PRÉSENTATION DE LA SOLUTION

Solution d'accès utilisateur privilégié pour la plateforme F5 BIG-IP

Protégez les données des agences fédérales et atténuez les risques.

Solution d'accès utilisateur privilégié pour la plateforme F5 BIG-IP

L'importance vitale d'une authentification forte

L’accès traditionnel par nom d’utilisateur et mot de passe aux ressources administratives constitue aujourd’hui une vulnérabilité majeure en matière de sécurité dans nos réseaux. Pour soutenir cette priorité, le principal axe d'effort du plan de mise en œuvre de la discipline de cybersécurité du ministère de la Défense (DoD) est l'authentification forte pour les utilisateurs privilégiés.

Ligne d'effort : Authentification forte

La réduction de l’anonymat, ainsi que l’application de l’authenticité et de la responsabilité des actions sur les réseaux d’information du DoD, améliorent la posture de sécurité du DoD. Le lien entre une authentification faible et la prise de contrôle des comptes est bien établi. L’authentification forte permet d’empêcher tout accès non autorisé, notamment la compromission à grande échelle du réseau en se faisant passer pour des administrateurs privilégiés. Les commandants et les superviseurs se concentreront sur la protection des actifs de grande valeur, tels que les serveurs et les routeurs, ainsi que sur l’accès privilégié des administrateurs système. Cette ligne d’effort soutient l’objectif 3-4 de la stratégie cybernétique du DoD, exigeant que le DSI du DoD atténue les vulnérabilités connues.

De plus, le guide le plus récent sur les exigences de sécurité en matière de gestion des périphériques réseau du DISA , qui détaille les pratiques et procédures de sécurité applicables à la gestion des périphériques réseau du DoD, prévoit une classification CAT 2 (moyenne) en cas de non-utilisation de l'authentification multifacteur pour les comptes d'utilisateurs privilégiés accédant aux périphériques réseau.

  • Recherche d'ID : V-55105
  • Gravité: Haut
  • Détails : … le DoD a rendu obligatoire l’utilisation du jeton/identifiant Common Access Card (CAC) pour prendre en charge la gestion des identités et l’authentification personnelle pour les systèmes couverts par la HSPD 12. L'architecture recommandée par le DoD pour les périphériques réseau est que les administrateurs système s'authentifient à l'aide d'un serveur d'authentification utilisant les informations d'identification DoD CAC avec PKI approuvée par le DoD…

Cependant, l’authentification CAC auprès des ressources administratives peut être difficile à réaliser. Il existe un grand nombre d’appareils et de systèmes qui n’ont pas été conçus pour permettre une authentification forte ou un accès par carte à puce. Les options ont traditionnellement été limitées à :

  1. Accepter le risque pour l’organisation.
  2. Retirer ou remplacer l'appareil.

Principaux avantages

Réduit la surface d'attaque

L'accès utilisateur privilégié F5 crée un shell autour des périphériques vulnérables et des interfaces administratives. Tout accès nécessite l’utilisation d’un CAC/PIV qui autorise l’accès à la ressource individuelle.

Ne nécessite aucune installation de modifications

La solution F5 ne nécessite aucune installation de logiciel ni modification sur les systèmes critiques du backend.

Fournit une piste d'audit

Cette solution fournit une piste d’audit pour les équipes de sécurité et une agilité pour les politiques de sécurité ; l’entreprise détermine la durée de vie d’une session/d’un mot de passe.

Accès utilisateur privilégié F5

La solution F5 Privileged User Access fournit désormais une option supplémentaire qui peut ajouter l’authentification CAC ou une autre méthode d’authentification forte à une infrastructure réseau qui ne prend pas en charge nativement cette fonctionnalité. Il le fait sans nécessiter de logiciel client ou d’agents n’importe où dans l’environnement et vous permet d’exploiter pleinement vos systèmes hérités ou non conformes de manière sûre et sécurisée. Il s'intègre directement dans les systèmes PKI du DoD et peut être configuré pour fonctionner en coopération avec un RADIUS, TACACS, Active Directory existant ou une variété de bases de données d'authentification tierces.


Figure 1 : La solution F5 Privileged User Access garantit que les bons utilisateurs ont accès aux données sensibles grâce au processus d'authentification fort mis en évidence dans ce diagramme.

Cette solution comporte quatre composants principaux, dont la plate-forme F5 BIG-IP, BIG-IP Access Policy Manager (APM), l'authentification éphémère et le client Web SSH.

Plateforme BIG-IP

La plate-forme BIG-IP est un produit conforme aux normes FIPS, certifié Common Criteria et approuvé par l'UC APL, disponible sous forme physique et virtuelle. Toutes les fonctions de la solution F5 Privileged User Access s'exécutent au sein de la plateforme BIG-IP. BIG-IP est un produit de sécurité largement déployé sur les réseaux du DoD qui effectue déjà une authentification forte pour des milliers d'applications critiques. Cette solution supplémentaire applique simplement cette fonctionnalité existante aux exigences des utilisateurs privilégiés.

Gestionnaire de politiques d'accès BIG-IP

Un utilisateur privilégié accédant à une application est d’abord authentifié par BIG-IP Access Policy Manager (APM). BIG-IP APM présente pour la première fois une version américaine. Bannière d'avertissement du gouvernement (USG) à l'utilisateur qui nécessite une acceptation avant de procéder à l'authentification.

Ensuite, BIG-IP APM demande à l'utilisateur un CAC ou des informations d'identification fortes qui sont ensuite vérifiées par rapport à une liste de révocation de certificats (CRL) ou à un serveur de protocole d'état de certificat en ligne (OCSP) pour garantir que ses informations d'identification n'ont pas été révoquées. En option, BIG-IP APM peut interroger un serveur d'annuaire tel qu'un serveur Microsoft Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP), un fournisseur de langage SAML (Security Assertion Markup Language) ou une variété d'annuaires tiers pour établir davantage l'identité de l'utilisateur.

Une fois que BIG-IP APM vérifie que l'utilisateur privilégié est autorisé à accéder au système, BIG-IP APM interrogera des attributs supplémentaires pour déterminer à quelles ressources l'utilisateur privilégié peut accéder. Enfin, l’utilisateur privilégié se verra présenter une page portail des ressources auxquelles il est autorisé à accéder. BIG-IP APM fournit également des fonctionnalités avancées pour garantir l'intégrité du client, telles que la vérification que le client est un équipement fourni par le gouvernement (GFE), qu'il est conforme au système de sécurité basé sur l'hôte (HBSS) et/ou qu'il exécute un système d'exploitation pris en charge.

Authentification éphémère

L'authentification éphémère est essentiellement un mot de passe à usage unique en circuit fermé pour les systèmes qui ne peuvent s'authentifier qu'avec un nom d'utilisateur et un mot de passe. L'ensemble du système existe à l'intérieur de F5 BIG-IP et fonctionne de concert avec BIG-IP APM pour garantir une connexion cryptée sécurisée de bout en bout tout en éliminant la possibilité de relecture des informations d'identification. À aucun moment du processus, l’utilisateur ou le client ne connaît ce mot de passe éphémère, et dans le cas très improbable où ce mot de passe serait compromis, il est totalement inutile pour un attaquant ou un mauvais acteur. Cela permet même à F5 de fournir une authentification CAC ou multifacteur à tout système limité à l’utilisation d’un nom d’utilisateur et d’un mot de passe pour l’authentification.

Client Web SSH

Le client Web SSH est un client HTML5 qui fonctionne sur n’importe quel navigateur Web fourni par le gouvernement et ne nécessite aucune installation de composants côté client. Cela permet un accès instantané depuis n'importe quel territoire américain actuel et futur. Système du gouvernement fédéral avec un navigateur Web. Ce client fournit une émulation de terminal complète, des événements de souris, le copier-coller et la possibilité d'enregistrer les connexions sur le client. Ce client prend également en charge la possibilité de superposer des bannières de classification qui peuvent être spécifiées par hôte ou globalement, ainsi que de fournir des options de chiffrement par hôte pour garantir la compatibilité avec les périphériques hérités.

Consolidation de l'accès des utilisateurs privilégiés

Bien que la solution F5 Privileged User Access comble une grave lacune en matière de sécurité pour les systèmes hérités et non conformes, elle constitue également un moyen efficace d’agréger l’accès aux systèmes modernes. F5 peut protéger de nombreux systèmes nécessitant un accès utilisateur privilégié. Voici quelques exemples :

  • Interfaces d'administration de téléphonie (par exemple, Cisco Communications Manager Administration)
  • Interfaces d'administration de pare-feu, IDS/IPS et DLP (par exemple, interface Web Palo Alto)
  • Interfaces d'administration proxy (par exemple, BlueCoat ProxySG)
  • Interfaces de baie de stockage (par exemple, NetApp OnCommand, Pure Storage)
  • Interfaces d'administration VDI et exigences d'authentification des clients VDI (par exemple, VMWare Horizon, Citrix XenDesktop, Windows Remote Desktop)

En consolidant le contrôle d’accès pour les administrateurs, vous pouvez profiter des capacités étendues d’authentification et de contrôle de BIG-IP APM. Il vous permet d'appliquer l'utilisation des normes de cryptage TLS sur des réseaux non fiables. Vous pouvez également utiliser les fonctions de journalisation de BIG-IP APM pour fournir un point unique pour enregistrer et auditer l'accès administratif à ces systèmes ainsi que pour intégrer les systèmes de création de rapports et de journalisation à des fins de conformité.

L'avenir de l'authentification

F5 fournit un cadre permettant d’ajouter des fonctionnalités qui pourraient devenir des exigences à l’avenir. Certaines des capacités d’authentification envisagées par le gouvernement et les dirigeants du DoD sont les identifiants dérivés, la biométrie et des facteurs d’authentification supplémentaires. Si le gouvernement choisit d’abandonner l’utilisation des CAC ou des méthodes d’authentification couramment utilisées aujourd’hui, la solution F5 offre la flexibilité nécessaire pour être étendue afin de prendre en charge ces fonctionnalités supplémentaires au fur et à mesure de leur définition.

La solution F5 prend en charge les modèles de fédération d’authentification et peut faciliter l’adoption par le DoD de la technologie SAML et cloud. F5 peut fournir une authentification forte aux applications, aux appareils, aux interfaces de gestion et aux systèmes au sein des environnements DoD, dans le cloud ou partout où ils pourraient résider à l'avenir.