Certifications

Date de mise à jour : 5 mars 2020

Règlementation gouvernementale

F5 maintient un programme actif de certification et dʼévaluation des produits, conforme à la règlementation gouvernementale, afin de maintenir un environnement informatique sécurisé.

Norme fédérale sur le traitement de lʼinformation (FIPS) 140-2

F5 propose des éditions virtuelles (VE), des plateformes FIPS complètes, des cartes PCI à module de sécurité matériel intégré (HSM) et des solutions FIPS externes (réseau HSM) pour répondre aux exigences et architectures de conformité les plus rigoureuses. Pour plus de détails, veuillez consulter le tableau ci-dessous.

Pour les clients qui nʼont besoin que dʼune solution FIPS 140-2 Niveau 1, le F5 FIPS BIG-IP VE intègre un module cryptographique validé par le NIST et basé sur un logiciel pour les plateformes x86.

Les plateformes FIPS F5 complètes offrent une validation au niveau de lʼappareil FIPS 140-2 Niveau 2, y compris lʼapplication de plombs de sécurité.

F5 propose aussi une sélection de plateformes BIG-IP, qui comprennent un HSM prenant en charge une implémentation FIPS 140-2 Niveau 2 pour la génération, lʼutilisation et la protection des clés cryptographiques RSA. Les clés générées sur, ou importées dans un BIG-IP avec HSM intégré ne sont pas extractibles au format texte clair. Les périphériques matériels BIG-IP avec HSM intégrés sont livrés avec un capot époxy scellé qui, sʼil est retiré, rendra la carte inutilisable et les clés inaccessibles. Pour une protection supplémentaire, plusieurs plateformes supportent une implémentation FIPS 140-2 Niveau 3 du HSM interne. Cette cote de sécurité signifie que la carte HSM interne comprend une résistance à lʼeffraction, qui reconnait les tentatives dʼaccès physique, la manipulation du module cryptographique et/ou la manipulation, détruit les clés et rend la carte inutilisable.

Logo FIPSEnfin, F5 BIG-IP prend en charge les HSM externes (en réseau) ; voir le tableau ci-dessous pour plus de détails.

Prise en charge de lʼintégration FIPS dans le cloud public

  • AWS CloudHSM – Avec CloudHSM, vous pouvez gérer vos propres clés de cryptage en utilisant des HSM validés FIPS 140-2 Niveau 3. BIG-IP v14.1.0 et AWS versions 1.0.18 et 1.1.0.
  • Equinix SmartKey – Sécurité de niveau HSM dans un service cloud facile à utiliser avec chiffrement et tokenisation intégrés et certification FIPS 140-2 Niveau 3. BIG-IP v14.1.0 et SmartKey client version 2.9.804.

Modules cryptographiques F5 FIPS

Modèle F5 Version du logiciel BIG-IP Module(s) cryptographique(s) validé(s) par le NIST Certificat(s) de validation consolidé(s) Notes supplémentaires

Édition virtuelle sur les hyperviseurs suivants :

  • VMware ESXi
  • Hyper-V
  • KVM sur Centos 7

Approbation de fournisseur pour

  • AWS
  • Azure
15.1 Module cryptographique pour BIG-IP Niveau 1
(en cours)

Pris en charge :

DFARS 252.204-7012/NIST SP 800-171 pour CUI

10350v-F

i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800

VIPRION B2250/B4450

15.1 Module cryptographique de dispositif F5

Niveau 2
(en cours)

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

vCMP sur

i5000, i5820-DF, i7000, i7820-DF, i15800

 

VIPRION B2250/B4450

15.1 Module cryptographique vCMP F5 Niveau 2
(en cours)

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Édition virtuelle sur les hyperviseurs suivants :

  • VMware ESXi
  • Hyper-V
  • KVM sur Centos 7

Approbation de fournisseur pour

  • AWS
  • Azure
14.1.2 Module cryptographique pour BIG-IP Niveau 1
(en cours)

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

10350v-F, i7800

14.1.2 Module cryptographique de dispositif F5 Niveau 2
(en cours)

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Édition virtuelle sur les hyperviseurs suivants :

  • VMware ESXi
  • Hyper-V

Approbation de fournisseur pour

  • AWS
  • Azure
14.1.0.3 Module cryptographique pour BIG-IP Niveau 1 : 3596

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

5250v-F, 7200v-F, 10200v-F, 10350v-F

i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800

VIPRION B2250/B4450

14.1.0.3 Module cryptographique de dispositif F5 Niveau 2 : 3629

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

vCMP sur

i5000, i5820-DF, i7000, i7820-DF, i15800

VIPRION B2250/B4450

14.1.0.3 Module cryptographique vCMP F5 Niveau 2 : 3623

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Édition virtuelle sur les hyperviseurs suivants :

  • VMware ESXi
  • Hyper-V

Approbation de fournisseur pour

  • AWS
  • Azure
13.1.1 Module cryptographique pour BIG-IP Niveau 1 : 2911

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

4000, 5250v-F, 7200v-F, 10200v-F, 10350v-F

i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800

VIPRION B2250/B4450

13.1.1 Module cryptographique de dispositif F5 Niveau 2 : 3450

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

vCMP sur

VIPRION B2250/B4450

13.1.1 Module cryptographique vCMP F5 Niveau 2 : 3439

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

4000, 7000, 10350v-F

i4000, i5000, i7000

VIPRION B2250/B4450

13.1.0 Module cryptographique de dispositif F5 Niveau 2 : 3142

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

vCMP sur

VIPRION B2250/B4450

13.1.0 Module cryptographique vCMP F5 Niveau 2 : 3179

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Édition virtuelle sur les hyperviseurs suivants :

  • VMware ESXi
  • Hyper-V

Approbation de fournisseur pour

  • AWS
  • Azure
12.1.2 HF1 Module cryptographique pour BIG-IP Niveau 1 : 2911

Pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Modules cryptographiques intégrés

Modules intégrés pour modèles
F5
Module(s) cryptographique(s) validé(s) par le NIST Certificat(s) de validation consolidé(s) Notes supplémentaires
10350v-F, i5820-DF, i7820-DF NITROXIII CNN35XX-NFBE-G HSM Family Niveau 3 : 2495

NITROXIII est équipé de FIPS

Partiellement pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

5250v-F, 7200v-F, 10200v-F NITROX XL CN16XX-NFBE HSM Famille Niveau 3 : 1369

NITROX XL est équipé de FIPS

Partiellement pris en charge :

DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Modules cryptographiques externes

Modules externes pour systèmes
F5
Module(s) cryptographique(s) validé(s) par le NIST Certificat(s) de validation consolidé(s) Notes supplémentaires
BIG-IP, VIPRION et Virtual Edition v11.2 et supérieur

Thales

nShield Connect 500+,

nShield Connect 1500+,

nShield Connect 6000+

Niveau 2 : 1203 et 1733

Niveau 3 : 1197 et 1742

Non pris en charge : DFARS 252.204-7012/NIST SP 800-171
BIG-IP, VIPRION et Virtual Edition v11.5 et supérieur SafeNet Luna SA 6000

Niveau 2 : 1347

Niveau 3 : 1167

Non pris en charge : DFARS 252.204-7012 / NIST SP 800-171

FIPS historique

F5 BIG-IP 6900F et 8900F, bien que conformes à FIPS 140-2, ne peuvent pas prendre en charge une mise à niveau nécessaire du micrologiciel de leur HSM, et ont donc été déplacés vers une liste FIPS historique. Pour trouver le certificat, allez sur la page de recherche du module validé par la CMVP et effectuez une recherche avancée avec « Statut de validation » = « Historique ».

Modèle F5 Modules cryptographiques validés par le NIST Niveau FIPS global Politique de sécurité Certificat de validation consolidé
BIG-IP 6900F, 8900F Module intégré :
Cavium Nitrox XL CN1520-VBD-04-02-0201
Niveau 2 Politique de sécurité de niveau 2
Politique de sécurité de niveau 3
Certificats de validation FIPS 140-2 :
Niveau 2 : 1360
Niveau 3 : 1361

Principaux avantages de lʼutilisation de solutions conformes à la norme FIPS F5 :

  • SSL haute performance — Des performances de pointe dans lʼindustrie, avecles normesrecommandées par le secteur.
  • Plateforme unifiée — BIG-IP est capable de consolider un HSM qui fournit un stockage de clés sécurisé avec une solution de fourniture dʼapplications qui a la gestion des clés SSL et la gestion des certificats sur un seul appareil. Dʼautres solutions nécessitent un système séparé ou une carte certifiée FIPS pour chaque serveur web, mais le cadre de gestion des clés du système BIG-IP permet une infrastructure sécurisée hautement évolutive qui peut gérer des niveaux de trafic plus élevés. Les organisations peuvent aussi facilement ajouter de nouveaux services à lʼinfrastructure.
  • Les solutions Secure Resources-F5 protègent lʼintégrité des entreprises en sécurisant leurs ressources et en protégeant leurs marques.

DFARS 252.204-7012 / NIST SP 800-171 pour les informations confidentielles non classifiées (CUI) est un mandat du Département de la Défense des États-Unis à compter de décembre2017,et est rempli grâce à des solutions validées par la FIPS couvrant les opérations de crypto asymétriques et symétriques. Des plateformes FIPS F5 spécifiques répondent à cette exigence directement ou par lʼajout du module F5 FIPS. Voir ci-dessus pour les plateformes qualifiantes et les détails.
 

Common Criteria pour lʼévaluation de la sécurité des technologies de lʼinformation (Common Criteria, CC)

Common Criteria (critères communs) est une norme internationale (ISO 15408) pour lʼévaluation des propriétés de sécurité dʼun produit informatique. Cet ensemble dʼexigences évalue le matériel, les logiciels, les pare-feux et les serveurs. Lʼobjectif de lʼévaluation est de fournir un niveau dʼassurance quʼun dispositif ou un logiciel traite les données en toute sécurité et ne comporte aucun élément susceptible dʼen compromettre lʼintégrité.

Common Criteria garantit au département de la Défense des États-Unis et aux services de renseignement fédéraux que les produits quʼils achètent respectent les exigences présidentielles en matière dʼexploitation de systèmes dʼinformation sécurisés. Dʼautres organismes fédéraux et certaines entreprises financières trouvent quʼil est beaucoup plus facile dʼacheter des produits approuvés selon les critères communs pour leurs déploiements sensibles. F5 a obtenu les certifications par rapport aux profils de protection collaboratifs des dispositifs réseau et des pare-feux, ainsi que les certifications EAL 2+ et EAL 4+. Voir le tableau et les liens ci-dessous pour plus de détails.

Deutsches IT-Sicherheitszertifikat

Certification Common Criteria

Modèle F5 Version du logiciel Informations relatives à la certification Security Target

10350v-F

Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000

VIPRION B2250/B4450

vCMP

BIG-IP Virtual Edition sur les hyperviseurs suivants :

  • VMware ESXi 6.5.0
  • Hyper-V version 10.0 sur Windows Server 2019

KVM sur Centos 7

15.1 LTM+AFM (En cours)

Collaborative Protection Profile pour Network Devices v2.1

Module PP pour les pare-feux Stateful Traffic Filter Version 1.2

10350v-F

Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000

VIPRION B2250/B4450

vCMP

BIG-IP Virtual Edition sur les hyperviseurs suivants :

  • VMware ESXi 6.5.0
  • Hyper-V version 10.0 sur Windows Server 2019

KVM sur Centos 7

15.1 LTM+APM

(En cours)

Collaborative Protection Profile pour Network Devices v2.1

BIG-IP Virtual Edition sur les hyperviseurs suivants :

  • VMware ESXi 6.5.0
  • Hyper-V version 10.0 sur Windows Server 2019

KVM sur Centos 7

14.1.2

LTM+AFM

CSEC 2019021

(En cours)

Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 2.0e

BIG-IP Virtual Edition sur les hyperviseurs suivants :

  • VMware ESXi 6.5.0
  • Hyper-V version 10.0 sur Windows Server 2019

KVM sur Centos 7

14.1.2

LTM+APM

CSEC 2019022

(En cours)

Collaborative Protection Profile pour Network Devices Version 2.1

10350v-F

Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+AFM

CSEC 2019003

NIAP PCL

Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 2.0e

10350v-F

Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000

VIPRION B2250/B4450

vCMP

14.1.0.3 LTM+APM

CSEC 2019004

NIAP PCL

Collaborative Protection Profile pour Network Devices v2.1

10350v-F

Série i5000, série i7000, série i10000, série i11000, série i15000

VIPRION B2250/B4450

vCMP

13.1.1 LTM+AFM

CSEC 2017016

NIAP PCL

Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 2.0e

10350v-F

Série i5000, série i7000, série i10000, série i11000, série i15000

VIPRION B2250/B4450

vCMP

13.1.1 LTM+APM

CSEC 2017021

 

NIAP PCL

Collaborative Protection Profile pour Network Devices Version 2.0e

10350v-F

série i5000, série i7000

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+AFM

CSEC 2017004

NIAP PCL

Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 1.0

10350v-F

série i5000, série i7000

VIPRION B2250/B4450

vCMP

12.1.3.4 LTM+APM

CSEC 2017005

NIAP PCL

Collaborative Protection Profile pour Network Devices Version 1.0
BIG-IP 11.5.1 ADF-Base (LTM+AFM) BSI-DSZ-CC-0856-2017 EAL4+ Security Target
basé sur le profil de protection NIAP pour les dispositifs de réseau de version 1.1 et le pare-feu Stateful Traffic Filter version 1.0 au profil de protection pour les dispositifs de réseau
BIG-IP 11.5.1 ADC-AP (LTM+APM) BSI-DSZ-CC-0975-2018 EAL4+ Security Target
basé sur le profil de protection NIAP pour Network Devices Version 1.1
BIG-IP 6900, 8900, 11050 10.2.2 LTM + ACA+ PSM Certificat Common Criteria NIAP EAL 2+ F5 Networks BIG-IP Local Traffic Manager Security Target

 

Commercial Solutions for Classified (CSfC)

Le CSfC est un programme de lʼAgence de sécurité nationale/Service central de sécurité (NSA/CSS) qui permet dʼutiliser des produits commerciaux dans des solutions à couches pour la protection des données classifiées des Systèmes de sécurité nationale (NSS). Ce programme comporte deux volets : les fournisseurs demandent que leurs produits figurent sur une ou plusieurs listes de composants ; les intégrateurs peuvent ensuite choisir parmi les produits figurant sur ces listes pour créer des solutions. Tous les composants listés doivent avoir obtenu la certification aux critères communs et la validation FIPS pour que le produit soit listé dans la liste des composants.

Produits F5 Liste des composants
BIG-IP 14.1.2 En cours
BIG-IP 14.1.0.3 En cours
BIG-IP 13.1/1 Pare-feu de filtrage du trafic CSfC
BIG-IP 12.1 LTM+AFM Pare-feu de filtrage du trafic CSfC

Certification de conformité IPv6 du gouvernement des États-Unis (USGv6)

LʼOffice of Management and Budget (OMB) des États-Unis a déclaré que tous les organismes fédéraux sont tenus dʼutiliser IPv6 dans leurs réseaux dans le mémorandum M-05-22 de lʼOMB. La certification de conformité IPv6 du gouvernement des États-Unis (USGv6) est un ensemble de normes techniques pour lʼacquisition dʼhôtes, de routeurs et de dispositifs de sécurité réseau compatibles IPv6. Le National Institute of Standards and Technology (NIST) a créé les normes de conformité USGv6 pour soutenir lʼadoption dʼIPv6 par le gouvernement américain.

F5 BIG-IP est compatible IPv6 et certifié USGv6. Consultez lʼannonce : F5 reçoit les certifications IPv6-Ready Gold Logo et USGv6

Plateformes F5 Version de produit Informations relatives à la certification
BIG-IP série 10000, VIPRION série B4300 11.3.0 et toutes les versions ultérieures USGv6
Résultats par UNH-IOL
BIG-IP série 10000 11.3, 12.1 IPv6 Gold
Phase-2 Gold Logo ID #02-C-001106

Commandement des essais dʼinteropérabilité interarmées (JITC) Clé publique activée (PKE)

Le Joint Interoperability Test Command (JITC) de la U.S. Department of Defense Information Systems Agency (DISA) fournit des services, des outils et des environnements dʼévaluation et de certification des tests axés sur les risques pour assurer et permettre le déploiement rapide de technologies de lʼinformation et de systèmes de sécurité nationale interopérables et efficaces au niveau opérationnel. Les clients ou serveurs sont testés pour sʼassurer quʼils sont à clé publique (PKE) et capables de fournir des services de sécurité, comme lʼauthentification, la confidentialité et la non-répudiationetle contrôle dʼaccès. Les zones de test PKE du JITC comprennent les certifications NIST et JITC, le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (LCR) et les cartes dʼaccès communes (CAC) du DoD.

F5 BIG-IP est certifié par le Département de la Défense comme PUBLIC KEY-ENABLED (PKE). Voir lʼannonce : F5 reçoit la certification du JITC (Joint Interoperability Test Command)

Modèle F5 Détails de la certification Commentaires
BIG-IP v 11.2 Certifié Fonctionne avec les cartes dʼaccès communes du DoD (CAC)

NIST 800-53

La publication spéciale 800-53 du NIST, Security and Privacy Controls for Federal Information Systems and Organizations, est une norme fondamentale qui définit la façon dʼaborder la sécurité de lʼinformation et la gestion des risques au sein du gouvernement fédéral. Élaborée par le NIST, le DoD, la communauté du renseignement et le Comité sur les systèmes de sécurité nationale, cette norme fournit des lignes directrices sur la surveillance continue et les exigences FISMA. Elle soutient aussi une approche axée sur le risque pour protéger les missions et les fonctions opérationnelles essentielles.

F5 a préparé ce document de plus de 240 pages dans une iApp F5 pour NIST 800-53.LʼiAppfournit plusieurs pages de questions et de tâches pertinentes pour aider lʼadministrateur à appliquer les contrôles de sécurité pertinents sur son périphérique BIG-IP, économisant ainsi des heures et des ressources de gestion pour les entreprises.

Si votre agence cherche à améliorer le processDIACAP,ou si vous cherchez à vous conformer à FISMA, alors le F5 NIST 800-53 iApp vous aidera à vous assurer que les paramètres de configuration appropriés sur BIG-IP sont revus et réglés.

En savoir plus sur lʼutilisation du modèle F5 iApp

Liste de produits approuvée par le réseau dʼinformation du Ministère de la Défense

Le DoDIN APL du Département de la Défense des États-Unis est une liste consolidée unique de produits qui ont obtenu la certification dʼinteropérabilité (IO) et dʼassurance de lʼinformation (IA). Les certifications DoDIN APL vérifient que le système est conforme et configuré conformément aux guides dʼimplémentation technique de sécurité (STIG) du DISA Field Security Office (FSO).

Pour plus dʼinformations sur le processus DoDIN APL, visitez le site Web de test et de certification DoDIN APL.

Numéro Cert / TN Produit Certification externe
1906001 F5 Networks BIG-IP Version 14.1 Certification
1630801 F5 Networks BIG-IP Version 13.1 Certification
1312201 F5 Networks BIG-IP Version 11.6 Certification

Autres certifications

Pour obtenir plus dʼinformations sur les nombreuses autres certifications que détient F5, contactez le service commercial F5.