Certifications

Date de mise à jour : 10 mai 2019

Réglementation gouvernementale

F5 maintient un programme actif de certification et d'évaluation des produits conforme à la réglementation gouvernementale afin de maintenir un environnement informatique sécurisé.

Norme fédérale sur le traitement de l'information (FIPS) 140-2

F5 propose des éditions virtuelles (VE), des plates-formes FIPS complètes, des cartes PCI à module de sécurité matériel intégré (HSM) et des solutions FIPS externes (réseau HSM) pour répondre aux exigences et architectures de conformité les plus rigoureuses. Pour plus de détails, veuillez consulter le tableau ci-dessous.

Pour les clients qui n'ont besoin que d'une solution FIPS 140-2 Niveau 1, le F5 FIPS BIG-IP VE intègre un module cryptographique validé par le NIST et basé sur un logiciel pour les plates-formes x86.

Les plates-formes FIPS F5 complètes offrent une validation au niveau de l'appareil FIPS 140-2 Niveau 2, y compris l'application de plombs de sécurité.

F5 propose également une sélection de plates-formes BIG-IP, qui comprennent un HSM prenant en charge une implémentation FIPS 140-2 Niveau 2 pour la génération, l'utilisation et la protection des clés cryptographiques RSA. Les clés générées sur, ou importées dans un BIG-IP avec HSM intégré ne sont pas exportables en clair. Les équipements BIG-IP avec HSM intégrés sont livrés avec un capot époxy scellé qui, s'il est retiré, rendra la carte inutilisable et les clés inaccessibles. Pour une protection supplémentaire, le BIG-IP 10350v-F supporte une implémentation FIPS 140-2 Niveau 3 du HSM interne. Ce niveau de sécurité signifie que la carte HSM 10350v-F comprend une résistance à l'effraction, qui reconnaît les tentatives d'accès physique, la manipulation du module cryptographique et/ou la manipulation, détruit les clés et rend la carte inutilisable.

Logo FIPSLes plates-formes FIPS complètes de F5 fournissentla validation de la norme FIPS 140-2 Niveau 2au niveau du matériel, y compris l'application de plombs de sécurité.

Prise en charge de l'intégration FIPS dans le cloud public

  • AWS CloudHSM – Avec CloudHSM, vous pouvez gérer vos propres clés de cryptage en utilisant des HSM validés FIPS 140-2 Niveau 3. BIG-IP v14.1.0 et AWS versions 1.0.18 et 1.1.0.
  • Equinix SmartKey – Sécurité de niveau HSM dans un service cloud facile à utiliser avec chiffrement et tokenisation intégrés et certification FIPS 140-2 Niveau 3. BIG-IP v14.1.0 et SmartKey client version 2.9.804.
Modèle F5 Modules cryptographiques validés par le NIST Niveau
FIPS
global
Politique de
sécurité
 
Certificat de
validation
consolidé

BIG-IP 10350v-F

(FIPS 140-2 intégré)

Partiel : DFARS 252.204-7012 / NIST SP 800-171 

Nécessite le module cryptographique F5®

Module intégré :
Cavium Nitrox III CNN3560-NFBE-G
Niveau 3 Politique de sécurité de niveau 3 Certificats de validation FIPS 140-2 :
Niveau 2 : 3142
Niveau 3 : 2733

BIG-IP i5820 / i7820

(FIPS 140-2 intégré)

Partiel : DFARS 252.204-7012 / NIST SP 800-171  

Nécessite le module cryptographique F5®

Module intégré :
Cavium Nitrox III CNN3560-NFBE-G
Niveau 3 Politique de sécurité de niveau 3 Certificats de validation FIPS 140-2 :
Niveau 2 : En cours
Niveau 3 : 2733

BIG-IP 11000-F, 11050-F, 10200v-F, 7200v-F, 5250v-F

(FIPS 140-2 intégré)

Nécessite le module cryptographique F5®

Module intégré :
Cavium Nitrox XL 1600-NFBE HSM Family
Niveau 2 Politique de sécurité de niveau 2 Certificats de validation FIPS 140-2 :
Niveau 2 : 1369
Niveau 3 : 1511

BIG-IP, VIPRION, BIG-IP Virtual Edition sur v11.2 et supérieur

(FIPS 140-2 intégré)

Non pris en charge : DFARS 252.204-7012 / NIST SP 800-171 

Module externe :
Thales nShield Connect 500+, nShield Connect 1500+, nShield Connect 6000+
Niveau 2/3 Politique de sécurité de niveau 2
Politique de sécurité de niveau 3
Certificats de validation FIPS 140-2 :
Niveau 2 : 1203 et 1733
Niveau 3 : 1197 et 1742

BIG-IP, VIPRION, BIG-IP VE v11.5 et supérieur

(FIPS 140-2 intégré)

Non pris en charge : DFARS 252.204-7012 / NIST SP 800-171 

Module externe :
SafeNet Luna SA 6000
Niveau 2/3 Politique de sécurité de niveau 2
Politique de sécurité de niveau 3
Certificats de validation FIPS 140-2 :
Niveau 2 : 1347
Niveau 3 : 1167

BIG-IP Virtual Edition (v12.1.2 HF1 sur VMware ESXi 5.5, AWS sur Xen HVM domU, et Microsoft Azure sur machine virtuelle Hyper-V)
(v13.1.1 sur VMware ESXi 6.5, AWS sur Xen 4.2.amazon, Hyper-V 10.0 et Microsoft Azure sur machine virtuelle Hyper-V)
(v14.1.0.3 sur VMware ESXi 6.5, Hyper-V 2019, AWS et Azure)

(FIPS 140-2 intégré)

Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI
Module logiciel :
Module cryptographique pour BIG-IP®
Niveau 1
Politique de sécurité édition virtuelle de niveau 1
Certificats de validation FIPS 140-2 :
Niveau 1 : 2911

BIG-IP v14.1.0.3 validation en cours

BIG-IP Séries 4000/7000, 10350v-F, BIG-IP Séries i4000/i5000/i7000, VIPRION B2250/B4450 (v13.1)

BIG-IP Séries 4000/7000, 5250v-F, 7200v-F, 10200v-F, 10350v-F, BIG-IP Séries i4000/i5000/i7000/i10800/i11800/i15800, i5820v-F, i7820v-F, VIPRION B2250/B4450 (v13.1.1)

BIG-IP 5250v-F, 7200v-F, 10200v-F, 10350v-F, BIG-IP Séries i4000/i5000/i7000/i10800/i11800/i15800, i5820v-F, i7820v-F, VIPRION B2250/B4450 (v14.1.0.3)

Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Module matériel et micrologiciel : module cryptographique de dispositif
F5®
Niveau 2
Politique de sécurité de niveau 2


Certificats de validation
FIPS 140-2 :
Niveau 2 : 3142 (v13.1) Niveau 2 : 3450 (v13.1.1)

BIG-IP v 14.1.0.3 en cours

VIPRION B2250/B4450 vCMP (v13.1.1.1)

VIPRION B2250/B4450 vCMP (v13.1.1.1)


Séries i4000/i5000/i7000/i15800, i5820v-F, i7820v-F, VIPRION B2250/B4450 vCMP (14.1.0.3)

Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI

Module micrologiciel :
module cryptographique F5® vCMP
Niveau 2 Politique de sécurité de niveau 2


Certificats de validation
FIPS 140-2 : Niveau 2: 3179 (v13.1) Niveau 2 : 3439 (v13.1.1)

BIG-IP v14.1.0.3 en cours

FIPS historique

F5 BIG-IP 6900F et 8900F, bien que conformes à la norme FIPS 140-2, ne peuvent pas prendre en charge une mise à jour nécessaire du micrologiciel de leur HSM, et ont donc été déplacés vers une liste de FIPS historique.

Modèle F5 Modules cryptographiques validés par le NIST Niveau FIPS global Politique de sécurité Certificat de validation consolidé
BIG-IP 6900F, 8900F Module intégré :
Cavium Nitrox XL CN1520-VBD-04-02-0201
Niveau 2 Politique de sécurité de niveau 2
Politique de sécurité de niveau 3
Certificats de validation FIPS 140-2 :
Niveau 2 : 1360
Niveau 3 : 1361

Principaux avantages de l'utilisation de solutions conformes à la norme FIPS F5 :

  • SSL haute performance — Des performances de pointe dans l'industrie répondant aux normes recommandées par le secteur.les normesrecommandées par le secteur.
  • Plate-forme unifiée — BIG-IP est capable de consolider un HSM qui fournit un stockage de clés sécurisé avec une solution de fourniture d'applications et gestion des clés SSL et des certificats sur un seul appareil. D'autres solutions nécessitent un système séparé ou une carte certifiée FIPS pour chaque serveur web, mais le système de gestion des clés de BIG-IP permet une infrastructure sécurisée hautement évolutive qui peut gérer des niveaux de trafic plus élevés. Les organisations peuvent aussi facilement ajouter de nouveaux services à l'infrastructure.
  • Les solutions Secure Resources-F5 protègent l'intégrité des entreprises en sécurisant leurs ressources et en protégeant leurs marques.

DFARS 252.204-7012 / NIST SP 800-171 pour les informations confidentielles non classifiées (CUI) est un mandat du Département de la Défense des États-Unis à compter de décembre2017,et est rempli grâce à des solutions validées par la FIPS couvrant les opérations de crypto asymétriques et symétriques. Des plates-formes FIPS F5 spécifiques répondent à cette exigence directement ou par l'ajout du module F5 FIPS. Voir ci-dessus pour les plates-formes qualifiantes et les détails.
 

Critères communs pour l'évaluation de la sécurité des technologies de l'information (Common Criteria, CC)

Common Criteria est une norme internationale (ISO 15408) pour l'évaluation des propriétés de sécurité d'un produit informatique. Cet ensemble d'exigences évalue le matériel, les logiciels, les pare-feu et les serveurs. L'objectif de l'évaluation est de fournir un niveau d'assurance qu'un dispositif ou un logiciel traite les données en toute sécurité et ne comporte aucun élément susceptible de compromettre son intégrité. Chaque niveau d'assurance de l'évaluation (EAL) exige des informations de plus en plus détaillées sur la conception et les essais du dispositif ou du logiciel évalué. (Veuillez noter que le système de classification EAL est en cours de remplacement par des profils de protection collaboratifs, qui ont été conçus pour des technologies spécifiques et précisent les exigences énoncées dans la cible de sécurité, ainsi que les activités d'assurance pour ces exigences.)

Common Criteria garantit au département de la Défense des États-Unis et aux services de renseignement fédéraux que les produits qu'ils achètent respectent les exigences présidentielles en matière d'exploitation de systèmes d'information sécurisés. D'autres organismes fédéraux et certaines entreprises financières trouvent qu'il est beaucoup plus facile d'acheter des produits approuvés selon les Common Criteria pour leurs déploiements sensibles. F5 a obtenu les certifications EAL 2+ et EAL 4+. Les certifications des profils de protection collaboratifs des périphériques réseau et des pare-feu sont en cours de certification. Voir le tableau et les liens ci-dessous pour plus de détails.

Deutsches IT-Sicherheitszertifikat

Certification Common Criteria

Modèle F5 Version du logiciel Informations relatives à la certification Security Target
BIG-IP 6900, 8900, 11050 10.2.2 LTM + ACA+ PSM Certificat Common Criteria NIAP EAL 2+ F5 Networks BIG-IP Local Traffic Manager Security Target
BIG-IP 11.5.1 ADF-Base (LTM+AFM)

BSI-DSZ-CC-0856-2017 EAL4+



Security Target basé sur le profil de protection NIAP pour Network Devices Version 1.1 et Network Device Protection Profile Extended Package Stateful Traffic Filter Firewall Version 1.0
BIG-IP 11.5.1 ADC-AP (LTM+APM) BSI-DSZ-CC-0975-2018 EAL4+
Security Target basé sur le profil de protection NIAP pour Network Devices Version 1.1
BIG-IP 10350-F, BIG-IP séries i5000/i7000, VIPRION B2250/B4450, vCMP 12.1.3.4 LTM+AFM CSEC 2017004
NIAP APL
Collaborative Protection Profile pour Stateful Traffic Filter Firewalls v1.0
BIG-IP 10350-F, BIG-IP séries i5000/i7000, VIPRION B2250/B4450, vCMP 12.1.3.4 LTM+APM CSEC 2017005
NIAP APL
Collaborative Protection Profile pour Network Devices v1.0
BIG-IP 10350-F, BIG-IP séries i5000/i7000 incluant i5820v-F et i7820v-F, séries i10000/i11000/i15800, VIPRION B2250/B4450, vCMP 13.1.1 LTM+AFM CSEC 2017016 en cours Collaborative Protection Profile pour Stateful Traffic Filter Firewalls v2.0E
BIG-IP 10350-F, BIG-IP séries i5000/i7000 incluant i5820v-F et i7820v-F, séries i10000/i11000/i15800, VIPRION B2250/B4450, vCMP 13.1.1 LTM+APM CSEC 2017021 en cours Collaborative Protection Profile pour Network Devices v2.0E
BIG-IP 10350-F, BIG-IP séries i5000/i7000 incluant i5820v-F et i7820v-F, séries i10000/i11000/i15800, VIPRION B2250/B4450, vCMP 14.1.0.3 LTM+AFM CSEC 2019003 Collaborative Protection Profile pour Stateful Traffic Filter Firewalls v2.0E
BIG-IP 10350-F, BIG-IP séries i5000/i7000 incluant i5820v-F et i7820v-F, séries i10000/i11000/i15800, VIPRION B2250/B4450, vCMP 14.1.0.3 LTM+APM CSEC 2019004 Collaborative Protection Profile pour Network Devices v2.0E

 

Commercial Solutions for Classified (CSfC)

CSfC est un programme de l'Agence nationale de sécurité / Service central de sécurité (NSA/CSS) qui permet d'utiliser des produits commerciaux dans des solutions en couches protégeant les données classifiées des systèmes de sécurité nationale (NSS). Ce programme comprend deux parties : une liste de composants et des solutions créées à partir des éléments de la liste des composants. F5 BIG-IP figure dans la liste des composants.

Composant F5 Informations relatives à la certification
BIG-IP 12.1 LTM+AFM Pare-feu de filtrage du trafic CSfC
BIG-IP 13.1/1 En cours
BIG-IP 14.1.0.3 En cours

Certification de conformité IPv6 du gouvernement des États-Unis (USGv6)

L'Office of Management and Budget (OMB) des États-Unis a déclaré que tous les organismes fédéraux sont tenus d'utiliser IPv6 dans leurs réseaux dans le mémorandum M-05-22 de l'OMB. La certification de conformité IPv6 du gouvernement des États-Unis (USGv6) est un ensemble de normes techniques pour l'acquisition d'hôtes, de routeurs et de dispositifs de sécurité réseau compatibles IPv6. Le National Institute of Standards and Technology (NIST) a créé les normes de conformité USGv6 pour soutenir l'adoption d'IPv6 par le gouvernement américain.

F5 BIG-IP est compatible IPv6 et certifié USGv6. Consultez l'annonce : F5 reçoit les certifications IPv6-Ready Gold Logo et USGv6

Plates-formes Version de produit Informations relatives à la certification
BIG-IP série 10000 11.3, 12.1 IPv6 Gold
Phase-2 Gold Logo ID #02-C-001106
BIG-IP série 10000, VIPRION série B4300 11.3.0 et toutes les versions ultérieures USGv6
Résultats par UNH-IOL

JITC PKE

Le Joint Interoperability Test Command (JITC) de la U.S. Department of Defense Information Systems Agency (DISA) fournit des services, des outils et des environnements d'évaluation et de certification des tests axés sur les risques pour assurer et permettre le déploiement rapide de technologies de l'information et de systèmes de sécurité nationale interopérables et efficaces au niveau opérationnel. Les clients ou serveurs sont testés pour s'assurer qu'ils sont à clé publique (PKE) et capables de fournir des services de sécurité, comme l'authentification, la confidentialité et la non-répudiationetle contrôle d'accès. Les zones de test PKE du JITC comprennent les certifications NIST et JITC, le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (LCR) et les cartes d'accès communes (CAC) du DoD.

F5 BIG-IP est certifié par le Département de la Défense comme PUBLIC KEY-ENABLED (PKE). Voir l'annonce : F5 reçoit la certification du JITC (Joint Interoperability Test Command)

Modèle Détails de la certification Commentaires
BIG-IP v 11.2 Certifié Fonctionne avec les cartes d'accès communes du DoD (CAC)

NIST 800-53

La publication spéciale 800-53 du NIST, Security and Privacy Controls for Federal Information Systems and Organizations, est une norme fondamentale qui définit la façon d'aborder la sécurité de l'information et la gestion des risques au sein du gouvernement fédéral. Élaborée par le NIST, le DoD, la communauté du renseignement et le Comité sur les systèmes de sécurité nationale, cette norme fournit des lignes directrices sur la surveillance continue et les exigences FISMA. Elle soutient aussi une approche axée sur le risque pour protéger les missions et les fonctions opérationnelles essentielles.

F5 a préparé ce document de plus de 240 pages dans une iApp F5 pour NIST 800-53.L'iAppfournit plusieurs pages de questions et de tâches pertinentes pour aider l'administrateur à appliquer les contrôles de sécurité pertinents sur son périphérique BIG-IP, économisant ainsi des heures et des ressources de gestion pour les entreprises.

Si votre agence cherche à améliorer le processDIACAP,ou si vous cherchez à vous conformer à FISMA, alors le F5 NIST 800-53 iApp vous aidera à vous assurer que les paramètres de configuration appropriés sur BIG-IP sont revus et réglés.

En savoir plus sur l'utilisation du modèle F5 iApp

DoDIN APL (liste de produits approuvée par le réseau d'information du Ministère de la Défense)

Le DoDIN APL du Département de la Défense des États-Unis est une liste consolidée unique de produits qui ont obtenu la certification d'interopérabilité (IO) et d'assurance de l'information (IA). Les certifications DoDIN APL vérifient que le système est conforme et configuré conformément aux guides d'implémentation technique de sécurité (STIG) du DISA Field Security Office (FSO).

Pour plus d'informations sur le processus DoDIN APL, visitez le site Web de test et de certification DoDIN APL.

Numéro Cert / TN Produit Certification externe
1312201 F5 Networks BIG-IP Version 11.6 Certification
1630801 F5 Networks BIG-IP Version 13.1 Certification

Autres certifications

Pour obtenir plus d'informations sur les nombreuses autres certifications que détient F5, contactez le service commercial F5.