Si bien la manipulación del hardware no suele ser el punto de entrada para los ataques a las aplicação , definitivamente puede ser una forma sencilla de pasar desapercibido. En resumen, hoy en día no existe ninguna parte de un sistema, desde el hardware hasta el software, que no esté sujeta a algún tipo de amenaza, por lo que es extremadamente importante que las empresas aseguren la protección de sus sistemas desde todos los ángulos posibles. Es más, el uso creciente de subsistemas fabricados por terceros durante la última década aumenta la posibilidad de un ataque a la cadena de suministro que afecte a todo el hardware de la placa. Las organizaciones están (y deberían) planteándose las siguientes preguntas: ¿Los proveedores de hardware confían en su propio hardware o en el de otros? ¿Y qué significa esto para la seguridad de las aplicações?

En esta etapa, haré una pausa para señalar dos puntos clave:

  • En F5, somos dueños del 100% de nuestros procesos de diseño y pruebas de fabricación de hardware, los cuales controlamos estrictamente.
  • Todo el equipo de F5 trabaja incansablemente para realizar mejoras impactantes de hardware y software.

Mejor seguridad del hardware durante la fabricación

Si bien F5 tiene su sede en Seattle, Washington, todos los aspectos del diseño y desarrollo de nuestro hardware se llevan a cabo en una instalación segura de la empresa al otro lado del estado, en Spokane. Nacido del deseo de desarrollar hardware dedicado para impulsar nuestra plataforma BIG-IP , esto nos permite garantizar directamente la seguridad de nuestro hardware y protegernos contra ataques sembrados. Dentro del sitio, F5 mantiene un control estricto también sobre el proceso de fabricación y prueba, desde el diseño inicial en el software CAD, pasando por la fabricación de la placa de circuito impreso (PCB), y finalmente hasta el ensamblaje del circuito impreso (PCA), cuando los componentes reales se sueldan a la PCB. 

En F5, un gran paso que damos para garantizar la protección y la privacidad es que no solo somos dueños de los diseños de nuestros productos y controlamos todos los aspectos de las pruebas en nuestras instalaciones de fabricación contratadas, sino que el equipo de TI de F5 también es dueño y administra la infraestructura en la que se ejecutan nuestras pruebas. Para entender el valor de este control sobre el proceso de fabricación, primero debemos hablar muy rápidamente sobre cómo se fabrica y desarrolla nuestro hardware. En primer lugar, el diseño se realiza en un software CAD que genera datos Gerber, una imagen vectorial de la placa. A continuación, se fabrica una placa de circuito impreso (PCB) a partir de esos datos en un proveedor distinto a nuestro fabricante contratado. Después de esto, se ensambla un circuito impreso (PCA), en el que los componentes reales (CPU, memoria, circuitos integrados, transistores, etc.) se sueldan a la PCB. Además, utilizamos una combinación de procesos de validación, llamados AOI (inspección óptica automatizada) e inspección 5DX/AXI (rayos X), para encontrar cualquier problema que pueda afectar la calidad y la integridad del sistema. Esto incluye la identificación de cualquier elemento que no sea parte del diseño original del producto bajo el control de F5.

Garantizar la seguridad del hardware mediante software

También se puede lograr una mayor confianza en la seguridad del hardware mediante la innovación del software. Un ejemplo de ello se demuestra en nuestro lanzamiento de la capacidad de detección de manipulaciones: “Cadena de custodia TPM”. Esta es una característica de nuestro hardware que garantiza que el firmware instalado en el hardware F5 esté realmente fabricado por F5 y no haya sido manipulado, para ofrecer una mejor protección contra ataques intermediarios. Esta función funciona comparando las distintas capas de firmware “medidas” (mediante un proceso similar a una suma de comprobación en paquetes) al inicio con los valores validados conocidos establecidos durante el proceso de fabricación de F5. Esta comparación de inicio del sistema se llama certificación.

En nuestra versión anterior del software BIG-IP, BIG-IP v14.0, F5 anunció la Certificación local basada en TPM , que es un método automatizado para comparar los valores determinados por F5 con los valores actuales del hardware/software medidos en el momento de inicio (durante el arranque). Esto significa que durante la secuencia de arranque de BIG-IP, la certificación local compara automáticamente los valores de seguridad de arranque actuales de varios componentes de la pila de software con los valores conocidos de F5, lo que brinda a los clientes una gran confianza de que el sistema es una versión no alterada fabricada por F5. Esta característica libera a nuestros clientes de realizar la acción manualmente, lo que a su vez libera recursos y tiempo, además de reducir los costos generales.

Con el reciente lanzamiento de BIG-IP v14.1, F5 mejoró nuestra implementación y estamos muy emocionados de anunciar la disponibilidad general de la certificación remota para la cadena de custodia de TPM . La principal característica diferenciadora es que ahora F5 puede comparar los valores de inicio actuales del firmware de F5 con los valores conocidos de F5 mediante la interfaz con iHealth. iHealth está controlado y protegido por F5 de forma central, lo que lo hace mejor que la validación local. Una vez que la plataforma iHealth verifica los valores del equipo en su registro, lo envía al sistema BIG-IP para indicar si el TPM es válido o no, brindando a los clientes una validación sobre la autenticidad de su dispositivo F5 para evitar ataques basados en hardware y firmware.

Resumen

En resumen, el sistema F5 equipado con TPM ahora viene con funcionalidad para ayudar en la certificación y confirmación de la cadena de custodia del dispositivo de forma local y remota , y sin la necesidad de hacerlo manualmente. Esta funcionalidad verifica que el software F5 correcto se esté ejecutando en el hardware BIG-IP y brinda a nuestros clientes la seguridad de que su hardware no ha sido manipulado. Con el hardware BIG-IP de F5, los clientes tienen una preocupación de seguridad menos de la que preocuparse y pueden concentrarse mejor en proteger sus aplicaciones y datos de aplicaciones.

Para obtener información adicional sobre las plataformas de hardware de F5, visite https://www.f5.com/products/big-ip-services/iseries-appliance , y para obtener información sobre cómo F5 mejora la seguridad de las aplicação de su organización, visite https://www.f5.com/solutions/application-security .