F5 maintient un programme actif de certification et dʼévaluation des produits, conforme à la règlementation gouvernementale, afin de maintenir un environnement informatique sécurisé.
F5 propose des éditions virtuelles (VE), des plateformes FIPS complètes, des cartes PCI à module de sécurité matériel intégré (HSM) et des solutions FIPS externes (réseau HSM) pour répondre aux exigences et architectures de conformité les plus rigoureuses. Pour plus de détails, veuillez consulter le tableau ci-dessous.
Pour les clients qui nʼont besoin que dʼune solution FIPS 140-2 Niveau 1, le F5 FIPS BIG-IP VE intègre un module cryptographique validé par le NIST et basé sur un logiciel pour les plateformes x86.
Les plateformes FIPS F5 complètes offrent une validation au niveau de lʼappareil FIPS 140-2 Niveau 2, y compris lʼapplication de plombs de sécurité.
F5 propose aussi une sélection de plateformes BIG-IP, qui comprennent un HSM prenant en charge une implémentation FIPS 140-2 Niveau 2 pour la génération, lʼutilisation et la protection des clés cryptographiques RSA. Les clés générées sur, ou importées dans un BIG-IP avec HSM intégré ne sont pas extractibles au format texte clair. Les périphériques matériels BIG-IP avec HSM intégrés sont livrés avec un capot époxy scellé qui, sʼil est retiré, rendra la carte inutilisable et les clés inaccessibles. Pour une protection supplémentaire, plusieurs plateformes supportent une implémentation FIPS 140-2 Niveau 3 du HSM interne. Cette cote de sécurité signifie que la carte HSM interne comprend une résistance à lʼeffraction, qui reconnait les tentatives dʼaccès physique, la manipulation du module cryptographique et/ou la manipulation, détruit les clés et rend la carte inutilisable.
Enfin, F5 BIG-IP prend en charge les HSM externes (en réseau) ; voir le tableau ci-dessous pour plus de détails.
Modèle F5 | Version du logiciel BIG-IP | Module(s) cryptographique(s) validé(s) par le NIST | Certificat(s) de validation consolidé(s) | Notes supplémentaires |
---|---|---|---|---|
Édition virtuelle sur les hyperviseurs suivants :
Approbation de fournisseur pour
|
15.1 | Module cryptographique pour BIG-IP | Niveau 1 (en cours) |
Pris en charge : DFARS 252.204-7012/NIST SP 800-171 pour CUI |
10350v-F i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800 VIPRION B2250/B4450 |
15.1 | Module cryptographique de dispositif F5 | Niveau 2 |
Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
vCMP sur i5000, i5820-DF, i7000, i7820-DF, i15800
VIPRION B2250/B4450 |
15.1 | Module cryptographique vCMP F5 | Niveau 2 (en cours) |
Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
Édition virtuelle sur les hyperviseurs suivants :
Approbation de fournisseur pour
|
14.1.2 | Module cryptographique pour BIG-IP | Niveau 1 (en cours) |
Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
10350v-F, i7800 |
14.1.2 | Module cryptographique de dispositif F5 | Niveau 2 (en cours) |
Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
Édition virtuelle sur les hyperviseurs suivants :
Approbation de fournisseur pour
|
14.1.0.3 | Module cryptographique pour BIG-IP | Niveau 1 : 3596 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
5250v-F, 7200v-F, 10200v-F, 10350v-F i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800 VIPRION B2250/B4450 |
14.1.0.3 | Module cryptographique de dispositif F5 | Niveau 2 : 3629 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
vCMP sur i5000, i5820-DF, i7000, i7820-DF, i15800 VIPRION B2250/B4450 |
14.1.0.3 | Module cryptographique vCMP F5 | Niveau 2 : 3623 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
Édition virtuelle sur les hyperviseurs suivants :
Approbation de fournisseur pour
|
13.1.1 | Module cryptographique pour BIG-IP | Niveau 1 : 2911 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
4000, 5250v-F, 7200v-F, 10200v-F, 10350v-F i4000, i5000, i5820-DF, i7000, i7820-DF, i10800, i11800-DS, i15800 VIPRION B2250/B4450 |
13.1.1 | Module cryptographique de dispositif F5 | Niveau 2 : 3450 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
vCMP sur VIPRION B2250/B4450 |
13.1.1 | Module cryptographique vCMP F5 | Niveau 2 : 3439 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
4000, 7000, 10350v-F i4000, i5000, i7000 VIPRION B2250/B4450 |
13.1.0 | Module cryptographique de dispositif F5 | Niveau 2 : 3142 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
vCMP sur VIPRION B2250/B4450 |
13.1.0 | Module cryptographique vCMP F5 | Niveau 2 : 3179 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
Édition virtuelle sur les hyperviseurs suivants :
Approbation de fournisseur pour
|
12.1.2 HF1 | Module cryptographique pour BIG-IP | Niveau 1 : 2911 | Pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
Modules intégrés pour modèles F5 |
Module(s) cryptographique(s) validé(s) par le NIST | Certificat(s) de validation consolidé(s) | Notes supplémentaires |
---|---|---|---|
10350v-F, i5820-DF, i7820-DF | NITROXIII CNN35XX-NFBE-G HSM Family | Niveau 3 : 2495 | NITROXIII est équipé de FIPS Partiellement pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
5250v-F, 7200v-F, 10200v-F | NITROX XL CN16XX-NFBE HSM Famille | Niveau 3 : 1369 | NITROX XL est équipé de FIPS Partiellement pris en charge : DFARS 252.204-7012 / NIST SP 800-171 pour CUI |
Modules externes pour systèmes F5 |
Module(s) cryptographique(s) validé(s) par le NIST | Certificat(s) de validation consolidé(s) | Notes supplémentaires |
---|---|---|---|
BIG-IP, VIPRION et Virtual Edition v11.2 et supérieur | Thales nShield Connect 500+, nShield Connect 1500+, nShield Connect 6000+ |
Niveau 2 : 1203 et 1733 Niveau 3 : 1197 et 1742 |
Non pris en charge : DFARS 252.204-7012/NIST SP 800-171 |
BIG-IP, VIPRION et Virtual Edition v11.5 et supérieur | SafeNet Luna SA 6000 | Niveau 2 : 1347 Niveau 3 : 1167 |
Non pris en charge : DFARS 252.204-7012 / NIST SP 800-171 |
F5 BIG-IP 6900F et 8900F, bien que conformes à FIPS 140-2, ne peuvent pas prendre en charge une mise à niveau nécessaire du micrologiciel de leur HSM, et ont donc été déplacés vers une liste FIPS historique. Pour trouver le certificat, allez sur la page de recherche du module validé par la CMVP et effectuez une recherche avancée avec « Statut de validation » = « Historique ».
Modèle F5 | Modules cryptographiques validés par le NIST | Niveau FIPS global | Politique de sécurité | Certificat de validation consolidé |
---|---|---|---|---|
BIG-IP 6900F, 8900F | Module intégré : Cavium Nitrox XL CN1520-VBD-04-02-0201 |
Niveau 2 | Politique de sécurité de niveau 2 Politique de sécurité de niveau 3 |
Certificats de validation FIPS 140-2 : Niveau 2 : 1360 Niveau 3 : 1361 |
Principaux avantages de lʼutilisation de solutions conformes à la norme FIPS F5 :
Common Criteria (critères communs) est une norme internationale (ISO 15408) pour lʼévaluation des propriétés de sécurité dʼun produit informatique. Cet ensemble dʼexigences évalue le matériel, les logiciels, les pare-feux et les serveurs. Lʼobjectif de lʼévaluation est de fournir un niveau dʼassurance quʼun dispositif ou un logiciel traite les données en toute sécurité et ne comporte aucun élément susceptible dʼen compromettre lʼintégrité.
Common Criteria garantit au département de la Défense des États-Unis et aux services de renseignement fédéraux que les produits quʼils achètent respectent les exigences présidentielles en matière dʼexploitation de systèmes dʼinformation sécurisés. Dʼautres organismes fédéraux et certaines entreprises financières trouvent quʼil est beaucoup plus facile dʼacheter des produits approuvés selon les critères communs pour leurs déploiements sensibles. F5 a obtenu les certifications par rapport aux profils de protection collaboratifs des dispositifs réseau et des pare-feux, ainsi que les certifications EAL 2+ et EAL 4+. Voir le tableau et les liens ci-dessous pour plus de détails.
Modèle F5 | Version du logiciel | Informations relatives à la certification | Security Target |
---|---|---|---|
10350v-F Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000 VIPRION B2250/B4450 vCMP BIG-IP Virtual Edition sur les hyperviseurs suivants :
KVM sur Centos 7 |
15.1 LTM+AFM | (En cours) | Collaborative Protection Profile pour Network Devices v2.1 Module PP pour les pare-feux Stateful Traffic Filter Version 1.2 |
10350v-F Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000 VIPRION B2250/B4450 vCMP BIG-IP Virtual Edition sur les hyperviseurs suivants :
KVM sur Centos 7 |
15.1 LTM+APM | (En cours) |
Collaborative Protection Profile pour Network Devices v2.1 |
BIG-IP Virtual Edition sur les hyperviseurs suivants :
KVM sur Centos 7 |
14.1.2 LTM+AFM |
(En cours) |
Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 2.0e |
BIG-IP Virtual Edition sur les hyperviseurs suivants :
KVM sur Centos 7 |
14.1.2 LTM+APM |
(En cours) |
Collaborative Protection Profile pour Network Devices Version 2.1 |
10350v-F Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000 VIPRION B2250/B4450 vCMP |
14.1.0.3 LTM+AFM | Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 2.0e | |
10350v-F Série I5000 y compris i5820-DF, série i7000 y compris i7820-DF, série i10000, série i11000, série i15000 VIPRION B2250/B4450 vCMP |
14.1.0.3 LTM+APM | Collaborative Protection Profile pour Network Devices v2.1 | |
10350v-F Série i5000, série i7000, série i10000, série i11000, série i15000 VIPRION B2250/B4450 vCMP |
13.1.1 LTM+AFM | Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 2.0e | |
10350v-F Série i5000, série i7000, série i10000, série i11000, série i15000 VIPRION B2250/B4450 vCMP |
13.1.1 LTM+APM |
|
Collaborative Protection Profile pour Network Devices Version 2.0e |
10350v-F série i5000, série i7000 VIPRION B2250/B4450 vCMP |
12.1.3.4 LTM+AFM | Collaborative Protection Profile pour pare-feux Stateful Traffic Filter Version 1.0 | |
10350v-F série i5000, série i7000 VIPRION B2250/B4450 vCMP |
12.1.3.4 LTM+APM | Collaborative Protection Profile pour Network Devices Version 1.0 | |
BIG-IP | 11.5.1 ADF-Base (LTM+AFM) | BSI-DSZ-CC-0856-2017 EAL4+ | Security Target basé sur le profil de protection NIAP pour les dispositifs de réseau de version 1.1 et le pare-feu Stateful Traffic Filter version 1.0 au profil de protection pour les dispositifs de réseau |
BIG-IP | 11.5.1 ADC-AP (LTM+APM) | BSI-DSZ-CC-0975-2018 EAL4+ | Security Target basé sur le profil de protection NIAP pour Network Devices Version 1.1 |
BIG-IP 6900, 8900, 11050 | 10.2.2 LTM + ACA+ PSM | Certificat Common Criteria NIAP EAL 2+ | F5 Networks BIG-IP Local Traffic Manager Security Target |
Le CSfC est un programme de lʼAgence de sécurité nationale/Service central de sécurité (NSA/CSS) qui permet dʼutiliser des produits commerciaux dans des solutions à couches pour la protection des données classifiées des Systèmes de sécurité nationale (NSS). Ce programme comporte deux volets : les fournisseurs demandent que leurs produits figurent sur une ou plusieurs listes de composants ; les intégrateurs peuvent ensuite choisir parmi les produits figurant sur ces listes pour créer des solutions. Tous les composants listés doivent avoir obtenu la certification aux critères communs et la validation FIPS pour que le produit soit listé dans la liste des composants.
Produits F5 | Liste des composants |
---|---|
BIG-IP 14.1.2 | En cours |
BIG-IP 14.1.0.3 | En cours |
BIG-IP 13.1/1 | Pare-feu de filtrage du trafic CSfC |
BIG-IP 12.1 LTM+AFM | Pare-feu de filtrage du trafic CSfC |
LʼOffice of Management and Budget (OMB) des États-Unis a déclaré que tous les organismes fédéraux sont tenus dʼutiliser IPv6 dans leurs réseaux dans le mémorandum M-05-22 de lʼOMB. La certification de conformité IPv6 du gouvernement des États-Unis (USGv6) est un ensemble de normes techniques pour lʼacquisition dʼhôtes, de routeurs et de dispositifs de sécurité réseau compatibles IPv6. Le National Institute of Standards and Technology (NIST) a créé les normes de conformité USGv6 pour soutenir lʼadoption dʼIPv6 par le gouvernement américain.
F5 BIG-IP est compatible IPv6 et certifié USGv6. Consultez lʼannonce : F5 reçoit les certifications IPv6-Ready Gold Logo et USGv6
Plateformes F5 | Version de produit | Informations relatives à la certification |
---|---|---|
BIG-IP série 10000, VIPRION série B4300 | 11.3.0 et toutes les versions ultérieures | USGv6 Résultats par UNH-IOL |
BIG-IP série 10000 | 11.3, 12.1 | IPv6 Gold Phase-2 Gold Logo ID #02-C-001106 |
Le Joint Interoperability Test Command (JITC) de la U.S. Department of Defense Information Systems Agency (DISA) fournit des services, des outils et des environnements dʼévaluation et de certification des tests axés sur les risques pour assurer et permettre le déploiement rapide de technologies de lʼinformation et de systèmes de sécurité nationale interopérables et efficaces au niveau opérationnel. Les clients ou serveurs sont testés pour sʼassurer quʼils sont à clé publique (PKE) et capables de fournir des services de sécurité, comme lʼauthentification, la confidentialité et la non-répudiationetle contrôle dʼaccès. Les zones de test PKE du JITC comprennent les certifications NIST et JITC, le protocole OCSP (Online Certificate Status Protocol), les listes de révocation de certificats (LCR) et les cartes dʼaccès communes (CAC) du DoD.
F5 BIG-IP est certifié par le Département de la Défense comme PUBLIC KEY-ENABLED (PKE). Voir lʼannonce : F5 reçoit la certification du JITC (Joint Interoperability Test Command)
Modèle F5 | Détails de la certification | Commentaires |
---|---|---|
BIG-IP v 11.2 | Certifié | Fonctionne avec les cartes dʼaccès communes du DoD (CAC) |
La publication spéciale 800-53 du NIST, Security and Privacy Controls for Federal Information Systems and Organizations, est une norme fondamentale qui définit la façon dʼaborder la sécurité de lʼinformation et la gestion des risques au sein du gouvernement fédéral. Élaborée par le NIST, le DoD, la communauté du renseignement et le Comité sur les systèmes de sécurité nationale, cette norme fournit des lignes directrices sur la surveillance continue et les exigences FISMA. Elle soutient aussi une approche axée sur le risque pour protéger les missions et les fonctions opérationnelles essentielles.
F5 a préparé ce document de plus de 240 pages dans une iApp F5 pour NIST 800-53.LʼiAppfournit plusieurs pages de questions et de tâches pertinentes pour aider lʼadministrateur à appliquer les contrôles de sécurité pertinents sur son périphérique BIG-IP, économisant ainsi des heures et des ressources de gestion pour les entreprises.
Si votre agence cherche à améliorer le processDIACAP,ou si vous cherchez à vous conformer à FISMA, alors le F5 NIST 800-53 iApp vous aidera à vous assurer que les paramètres de configuration appropriés sur BIG-IP sont revus et réglés.
En savoir plus sur lʼutilisation du modèle F5 iApp
Le DoDIN APL du Département de la Défense des États-Unis est une liste consolidée unique de produits qui ont obtenu la certification dʼinteropérabilité (IO) et dʼassurance de lʼinformation (IA). Les certifications DoDIN APL vérifient que le système est conforme et configuré conformément aux guides dʼimplémentation technique de sécurité (STIG) du DISA Field Security Office (FSO).
Pour plus dʼinformations sur le processus DoDIN APL, visitez le site Web de test et de certification DoDIN APL.
Numéro Cert / TN | Produit | Certification externe |
---|---|---|
1906001 | F5 Networks BIG-IP Version 14.1 | Certification |
1630801 | F5 Networks BIG-IP Version 13.1 | Certification |
1312201 | F5 Networks BIG-IP Version 11.6 | Certification |
Pour obtenir plus dʼinformations sur les nombreuses autres certifications que détient F5, contactez le service commercial F5.