Certificaciones

Fecha de actualización: 5 de marzo de 2020

Regulaciones administrativas

F5 lleva a cabo un programa activo de certificación y evaluación de productos (conforme a las regulaciones gubernamentales) para mantener un entorno de TI seguro.

Estándar Federal de Procesamiento de la Información (FIPS) 140-2

F5 ofrece ediciones virtuales (VE), plataformas FIPS completas, tarjetas PCI con módulo de seguridad de hardware integrado (HSM) y soluciones FIPS externas (HSM de red) para satisfacer las arquitecturas y los requisitos de cumplimiento más rigurosos. Para obtener información más detallada, consulte la siguiente tabla.

Para los clientes que sólo necesitan una solución FIPS 140-2 Nivel 1, FIPS BIG-IP VE de F5 incorpora un módulo criptográfico validado por NIST, basado en software, para plataformas x86.

Las plataformas FIPS completas de F5 proporcionan validación a nivel de dispositivo en FIPS 140-2 Nivel 2, incluyendo la aplicación de etiquetas adhesivas a prueba de manipulaciones.

F5 también ofrece un conjunto selecto de plataformas BIG-IP, que incluyen un HSM que soporta una implementación FIPS 140-2 Nivel 2 para la generación, uso y protección de claves criptográficas RSA. Las claves generadas o importadas en un HSM integrado en BIG-IP no son extraíbles en formato de texto plano. Los dispositivos de hardware BIG-IP con HSM integrados vienen con una cubierta de epoxi sellada que, si se retira, hará se inutilice la tarjeta y no se pueda acceder a las claves. Para una protección adicional, BIG-IP soporta una implementación FIPS 140-2 Nivel 3 del HSM interno. Esta clasificación de seguridad significa que la tarjeta HSM cuenta con resistencia a la manipulación, reconoce los intentos de acceso físico, la manipulación de módulos criptográficos y/o la manipulación, y destruirá las claves y dejará la tarjeta inutilizada.

Logotipo de FIPSPor último, BIG-IP de F5 es compatible con HSM externos (de red). Consulte la tabla que aparece a continuación para obtener más información.

Soporte para la integración de FIPS en la nube pública

  • AWS CloudHSM: con CloudHSM, puede gestionar sus propias claves de cifrado utilizando HSM validados por FIPS 140-2 Nivel 3. BIG-IP v14.1.0 y AWS versiones 1.0.18 y 1.1.0.
  • Equinix SmartKey: seguridad de nivel de HSM en un servicio en nube fácil de usar con cifrado y tokenización incorporados, y certificación FIPS 140-2 Nivel 3. BIG-IP v14.1.0 y SmartKey versión 2.9.804.

Módulos criptográficos FIPS de F5

Modelo de F5 Lanzamiento del software BIG-IP Módulo(s) criptográfico(s) con certificación NIST Certificado(s) de validación consolidado Notas adicionales

Edición Virtual en los siguientes hipervisores:

  • VMware ESXi
  • Hyper-V
  • KVM en Centos 7

Afirmación del proveedor para

  • AWS
  • Azure
15.1 Módulo criptográfico para BIG-IP Nivel 1
(en proceso)

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

10350v-F

i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800

VIPRION B2250/B4450

15.1 Módulo criptográfico para dispositivos de F5

Nivel 2
(en proceso)

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

vCMP en

i5000, i5820-DF, i7000, i7820-DF, i15800

 

VIPRION B2250/B4450

15.1 Módulo criptográfico vCMP de F5 Nivel 2
(en proceso)

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

Edición Virtual en los siguientes hipervisores:

  • VMware ESXi
  • Hyper-V
  • KVM en Centos 7

Afirmación del proveedor para

  • AWS
  • Azure
14.1.2 Módulo criptográfico para BIG-IP Nivel 1
(en proceso)

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

10350v-F, i7800

14.1.2 Módulo criptográfico para dispositivos de F5 Nivel 2
(en proceso)

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

Edición Virtual en los siguientes hipervisores:

  • VMware ESXi
  • Hyper-V

Afirmación del proveedor para

  • AWS
  • Azure
14.1.0.3 Módulo criptográfico para BIG-IP Nivel 1: 3596

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

5250v-F, 7200v-F, 10200v-F, 10350v-F

i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800

VIPRION B2250/B4450

14.1.0.3 Módulo criptográfico para dispositivos de F5 Nivel 2: 3629

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

vCMP en

i5000, i5820-DF, i7000, i7820-DF, i15800

VIPRION B2250/B4450

14.1.0.3 Módulo criptográfico vCMP de F5 Nivel 2: 3623

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

Edición Virtual en los siguientes hipervisores:

  • VMware ESXi
  • Hyper-V

Afirmación del proveedor para

  • AWS
  • Azure
13.1.1 Módulo criptográfico para BIG-IP Nivel 1: 2911

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

4000, 5250v-F, 7200v-F, 10200v-F, 10350v-F

i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800

VIPRION B2250/B4450

13.1.1 Módulo criptográfico para dispositivos de F5 Nivel 2: 3450

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

vCMP en

VIPRION B2250/B4450

13.1.1 Módulo criptográfico vCMP de F5 Nivel 2: 3439

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

4000, 7000, 10350v-F

i4000, i5000, i7000

VIPRION B2250/B4450

13.1.0 Módulo criptográfico para dispositivos de F5 Nivel 2: 3142

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

vCMP en

VIPRION B2250/B4450

13.1.0 Módulo criptográfico vCMP de F5 Nivel 2: 3179

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

Edición Virtual en los siguientes hipervisores:

  • VMware ESXi
  • Hyper-V

Afirmación del proveedor para

  • AWS
  • Azure
HF1 12.1.2 Módulo criptográfico para BIG-IP Nivel 1: 2911

Compatible:

DFARS 252.204-7012/NIST SP 800-171 para CUI

Módulos criptográficos integrados

Módulos integrados
del modelo F5
Módulo(s) criptográfico(s) con certificación NIST Certificado(s) de validación consolidado Notas adicionales
10350v-F, i5820-DF, i7820-DF NITROXIII CNN35XX-NFBE-G HSM Family Nivel 3: 2495

NITROXIII cuenta con FIPS en el interior

Compatible parcialmente:

DFARS 252.204-7012/NIST SP 800-171 para CUI

5250v-F, 7200v-F, 10200v-F NITROX XL CN16XX-NFBE HSM Family Nivel 3: 1369

NITROX XL cuenta con FIPS en el interior

Compatible parcialmente:

DFARS 252.204-7012/NIST SP 800-171 para CUI

Módulos criptográficos externos

Módulos externos
de los sistemas F5
Módulo(s) criptográfico(s) con certificación NIST Certificado(s) de validación consolidado Notas adicionales
BIG-IP, VIPRION, y Edición virtual v11.2 y posteriores

Thales

nShield Connect 500+,

nShield Connect 1500+,

nShield Connect 6000+

Nivel 2: 1203 y 1733

Nivel 3: 1197 y 1742

No compatible: DFARS 252.204-7012/NIST SP 800-171
BIG-IP, VIPRION, y Edición virtual v11.5 y posteriores SafeNet Luna SA 6000

Nivel 2: 1347

Nivel 3: 1167

No compatible: DFARS 252.204-7012/NIST SP 800-171

Lista de historial de FIPS

F5 BIG-IP 6900F y 8900F, aunque cumplen con el FIPS 140-2, no son compatibles con una actualización necesaria del firmware para su HSM, y por lo tanto, se han trasladado a una lista de historial de FIPS. Para buscar el certificado, vaya a la página de búsqueda del módulo validado del CMVP y realice una búsqueda avanzada con “Estado de validación” = “Historial”.

Modelo de F5 Módulos criptográficos validados por NIST Nivel FIPS general Política de seguridad Certificado de validación consolidada
BIG-IP 6900F, 8900F Módulo integrado:
Cavium Nitrox XL CN1520-VBD-04-0201
Nivel 2 Política de seguridad de nivel 2
Política de seguridad de nivel 3
Certificados de validación FIPS 140-2:
Nivel 2: 1360
Nivel 3: 1361

Ventajas clave del uso de soluciones compatibles con F5 FIPS:

  • Alto rendimiento SSL: rendimiento líder de la industria conestándaresrecomendados del sector.
  • Plataforma unificada: BIG-IP es capaz de consolidar un HSM que proporciona almacenamiento seguro de claves con una solución de entrega de aplicaciones que tiene gestión de claves SSL y gestión de certificados en un solo dispositivo. Otras soluciones requieren un sistema separado o una tarjeta certificada FIPS para cada servidor web, pero el marco de gestión de claves del sistema BIG-IP permite una infraestructura segura altamente escalable que puede manejar niveles de tráfico más altos. Las organizaciones también pueden añadir fácilmente nuevos servicios a la infraestructura.
  • Recursos seguros: las soluciones de F5 protegen la integridad de las empresas manteniendo los recursos corporativos seguros y protegiendo las marcas corporativas.

DFARS 252.204-7012/NIST SP 800-171 para Información Confidencial No Clasificada (CUI) es un mandato del Departamento de Defensa de los Estados Unidos a partir de diciembre de2017,y se cumple mediante soluciones validadas por FIPS que cubren operaciones criptográficas asimétricas y simétricas. Las plataformas de F5 FIPS específicas cumplen este requisito directamente o mediante la adición del módulo F5 FIPS. Consulte arriba para ver las plataformas que cumplen los requisitos y los detalles.

Criterios Comunes para la evaluación de seguridad de tecnología de la información (Criterios Comunes, CC)

Criterios Comunes se trata de una norma internacional (ISO 15408) para la evaluación de las propiedades de seguridad de un producto informático. Este conjunto de requisitos evalúa el hardware, el software, los cortafuegos y los servidores. El objetivo de la evaluación es proporcionar un nivel de garantía para que un dispositivo o software gestione los datos de forma segura y no contenga elementos que puedan poner en riesgo su integridad.

Criterios comunes garantiza al Departamento de Defensa de los Estados Unidos y a las agencias federales de inteligencia que los productos que se compran cumplen con los requisitos presidenciales para operar sistemas de información seguros. Otras agencias federales y algunas empresas financieras encuentran mucho más fácil comprar productos aprobados por Criterios comunes para sus implementaciones vitales. F5 ha obtenido las certificaciones con respecto al dispositivo de redes y a los perfiles de protección colaborativos de cortafuegos, así como EAL 2+ y EAL 4+. Consulte la tabla y los enlaces que se ofrecen a continuación para obtener información detallada.

Deutsches IT-Sicherheitszertifikat

Certificación de Criterios Comunes

Modelo de F5 Lanzamiento del software Información de certificación Objetivo de seguridad

10350v-F

Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000

VIPRION B2250/B4450

vCMP

Edición Virtual de BIG-IP en los siguientes hipervisores:

  • VMware ESXi 6.5.0
  • Versión 10.0 de Hyper-V en Windows Server 2019

KVM en Centos 7

15.1 LTM+AFM (En proceso)

Perfil de protección colaborativa para dispositivos de red v2.1

Módulo PP para Cortafuegos de filtro de tráfico de estado Versión 1.2

10350v-F

Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000

VIPRION B2250/B4450

vCMP

Edición Virtual de BIG-IP en los siguientes hipervisores:

  • VMware ESXi 6.5.0
  • Versión 10.0 de Hyper-V en Windows Server 2019

KVM en Centos 7

15.1 LTM+APM

(En proceso)

Perfil de protección colaborativa para dispositivos de red v2.1

Edición Virtual de BIG-IP en los siguientes hipervisores:

  • VMware ESXi 6.5.0
  • Versión 10.0 de Hyper-V en Windows Server 2019

KVM en Centos 7

14.1.2

LTM+AFM

CSEC 2019021

(En proceso)

Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 2.0e

Edición Virtual de BIG-IP en los siguientes hipervisores:

  • VMware ESXi 6.5.0
  • Versión 10.0 de Hyper-V en Windows Server 2019

KVM en Centos 7

14.1.2

LTM+APM

CSEC 2019022

(En proceso)

Perfil de protección colaborativa para dispositivos de red versión 2.1

10350v-F

Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+AFM

CSEC 2019003

NIAP PCL

Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 2.0e

10350v-F

Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+APM

CSEC 2019004

NIAP PCL

Perfil de protección colaborativa para dispositivos de red v2.1

10350v-F

serie i5000, serie i7000, serie i10000, serie i11000, serie i15000

VIPRION B2250/B4450

vCMP

13.1.1 LTM+AFM

CSEC 2017016

NIAP PCL

Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 2.0e

10350v-F

serie i5000, serie i7000, serie i10000, serie i11000, serie i15000

VIPRION B2250/B4450

vCMP

13.1.1 LTM+APM

CSEC 2017021

 

NIAP PCL

Perfil de protección colaborativa para dispositivos de red versión 2.0e

10350v-F

serie i5000, serie i7000

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+AFM

CSEC 2017004

NIAP PCL

Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 1.0

10350v-F

serie i5000, serie i7000

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+APM

CSEC 2017005

NIAP PCL

Perfil de protección colaborativa para dispositivos de red versión 1.0
BIG-IP 11.5.1 base ADF (LTM+AFM) BSI-DSZ-CC-0856-2017 EAL4+ Objetivo de seguridad
Basado en el perfil de protección NIAP para dispositivos de red versión 1.1 y el perfil de protección de dispositivos de red de paquete extendido del cortafuegos de filtro de tráfico de estado versión 1.0
BIG-IP 11.5.1 ADC-AP (LTM+APM) BSI-DSZ-CC-0975-2018 EAL4+ Objetivo de seguridad
Basado en el perfil de protección NIAP para dispositivos de red versión 1.1
BIG-IP 6900, 8900, 11050 10.2.2 LTM + ACA+ PSM Certificado de Criterios Comunes NIAP EAL 2+ Objetivo de seguridad de F5 Networks BIG-IP Local Traffic Manager

 

Soluciones Comerciales para Clasificados (CSfC)

CSfC es un programa de la Agencia de Seguridad Nacional/Servicio Central de Seguridad (NSA/CSS) para permitir que los productos comerciales se utilicen en soluciones en capas que protejan los datos clasificados del Sistema de Seguridad Nacional (NSS). Este programa consta de dos partes: los vendedores solicitan que sus productos aparezcan en una o más de las listas de componentes; y luego los integradores pueden elegir entre los productos de esas listas para crear soluciones. Todos los componentes enumerados deben tener tanto la Certificación de Criterios Comunes como la validación FIPS para que el producto pueda incluirse en la lista de componentes.

Producto de F5 Lista de componentes
BIG-IP 14.1.2 En proceso
BIG-IP 14.1.0.3 En proceso
BIG-IP 13.1.1 Cortafuegos de filtrado de tráfico CSfC
BIG-IP 12.1 LTM+AFM Cortafuegos de filtrado de tráfico CSfC

Certificación de conformidad con IPv6 del Gobierno de los Estados Unidos (USGv6)

La Oficina de Administración y Presupuesto de los Estados Unidos (OMB) declaró que todas las agencias federales están obligadas a utilizar IPv6 en sus redes en el Memorándum M-05-22 de la OMB. La Certificación de conformidad con IPv6 del Gobierno de los Estados Unidos (USGv6) es un conjunto de estándares técnicos para la adquisición de hosts, enrutadores y dispositivos de seguridad de red con capacidad IPv6. El Instituto Nacional de Estándares y Tecnología (NIST) creó los estándares de conformidad USGv6 para apoyar la adopción de IPv6 en el Gobierno de los Estados Unidos.

F5 BIG-IP está preparado para IPv6 y certificado conforme a la USGv6. Lea el artículo: F5 Receives IPv6-Ready Gold Logo and USGv6 Certifications (F5 recibe las certificaciones IPv6-Ready Gold Logo y USGv6)

Plataformas de F5 Versión del producto Información de certificación
Serie BIG-IP 10000, serie VIPRION B4300 11.3.0 y todas las últimas versiones USGv6
Resultados por UNH-IOL
Serie BIG-IP 10000 11.3, 12.1 IPv6 Gold
Fase-2 Gold Logo ID #02-C-001106

Comando de Prueba de Interoperabilidad Conjunta (JITC) Habilitado con clave pública (PKE)

El Comando de Pruebas de Interoperabilidad Conjunta (JITC) de la Agencia de Sistemas de Información del Departamento de Defensa (DISA) de los Estados Unidos proporciona servicios, herramientas y entornos de evaluación y certificación de pruebas basados en el riesgo para garantizar y permitir la rápida implementación de sistemas de seguridad nacional y de tecnología de la información interoperables y eficaces desde el punto de vista operativo. Los clientes o servidores se prueban para asegurarse de que están habilitados con clave pública (PKE) y que pueden proporcionar servicios de seguridad, tales como autenticación, confidencialidad, no repudioycontrol de acceso. Las áreas de prueba del JITC PKE incluyen las certificaciones NIST y JITC, el protocolo de estado de certificados en línea (OCSP), las listas de revocación de certificados (CRL) y las tarjetas de acceso común del DoD (CAC).

F5 BIG-IP está certificado por el Departamento de Defensa como PUBLIC KEY-ENABLED o PKE (Habilitado con clave pública). Ver el anuncio: F5 Receives Joint Interoperability Test Command (JITC) Certification [F5 recibe la certificación de Comando de Prueba de Interoperabilidad Conjunta (JITC)]

Modelo de F5 Detalles de la certificación Comentarios
BIG-IP v 11.2 Certificado Funciona con las Tarjetas de Acceso Común del DoD (CAC)

NIST 800-53

La Publicación especial de NIST 800-53, Controles de seguridad y privacidad para organizaciones y sistemas de información federal, es un estándar básico que define cómo abordar la seguridad de la información y la gestión de riesgos dentro del gobierno federal. Desarrollado por el NIST, el DoD, la Comunidad de Inteligencia y el Comité de Sistemas de Seguridad Nacional, este estándar proporciona orientación sobre la supervisión continua y los requisitos de FISMA. También apoya un enfoque basado en el riesgo para proteger las misiones críticas y las funciones comerciales.

F5 ha llevado a la práctica este documento de más de 240 páginas en una iApp de F5 para NIST 800-53. LaiAppproporciona varias páginas de preguntas y tareas relevantes para ayudar al administrador a aplicar los controles de seguridad pertinentes en su dispositivo BIG-IP, ahorrando a las organizaciones horas de gestión de tiempo y recursos.

Si su agencia está buscando mejorar el procesoDIACAP,o quiere cumplir con FISMA, entonces la iAPP de F5 NIST 800-53 le ayudará a asegurar la revisión y configuración de los ajustes de configuración apropiados en BIG-IP.

Más información sobre el uso de la plantilla de la iApp de F5

Lista de Productos Aprobados de la Red de Información del Departamento de Defensa

La DoDIN APL del Departamento de Defensa de los EE.UU. es una lista consolidada de productos que han completado la Certificación de Interoperabilidad (IO) y Aseguramiento de Información (IA). Las certificaciones DoDIN APL verifican que el sistema cumple y está configurado de acuerdo con las Guías Técnicas de Implementación de Seguridad (STIG) de DISA Field Security Office (FSO).

Para obtener más información sobre el proceso DoDIN APL, visite el Sitio web de pruebas y certificación de DoDIN APL.

Número de certificación/TN Producto Certificación externa
1906001 F5 Networks BIG-IP Rel. 14.1 Certificación
1630801 F5 Networks BIG-IP Rel. 13.1 Certificación
1312201 F5 Networks BIG-IP Rel. 11.6 Certificación

Certificaciones adicionales

Para obtener más información sobre las muchas otras certificaciones que posee F5, póngase en contacto con el Departamento de ventas de F5.