BLOG

Comment le matériel peut améliorer la sécurité des applications

Miniature F5
F5
Publié le 18 décembre 2018

Au cours des cinq dernières années, la sécurité est devenue l’une des principales préoccupations de la plupart des organisations, grandes ou petites. Ces derniers temps, une grande partie de l’attention s’est portée sur la sécurité du cloud public, les entreprises migrent leurs applications ou créent des applications cloud natives. Cependant, de nombreuses applications importantes résident encore dans des centres de données privés et le resteront encore dans un avenir prévisible. Par conséquent, les entreprises doivent également rester vigilantes concernant leur propre infrastructure et leur propre matériel.

Un article récent de Bloomberg a attiré l’attention sur les types de piratages de la chaîne d’approvisionnement, où des tiers ont intercepté des équipements réseau dans le but de falsifier, d’espionner ou de compromettre d’une autre manière les données, et souligne ce point.

Bien que la falsification du matériel ne soit généralement pas le point d’entrée des attaques d’applications, elle peut certainement être un moyen simple de passer sous le radar. En bref, il n’existe aujourd’hui aucune partie d’un système – du matériel au logiciel – qui ne soit pas soumise à une forme ou une autre de menace. C’est pourquoi il est extrêmement important que les entreprises assurent la protection de leurs systèmes sous tous les angles possibles. De plus, l’utilisation croissante de sous-systèmes fabriqués par des tiers au cours de la dernière décennie augmente la possibilité d’un piratage de la chaîne d’approvisionnement qui affecte tout le matériel au niveau de la carte. Les organisations se posent (et devraient se poser) les questions suivantes : Les fournisseurs de matériel s’appuient-ils sur leur propre matériel ou sur celui de quelqu’un d’autre ? Et qu’est-ce que cela signifie pour la sécurité des applications ?

À ce stade, je vais m’arrêter un instant pour souligner deux points essentiels :

  • Chez F5, nous possédons 100 % de nos processus de test de conception et de fabrication de matériel, que nous contrôlons étroitement.
  • Toute l’équipe F5 travaille sans relâche pour apporter des améliorations matérielles et logicielles impactantes.

Améliorer la sécurité du matériel pendant la fabrication

Bien que le siège social de F5 soit situé à Seattle, dans l'État de Washington, chaque aspect de la conception et du développement de notre matériel se déroule dans des locaux sécurisés de l'entreprise, à Spokane. Né d'une volonté de développer du matériel dédié pour alimenter notre plateforme BIG-IP , cela nous permet d'assurer directement la sécurité de notre matériel et de nous protéger contre les attaques seeded. Au sein du site, F5 maintient un contrôle strict sur le processus de fabrication et de test, depuis la conception initiale dans le logiciel de CAO, en passant par la fabrication du circuit imprimé (PCB) et enfin par l'assemblage du circuit imprimé (PCA), lorsque les composants réels sont soudés sur le PCB. 

Chez F5, l’un des grands pas que nous franchissons pour garantir la protection et la confidentialité est que non seulement nous possédons nos conceptions de produits et contrôlons tous les aspects des tests dans les installations de notre fabricant sous contrat, mais l’équipe informatique de F5 possède et gère également l’infrastructure sur laquelle nos tests s’exécutent. Afin de comprendre l’intérêt de ce contrôle sur le processus de fabrication, il faut d’abord parler très rapidement de la manière dont notre matériel est fabriqué et développé. Tout d'abord, la conception est réalisée dans un logiciel de CAO qui génère des données Gerber, une image vectorielle de la carte. Ensuite, une carte de circuit imprimé (PCB) est fabriquée à partir de ces données chez un fournisseur autre que notre fabricant sous contrat. Ensuite, un circuit imprimé (PCA) est assemblé, dans lequel les composants réels (CPU, mémoire, CI, transistors, etc.) sont soudés sur le PCB. De plus, nous utilisons une combinaison de processus de validation, appelés AOI (Automated Optical Inspection) et inspection 5DX/AXI (rayons X), pour détecter tout problème pouvant avoir un impact sur la qualité et l'intégrité du système. Cela comprend l’identification de tout élément qui ne fait pas partie de la conception du produit d’origine sous le contrôle de F5.

Assurer la sécurité du matériel grâce aux logiciels

Une plus grande confiance dans la sécurité du matériel peut également être obtenue grâce à l’innovation logicielle. Un tel exemple est illustré par le lancement de notre capacité de détection de falsification : « Chaîne de traçabilité TPM. » Il s’agit d’une fonctionnalité de notre matériel qui garantit que le micrologiciel installé sur le matériel F5 est réellement fabriqué par F5 et n’a pas été falsifié, afin de mieux se protéger contre les attaques intercalées. Cette fonctionnalité fonctionne en comparant les différentes couches de firmware « mesurées » (par un processus similaire à une somme de contrôle dans les paquets) au démarrage par rapport aux valeurs validées connues établies lors du processus de fabrication du F5. Cette comparaison de démarrage du système est appelée attestation.

Dans notre version précédente du logiciel BIG-IP, BIG-IP v14.0, F5 a annoncé l'attestation locale basée sur TPM , qui est une méthode automatisée permettant de comparer les valeurs déterminées par F5 avec les valeurs actuelles du matériel/logiciel mesurées au moment du démarrage (pendant le démarrage). Cela signifie que pendant la séquence de démarrage de BIG-IP, l'attestation locale compare automatiquement les valeurs de sécurité de démarrage actuelles de plusieurs composants de la pile logicielle avec les valeurs connues de F5, donnant aux clients une grande confiance que le système est une version non falsifiée fabriquée par F5. Cette fonctionnalité évite à nos clients d'effectuer manuellement l'action, libérant ainsi des ressources et du temps, tout en réduisant les frais généraux globaux.

Avec la version 14.1 de BIG-IP récemment publiée, F5 a amélioré notre implémentation et est très heureux d'annoncer la disponibilité générale de l'attestation à distance pour la chaîne de contrôle TPM . La principale caractéristique différenciante est que F5 peut désormais comparer les valeurs de démarrage actuelles du firmware F5 avec les valeurs connues de F5 en s'interfaçant avec iHealth. iHealth est contrôlé et sécurisé par F5 de manière centralisée, ce qui le rend meilleur que la validation locale. Une fois que la plateforme iHealth vérifie les valeurs de l'équipement sur son registre, elle renvoie au système BIG-IP si le TPM est valide ou non, fournissant aux clients une validation de l'authenticité de leur appareil F5 pour empêcher les attaques basées sur le matériel et le micrologiciel.

Résumer

Pour résumer, le système F5 équipé de TPM est désormais doté de fonctionnalités permettant d’aider à l’attestation et à la confirmation de la chaîne de contrôle de l’appareil localement et à distance , et sans qu’il soit nécessaire de le faire manuellement. Cette fonctionnalité vérifie que le bon logiciel F5 est exécuté sur le matériel BIG-IP et donne à nos clients l'assurance que leur matériel n'a pas été altéré. Avec le matériel BIG-IP de F5, les clients ont un problème de sécurité de moins à résoudre et peuvent mieux se concentrer sur la sécurisation de leurs applications et de leurs données d'application.

Pour plus d'informations sur les plates-formes matérielles de F5, veuillez visiter https://www.f5.com/products/big-ip-services/iseries-appliance , et pour plus d'informations sur la manière dont F5 améliore la sécurité des applications de votre organisation, veuillez visiter https://www.f5.com/solutions/application-security .