F5 lleva a cabo un programa activo de certificación y evaluación de productos (conforme a las regulaciones gubernamentales) para mantener un entorno de TI seguro.
F5 ofrece ediciones virtuales (VE), plataformas FIPS completas, tarjetas PCI con módulo de seguridad de hardware integrado (HSM) y soluciones FIPS externas (HSM de red) para satisfacer las arquitecturas y los requisitos de cumplimiento más rigurosos. Para obtener información más detallada, consulte la siguiente tabla.
Para los clientes que sólo necesitan una solución FIPS 140-2 Nivel 1, FIPS BIG-IP VE de F5 incorpora un módulo criptográfico validado por NIST, basado en software, para plataformas x86.
Las plataformas FIPS completas de F5 proporcionan validación a nivel de dispositivo en FIPS 140-2 Nivel 2, incluyendo la aplicación de etiquetas adhesivas a prueba de manipulaciones.
F5 también ofrece un conjunto selecto de plataformas BIG-IP, que incluyen un HSM que soporta una implementación FIPS 140-2 Nivel 2 para la generación, uso y protección de claves criptográficas RSA. Las claves generadas o importadas en un HSM integrado en BIG-IP no son extraíbles en formato de texto plano. Los dispositivos de hardware BIG-IP con HSM integrados vienen con una cubierta de epoxi sellada que, si se retira, hará se inutilice la tarjeta y no se pueda acceder a las claves. Para una protección adicional, BIG-IP soporta una implementación FIPS 140-2 Nivel 3 del HSM interno. Esta clasificación de seguridad significa que la tarjeta HSM cuenta con resistencia a la manipulación, reconoce los intentos de acceso físico, la manipulación de módulos criptográficos y/o la manipulación, y destruirá las claves y dejará la tarjeta inutilizada.
Por último, BIG-IP de F5 es compatible con HSM externos (de red). Consulte la tabla que aparece a continuación para obtener más información.
Modelo de F5 | Lanzamiento del software BIG-IP | Módulo(s) criptográfico(s) con certificación NIST | Certificado(s) de validación consolidado | Notas adicionales |
---|---|---|---|---|
Edición Virtual en los siguientes hipervisores:
Afirmación del proveedor para
|
15.1 | Módulo criptográfico para BIG-IP | Nivel 1 (en proceso) |
Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
10350v-F i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800 VIPRION B2250/B4450 |
15.1 | Módulo criptográfico para dispositivos de F5 | Nivel 2 |
Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
vCMP en i5000, i5820-DF, i7000, i7820-DF, i15800
VIPRION B2250/B4450 |
15.1 | Módulo criptográfico vCMP de F5 | Nivel 2 (en proceso) |
Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
Edición Virtual en los siguientes hipervisores:
Afirmación del proveedor para
|
14.1.2 | Módulo criptográfico para BIG-IP | Nivel 1 (en proceso) |
Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
10350v-F, i7800 |
14.1.2 | Módulo criptográfico para dispositivos de F5 | Nivel 2 (en proceso) |
Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
Edición Virtual en los siguientes hipervisores:
Afirmación del proveedor para
|
14.1.0.3 | Módulo criptográfico para BIG-IP | Nivel 1: 3596 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
5250v-F, 7200v-F, 10200v-F, 10350v-F i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800 VIPRION B2250/B4450 |
14.1.0.3 | Módulo criptográfico para dispositivos de F5 | Nivel 2: 3629 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
vCMP en i5000, i5820-DF, i7000, i7820-DF, i15800 VIPRION B2250/B4450 |
14.1.0.3 | Módulo criptográfico vCMP de F5 | Nivel 2: 3623 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
Edición Virtual en los siguientes hipervisores:
Afirmación del proveedor para
|
13.1.1 | Módulo criptográfico para BIG-IP | Nivel 1: 2911 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
4000, 5250v-F, 7200v-F, 10200v-F, 10350v-F i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800 VIPRION B2250/B4450 |
13.1.1 | Módulo criptográfico para dispositivos de F5 | Nivel 2: 3450 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
vCMP en VIPRION B2250/B4450 |
13.1.1 | Módulo criptográfico vCMP de F5 | Nivel 2: 3439 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
4000, 7000, 10350v-F i4000, i5000, i7000 VIPRION B2250/B4450 |
13.1.0 | Módulo criptográfico para dispositivos de F5 | Nivel 2: 3142 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
vCMP en VIPRION B2250/B4450 |
13.1.0 | Módulo criptográfico vCMP de F5 | Nivel 2: 3179 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
Edición Virtual en los siguientes hipervisores:
Afirmación del proveedor para
|
HF1 12.1.2 | Módulo criptográfico para BIG-IP | Nivel 1: 2911 | Compatible: DFARS 252.204-7012/NIST SP 800-171 para CUI |
Módulos integrados del modelo F5 |
Módulo(s) criptográfico(s) con certificación NIST | Certificado(s) de validación consolidado | Notas adicionales |
---|---|---|---|
10350v-F, i5820-DF, i7820-DF | NITROXIII CNN35XX-NFBE-G HSM Family | Nivel 3: 2495 | NITROXIII cuenta con FIPS en el interior Compatible parcialmente: DFARS 252.204-7012/NIST SP 800-171 para CUI |
5250v-F, 7200v-F, 10200v-F | NITROX XL CN16XX-NFBE HSM Family | Nivel 3: 1369 | NITROX XL cuenta con FIPS en el interior Compatible parcialmente: DFARS 252.204-7012/NIST SP 800-171 para CUI |
Módulos externos de los sistemas F5 |
Módulo(s) criptográfico(s) con certificación NIST | Certificado(s) de validación consolidado | Notas adicionales |
---|---|---|---|
BIG-IP, VIPRION, y Edición virtual v11.2 y posteriores | Thales nShield Connect 500+, nShield Connect 1500+, nShield Connect 6000+ |
Nivel 2: 1203 y 1733 Nivel 3: 1197 y 1742 |
No compatible: DFARS 252.204-7012/NIST SP 800-171 |
BIG-IP, VIPRION, y Edición virtual v11.5 y posteriores | SafeNet Luna SA 6000 | Nivel 2: 1347 Nivel 3: 1167 |
No compatible: DFARS 252.204-7012/NIST SP 800-171 |
F5 BIG-IP 6900F y 8900F, aunque cumplen con el FIPS 140-2, no son compatibles con una actualización necesaria del firmware para su HSM, y por lo tanto, se han trasladado a una lista de historial de FIPS. Para buscar el certificado, vaya a la página de búsqueda del módulo validado del CMVP y realice una búsqueda avanzada con “Estado de validación” = “Historial”.
Modelo de F5 | Módulos criptográficos validados por NIST | Nivel FIPS general | Política de seguridad | Certificado de validación consolidada |
---|---|---|---|---|
BIG-IP 6900F, 8900F | Módulo integrado: Cavium Nitrox XL CN1520-VBD-04-0201 |
Nivel 2 | Política de seguridad de nivel 2 Política de seguridad de nivel 3 |
Certificados de validación FIPS 140-2: Nivel 2: 1360 Nivel 3: 1361 |
Ventajas clave del uso de soluciones compatibles con F5 FIPS:
Criterios Comunes se trata de una norma internacional (ISO 15408) para la evaluación de las propiedades de seguridad de un producto informático. Este conjunto de requisitos evalúa el hardware, el software, los cortafuegos y los servidores. El objetivo de la evaluación es proporcionar un nivel de garantía para que un dispositivo o software gestione los datos de forma segura y no contenga elementos que puedan poner en riesgo su integridad.
Criterios comunes garantiza al Departamento de Defensa de los Estados Unidos y a las agencias federales de inteligencia que los productos que se compran cumplen con los requisitos presidenciales para operar sistemas de información seguros. Otras agencias federales y algunas empresas financieras encuentran mucho más fácil comprar productos aprobados por Criterios comunes para sus implementaciones vitales. F5 ha obtenido las certificaciones con respecto al dispositivo de redes y a los perfiles de protección colaborativos de cortafuegos, así como EAL 2+ y EAL 4+. Consulte la tabla y los enlaces que se ofrecen a continuación para obtener información detallada.
Modelo de F5 | Lanzamiento del software | Información de certificación | Objetivo de seguridad |
---|---|---|---|
10350v-F Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000 VIPRION B2250/B4450 vCMP Edición Virtual de BIG-IP en los siguientes hipervisores:
KVM en Centos 7 |
15.1 LTM+AFM | (En proceso) | Perfil de protección colaborativa para dispositivos de red v2.1 Módulo PP para Cortafuegos de filtro de tráfico de estado Versión 1.2 |
10350v-F Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000 VIPRION B2250/B4450 vCMP Edición Virtual de BIG-IP en los siguientes hipervisores:
KVM en Centos 7 |
15.1 LTM+APM | (En proceso) |
Perfil de protección colaborativa para dispositivos de red v2.1 |
Edición Virtual de BIG-IP en los siguientes hipervisores:
KVM en Centos 7 |
14.1.2 LTM+AFM |
(En proceso) |
Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 2.0e |
Edición Virtual de BIG-IP en los siguientes hipervisores:
KVM en Centos 7 |
14.1.2 LTM+APM |
(En proceso) |
Perfil de protección colaborativa para dispositivos de red versión 2.1 |
10350v-F Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000 VIPRION B2250/B4450 vCMP |
14.1.0.3 LTM+AFM | Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 2.0e | |
10350v-F Serie i5000 incluyendo i5820-DF, serie i7000 incluyendo i7820-DF, serie i10000, serie i11000, serie i15000 VIPRION B2250/B4450 vCMP |
14.1.0.3 LTM+APM | Perfil de protección colaborativa para dispositivos de red v2.1 | |
10350v-F serie i5000, serie i7000, serie i10000, serie i11000, serie i15000 VIPRION B2250/B4450 vCMP |
13.1.1 LTM+AFM | Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 2.0e | |
10350v-F serie i5000, serie i7000, serie i10000, serie i11000, serie i15000 VIPRION B2250/B4450 vCMP |
13.1.1 LTM+APM |
|
Perfil de protección colaborativa para dispositivos de red versión 2.0e |
10350v-F serie i5000, serie i7000 VIPRION B2250/B4450 vCMP |
12.1.3.4 LTM+AFM | Perfil de protección colaborativa para Cortafuegos de filtro de tráfico de estado Versión 1.0 | |
10350v-F serie i5000, serie i7000 VIPRION B2250/B4450 vCMP |
12.1.3.4 LTM+APM | Perfil de protección colaborativa para dispositivos de red versión 1.0 | |
BIG-IP | 11.5.1 base ADF (LTM+AFM) | BSI-DSZ-CC-0856-2017 EAL4+ | Objetivo de seguridad Basado en el perfil de protección NIAP para dispositivos de red versión 1.1 y el perfil de protección de dispositivos de red de paquete extendido del cortafuegos de filtro de tráfico de estado versión 1.0 |
BIG-IP | 11.5.1 ADC-AP (LTM+APM) | BSI-DSZ-CC-0975-2018 EAL4+ | Objetivo de seguridad Basado en el perfil de protección NIAP para dispositivos de red versión 1.1 |
BIG-IP 6900, 8900, 11050 | 10.2.2 LTM + ACA+ PSM | Certificado de Criterios Comunes NIAP EAL 2+ | Objetivo de seguridad de F5 Networks BIG-IP Local Traffic Manager |
CSfC es un programa de la Agencia de Seguridad Nacional/Servicio Central de Seguridad (NSA/CSS) para permitir que los productos comerciales se utilicen en soluciones en capas que protejan los datos clasificados del Sistema de Seguridad Nacional (NSS). Este programa consta de dos partes: los vendedores solicitan que sus productos aparezcan en una o más de las listas de componentes; y luego los integradores pueden elegir entre los productos de esas listas para crear soluciones. Todos los componentes enumerados deben tener tanto la Certificación de Criterios Comunes como la validación FIPS para que el producto pueda incluirse en la lista de componentes.
Producto de F5 | Lista de componentes |
---|---|
BIG-IP 14.1.2 | En proceso |
BIG-IP 14.1.0.3 | En proceso |
BIG-IP 13.1.1 | Cortafuegos de filtrado de tráfico CSfC |
BIG-IP 12.1 LTM+AFM | Cortafuegos de filtrado de tráfico CSfC |
La Oficina de Administración y Presupuesto de los Estados Unidos (OMB) declaró que todas las agencias federales están obligadas a utilizar IPv6 en sus redes en el Memorándum M-05-22 de la OMB. La Certificación de conformidad con IPv6 del Gobierno de los Estados Unidos (USGv6) es un conjunto de estándares técnicos para la adquisición de hosts, enrutadores y dispositivos de seguridad de red con capacidad IPv6. El Instituto Nacional de Estándares y Tecnología (NIST) creó los estándares de conformidad USGv6 para apoyar la adopción de IPv6 en el Gobierno de los Estados Unidos.
F5 BIG-IP está preparado para IPv6 y certificado conforme a la USGv6. Lea el artículo: F5 Receives IPv6-Ready Gold Logo and USGv6 Certifications (F5 recibe las certificaciones IPv6-Ready Gold Logo y USGv6)
Plataformas de F5 | Versión del producto | Información de certificación |
---|---|---|
Serie BIG-IP 10000, serie VIPRION B4300 | 11.3.0 y todas las últimas versiones | USGv6 Resultados por UNH-IOL |
Serie BIG-IP 10000 | 11.3, 12.1 | IPv6 Gold Fase-2 Gold Logo ID #02-C-001106 |
El Comando de Pruebas de Interoperabilidad Conjunta (JITC) de la Agencia de Sistemas de Información del Departamento de Defensa (DISA) de los Estados Unidos proporciona servicios, herramientas y entornos de evaluación y certificación de pruebas basados en el riesgo para garantizar y permitir la rápida implementación de sistemas de seguridad nacional y de tecnología de la información interoperables y eficaces desde el punto de vista operativo. Los clientes o servidores se prueban para asegurarse de que están habilitados con clave pública (PKE) y que pueden proporcionar servicios de seguridad, tales como autenticación, confidencialidad, no repudioycontrol de acceso. Las áreas de prueba del JITC PKE incluyen las certificaciones NIST y JITC, el protocolo de estado de certificados en línea (OCSP), las listas de revocación de certificados (CRL) y las tarjetas de acceso común del DoD (CAC).
F5 BIG-IP está certificado por el Departamento de Defensa como PUBLIC KEY-ENABLED o PKE (Habilitado con clave pública). Ver el anuncio: F5 Receives Joint Interoperability Test Command (JITC) Certification [F5 recibe la certificación de Comando de Prueba de Interoperabilidad Conjunta (JITC)]
Modelo de F5 | Detalles de la certificación | Comentarios |
---|---|---|
BIG-IP v 11.2 | Certificado | Funciona con las Tarjetas de Acceso Común del DoD (CAC) |
La Publicación especial de NIST 800-53, Controles de seguridad y privacidad para organizaciones y sistemas de información federal, es un estándar básico que define cómo abordar la seguridad de la información y la gestión de riesgos dentro del gobierno federal. Desarrollado por el NIST, el DoD, la Comunidad de Inteligencia y el Comité de Sistemas de Seguridad Nacional, este estándar proporciona orientación sobre la supervisión continua y los requisitos de FISMA. También apoya un enfoque basado en el riesgo para proteger las misiones críticas y las funciones comerciales.
F5 ha llevado a la práctica este documento de más de 240 páginas en una iApp de F5 para NIST 800-53. LaiAppproporciona varias páginas de preguntas y tareas relevantes para ayudar al administrador a aplicar los controles de seguridad pertinentes en su dispositivo BIG-IP, ahorrando a las organizaciones horas de gestión de tiempo y recursos.
Si su agencia está buscando mejorar el procesoDIACAP,o quiere cumplir con FISMA, entonces la iAPP de F5 NIST 800-53 le ayudará a asegurar la revisión y configuración de los ajustes de configuración apropiados en BIG-IP.
Más información sobre el uso de la plantilla de la iApp de F5
La DoDIN APL del Departamento de Defensa de los EE.UU. es una lista consolidada de productos que han completado la Certificación de Interoperabilidad (IO) y Aseguramiento de Información (IA). Las certificaciones DoDIN APL verifican que el sistema cumple y está configurado de acuerdo con las Guías Técnicas de Implementación de Seguridad (STIG) de DISA Field Security Office (FSO).
Para obtener más información sobre el proceso DoDIN APL, visite el Sitio web de pruebas y certificación de DoDIN APL.
Número de certificación/TN | Producto | Certificación externa |
---|---|---|
1906001 | F5 Networks BIG-IP Rel. 14.1 | Certificación |
1630801 | F5 Networks BIG-IP Rel. 13.1 | Certificación |
1312201 | F5 Networks BIG-IP Rel. 11.6 | Certificación |
Para obtener más información sobre las muchas otras certificaciones que posee F5, póngase en contacto con el Departamento de ventas de F5.