Certifications

Date de mise à jour : 5 mars 2020

Règlementation gouvernementale

F5 maintient un programme actif de certification et dʼévaluation des produits, conforme à la règlementation gouvernementale, afin de maintenir un environnement informatique sécurisé.

Norme fédérale sur le traitement de lʼinformation (FIPS) 140-2

F5 propose des éditions virtuelles (VE), des plateformes FIPS complètes, des cartes PCI à module de sécurité matériel intégré (HSM) et des solutions FIPS externes (réseau HSM) pour répondre aux exigences et architectures de conformité les plus rigoureuses. Pour plus de détails, veuillez consulter le tableau ci-dessous.

Pour les clients qui nʼont besoin que dʼune solution FIPS 140-2 Niveau 1, le F5 FIPS BIG-IP VE intègre un module cryptographique validé par le NIST et basé sur un logiciel pour les plateformes x86.

Les plateformes FIPS F5 complètes offrent une validation au niveau de lʼappareil FIPS 140-2 Niveau 2, y compris lʼapplication de plombs de sécurité.

F5 propose aussi une sélection de plateformes BIG-IP, qui comprennent un HSM prenant en charge une implémentation FIPS 140-2 Niveau 2 pour la génération, lʼutilisation et la protection des clés cryptographiques RSA. Les clés générées sur, ou importées dans un BIG-IP avec HSM intégré ne sont pas extractibles au format texte clair. Les périphériques matériels BIG-IP avec HSM intégrés sont livrés avec un capot époxy scellé qui, sʼil est retiré, rendra la carte inutilisable et les clés inaccessibles. Pour une protection supplémentaire, plusieurs plateformes supportent une implémentation FIPS 140-2 Niveau 3 du HSM interne. Cette cote de sécurité signifie que la carte HSM interne comprend une résistance à lʼeffraction, qui reconnait les tentatives dʼaccès physique, la manipulation du module cryptographique et/ou la manipulation, détruit les clés et rend la carte inutilisable.

Enfin, F5 BIG-IP prend en charge les HSM externes (en réseau) ; voir le tableau ci-dessous pour plus de détails.

Prise en charge de lʼintégration FIPS dans le cloud public

• AWS CloudHSM – Avec CloudHSM, vous pouvez gérer vos propres clés de cryptage en utilisant des HSM validés FIPS 140-2 Niveau 3. BIG-IP v14.1.0 et AWS versions 1.0.18 et 1.1.0.
• Equinix SmartKey – Sécurité de niveau HSM dans un service cloud facile à utiliser avec chiffrement et tokenisation intégrés et certification FIPS 140-2 Niveau 3. BIG-IP v14.1.0 et SmartKey client version 2.9.804.

Modules cryptographiques F5 FIPS

Modules cryptographiques intégrés

Modules cryptographiques externes

FIPS historique

F5 BIG-IP 6900F et 8900F, bien que conformes à FIPS 140-2, ne peuvent pas prendre en charge une mise à niveau nécessaire du micrologiciel de leur HSM, et ont donc été déplacés vers une liste FIPS historique. Pour trouver le certificat, allez sur la page de recherche du module validé par la CMVP et effectuez une recherche avancée avec « Statut de validation » = « Historique ».

Principaux avantages de lʼutilisation de solutions conformes à la norme FIPS F5 :

• SSL haute performance — Des performances de pointe dans lʼindustrie, avecles normesrecommandées par le secteur.
• Plateforme unifiée — BIG-IP est capable de consolider un HSM qui fournit un stockage de clés sécurisé avec une solution de fourniture dʼapplications qui a la gestion des clés SSL et la gestion des certificats sur un seul appareil. Dʼautres solutions nécessitent un système séparé ou une carte certifiée FIPS pour chaque serveur web, mais le cadre de gestion des clés du système BIG-IP permet une infrastructure sécurisée hautement évolutive qui peut gérer des niveaux de trafic plus élevés. Les organisations peuvent aussi facilement ajouter de nouveaux services à lʼinfrastructure.
• Les solutions Secure Resources-F5 protègent lʼintégrité des entreprises en sécurisant leurs ressources et en protégeant leurs marques.

DFARS 252.204-7012 / NIST SP 800-171 pour les informations confidentielles non classifiées (CUI) est un mandat du Département de la Défense des États-Unis à compter de décembre2017,et est rempli grâce à des solutions validées par la FIPS couvrant les opérations de crypto asymétriques et symétriques. Des plateformes FIPS F5 spécifiques répondent à cette exigence directement ou par lʼajout du module F5 FIPS. Voir ci-dessus pour les plateformes qualifiantes et les détails.
 

Common Criteria pour lʼévaluation de la sécurité des technologies de lʼinformation (Common Criteria, CC)

Common Criteria (critères communs) est une norme internationale (ISO 15408) pour lʼévaluation des propriétés de sécurité dʼun produit informatique. Cet ensemble dʼexigences évalue le matériel, les logiciels, les pare-feux et les serveurs. Lʼobjectif de lʼévaluation est de fournir un niveau dʼassurance quʼun dispositif ou un logiciel traite les données en toute sécurité et ne comporte aucun élément susceptible dʼen compromettre lʼintégrité.

Common Criteria garantit au département de la Défense des États-Unis et aux services de renseignement fédéraux que les produits quʼils achètent respectent les exigences présidentielles en matière dʼexploitation de systèmes dʼinformation sécurisés. Dʼautres organismes fédéraux et certaines entreprises financières trouvent quʼil est beaucoup plus facile dʼacheter des produits approuvés selon les critères communs pour leurs déploiements sensibles. F5 a obtenu les certifications par rapport aux profils de protection collaboratifs des dispositifs réseau et des pare-feux, ainsi que les certifications EAL 2+ et EAL 4+. Voir le tableau et les liens ci-dessous pour plus de détails.

Certification Common Criteria

Commercial Solutions for Classified (CSfC)

Le CSfC est un programme de lʼAgence de sécurité nationale/Service central de sécurité (NSA/CSS) qui permet dʼutiliser des produits commerciaux dans des solutions à couches pour la protection des données classifiées des Systèmes de sécurité nationale (NSS). Ce programme comporte deux volets : les fournisseurs demandent que leurs produits figurent sur une ou plusieurs listes de composants ; les intégrateurs peuvent ensuite choisir parmi les produits figurant sur ces listes pour créer des solutions. Tous les composants listés doivent avoir obtenu la certification aux critères communs et la validation FIPS pour que le produit soit listé dans la liste des composants.

Certification de conformité IPv6 du gouvernement des États-Unis (USGv6)

LʼOffice of Management and Budget (OMB) des États-Unis a déclaré que tous les organismes fédéraux sont tenus dʼutiliser IPv6 dans leurs réseaux dans le mémorandum M-05-22 de lʼOMB. La certification de conformité IPv6 du gouvernement des États-Unis (USGv6) est un ensemble de normes techniques pour lʼacquisition dʼhôtes, de routeurs et de dispositifs de sécurité réseau compatibles IPv6. Le National Institute of Standards and Technology (NIST) a créé les normes de conformité USGv6 pour soutenir lʼadoption dʼIPv6 par le gouvernement américain.

F5 BIG-IP est compatible IPv6 et certifié USGv6. Consultez lʼannonce : F5 reçoit les certifications IPv6-Ready Gold Logo et USGv6

Commandement des essais dʼinteropérabilité interarmées (JITC) Clé publique activée (PKE)

Le Joint Interoperability Test Command (JITC) de la U.S. Department of Defense Information Systems Agency (DISA) fournit des services, des outils et des environnements dʼévaluation et de certification des tests axés sur les risques pour assurer et permettre le déploiement rapide de technologies de lʼinformation et de systèmes de sécurité nationale interopérables et efficaces au niveau opérationnel. Les clients ou serveurs sont testés pour sʼassurer quʼils sont à clé publique (PKE) et capables de fournir des services de sécurité, comme lʼauthentification, la confidentialité et la non-répudiationetle contrôle dʼaccès. Les zones de test PKE du JITC comprennent les certifications NIST et JITC, le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (LCR) et les cartes dʼaccès communes (CAC) du DoD.

F5 BIG-IP est certifié par le Département de la Défense comme PUBLIC KEY-ENABLED (PKE). Voir lʼannonce : F5 reçoit la certification du JITC (Joint Interoperability Test Command)

NIST 800-53

La publication spéciale 800-53 du NIST, Security and Privacy Controls for Federal Information Systems and Organizations, est une norme fondamentale qui définit la façon dʼaborder la sécurité de lʼinformation et la gestion des risques au sein du gouvernement fédéral. Élaborée par le NIST, le DoD, la communauté du renseignement et le Comité sur les systèmes de sécurité nationale, cette norme fournit des lignes directrices sur la surveillance continue et les exigences FISMA. Elle soutient aussi une approche axée sur le risque pour protéger les missions et les fonctions opérationnelles essentielles.

F5 a préparé ce document de plus de 240 pages dans une iApp F5 pour NIST 800-53.LʼiAppfournit plusieurs pages de questions et de tâches pertinentes pour aider lʼadministrateur à appliquer les contrôles de sécurité pertinents sur son périphérique BIG-IP, économisant ainsi des heures et des ressources de gestion pour les entreprises.

Si votre agence cherche à améliorer le processDIACAP,ou si vous cherchez à vous conformer à FISMA, alors le F5 NIST 800-53 iApp vous aidera à vous assurer que les paramètres de configuration appropriés sur BIG-IP sont revus et réglés.

En savoir plus sur lʼutilisation du modèle F5 iApp

Liste de produits approuvée par le réseau dʼinformation du Ministère de la Défense

Le DoDIN APL du Département de la Défense des États-Unis est une liste consolidée unique de produits qui ont obtenu la certification dʼinteropérabilité (IO) et dʼassurance de lʼinformation (IA). Les certifications DoDIN APL vérifient que le système est conforme et configuré conformément aux guides dʼimplémentation technique de sécurité (STIG) du DISA Field Security Office (FSO).

Pour plus dʼinformations sur le processus DoDIN APL, visitez le site Web de test et de certification DoDIN APL.

Autres certifications

Pour obtenir plus dʼinformations sur les nombreuses autres certifications que détient F5, contactez le service commercial F5.