Sécurité de la plateforme F5 BIG-IP

À mesure que les attaques contre les applications et les réseaux évoluent pour devenir plus complexes et plus difficiles à combattre, garantir la sécurité des données est devenu l’un des problèmes les plus urgents pour les organisations de toutes tailles. Les fuites et violations de grande ampleur peuvent nuire à la réputation d’une organisation et avoir un impact considérable sur ses activités.

Depuis le lancement de la plateforme F5 BIG-IP, la sécurité a été un facteur primordial dans toutes les décisions de conception et d’architecture. Chaque version ultérieure ou nouveau produit a inclus des paramètres par défaut plus sécurisés, incorporé davantage de fonctionnalités liées à la sécurité et subi des tests de sécurité, des efforts d'assurance et de certification plus rigoureux. À mesure que les menaces de sécurité augmentent, les meilleures pratiques sont continuellement appliquées aux produits nouveaux et acquis pour garantir la sécurité des réseaux, des applications et des données. Aujourd'hui, les produits F5 fonctionnent comme des points de contrôle stratégiques pour gérer le flux d'informations critiques d'une organisation, tout en améliorant la diffusion d'applications Web grâce à des améliorations de performances et de sécurité.

Lors de l’évaluation de sa posture de sécurité globale, une organisation doit prendre en compte deux facteurs structurels : un cycle de vie de développement logiciel sécurisé et les fonctionnalités de sécurité inhérentes à son réseau de diffusion d’applications. En agissant sur ces deux fronts, F5 offre un leadership et des produits pour répondre aux nouveaux défis de sécurité d’aujourd’hui, aidant les organisations à protéger les identités, les applications et les données sensibles, tout en minimisant les temps d’arrêt des applications et en maximisant la productivité de l’utilisateur final.

Bien qu’il existe de nombreux facteurs dans un système véritablement sécurisé, la base repose sur deux piliers : la conception et le codage. Le cycle de vie de développement logiciel sécurisé F5 (SDLC) permet de garantir que tous les produits sont conçus selon les normes de sécurité les plus élevées et rigoureusement testés avant leur sortie.

Une sécurité optimale commence dès le début du processus de développement du produit. Avant d’écrire une seule ligne de code, l’équipe de développement de produits F5 procède à une évaluation complète de la modélisation des menaces. Les architectes évaluent chaque nouvelle fonctionnalité pour déterminer les vulnérabilités qu’elle pourrait créer ou introduire dans le système.

Une vulnérabilité qui prend une heure à corriger lors de la phase de conception peut prendre dix heures à corriger lors de la phase de codage et mille heures à corriger après la livraison du produit. Il est donc essentiel de détecter les vulnérabilités le plus tôt possible dans le processus. Les discussions typiques lors d’une évaluation du modèle de menace incluent la définition et l’examen des limites de sécurité, la limitation de la surface de menace et les meilleures pratiques pour la conception et la mise en œuvre des fonctions liées à la sécurité.

Une fois les conceptions terminées, le codage commence. L'ensemble du personnel de développement de F5 a été soigneusement formé au processus d'écriture de code sécurisé. Mais lorsqu’il s’agit d’exploits logiciels et réseau, même la plus petite erreur peut avoir d’énormes conséquences. Les développeurs de F5 effectuent des examens de code réguliers avec l'équipe de sécurité et utilisent également des outils d'analyse de code statique pour identifier les problèmes courants. Les normes de code et les meilleures pratiques aident les développeurs à éviter les pièges de sécurité courants.

Les tests de sécurité, qui nécessitent beaucoup de temps et de travail, constituent une tâche énorme pour toute organisation. Chez F5, les équipes de sécurité et de développement collaborent pour garantir un niveau de sécurité élevé pour chaque logiciel publié sur le marché.

Les équipes de sécurité interne effectuent des tests de pénétration en agissant comme des attaquants essayant de compromettre la plateforme BIG-IP. De plus, F5 effectue des tests fuzz sur tous les programmes. Les tests fuzz évaluent la manière dont les programmes gèrent les entrées mal formées, telles qu'un paquet réseau plus long ou plus court ou une entrée contenant des données incorrectes. La plupart d’entre eux seront bien traités, mais d’autres pourraient provoquer une exception, et d’autres encore pourraient exposer une vulnérabilité grave. Les tests de pénétration et les tests fuzz rendent les appareils F5 aussi sécurisés que possible contre les attaques par déni de service (DoS), ainsi que contre les attaques basées sur du code.

De plus, grâce à ses relations avec des intuitions académiques, F5 augmente continuellement sa base de connaissances pour couvrir plusieurs types d'erreurs, tels que :

• Dépassements de tampon et attaques de type « stack-smashing » qui exploitent une logique de manipulation de chaînes non sécurisée.
• L'utilisation incorrecte des fonctions de gestion de la mémoire dynamique.
• Problèmes liés aux entiers, notamment les dépassements d'entiers, les erreurs de signe et les erreurs de troncature.
• Présentation des vulnérabilités des chaînes de format.
• Vulnérabilités d'E/S, y compris les conditions de concurrence.

F5 utilise une application d'analyse tierce sophistiquée, qui analyse le code source chaque nuit pour détecter un certain nombre de défauts critiques. Au moment de la compilation, l'application d'analyse de code recherche les bogues et les défauts de sécurité, les bogues « briseurs de build », les bogues de plantage tels que les fuites de mémoire et la corruption, et le comportement imprévisible de l'application introduit par le nouveau code. L'analyse du code source peut également détecter des défauts non fatals tels que des problèmes d'intégrité des données et des goulots d'étranglement des performances.

Depuis des années, F5 s'associe également à des sociétés tierces pour des tests supplémentaires de plusieurs types :

• Tests en boîte noire : tests d'application et de plateforme sans connaissance du produit au-delà de ce à quoi un attaquant aurait accès à partir de documents publics.
• Grey-box testing : tests d'application et de plateforme avec des informations partielles telles que la conception interne ou l'accès à la documentation des structures de données internes ainsi qu'aux algorithmes utilisés. Les testeurs de boîte grise ont besoin de documents de haut niveau et détaillés décrivant les applications.
• Tests en boîte blanche (également appelés tests en boîte claire, tests en boîte de verre, tests en boîte transparente ou tests structurels) : tests des structures internes ou du fonctionnement d'une application, par opposition à ses fonctionnalités. Les tests en boîte blanche nécessitent une connaissance avancée du système ainsi que des compétences en programmation.

Les outils de test de sécurité évoluent au fil du temps et de nouveaux produits sont introduits. F5 travaille en étroite collaboration avec plusieurs partenaires fournisseurs pour inclure de nouveaux protocoles, étendre la couverture des tests et mettre à jour les outils en fonction de l'évolution des modèles de menaces et des exploits nouvellement découverts. Une fois que le logiciel BIG-IP a réussi plusieurs tests, F5 l'utilise ensuite dans son propre environnement de produit pour garantir qu'il est vraiment prêt à être publié.

Malgré les modèles de menace, le codage sécurisé, la formation et les tests de nombreux types, des vulnérabilités surviennent. Lorsqu'une vulnérabilité est reconnue en production, une réponse rapide est essentielle.

La politique de réponse aux vulnérabilités F5 est régulièrement mise à jour pour refléter les exigences des clients et les pratiques du secteur. En se concentrant sur la réponse aux incidents de sécurité, qu'ils soient découverts en interne, par des tests tiers ou signalés par un client, F5 suit et signale les vulnérabilités au moins une fois par semaine pour garantir une priorisation correcte et une réponse rapide.

En travaillant en étroite collaboration avec des chercheurs en sécurité et d'autres professionnels tels que National Vulnerability Database, MITRE CVE, CERT Coordination Center, Redhat, OpenSSL et ISC, F5 peut divulguer de manière responsable les vulnérabilités et fournir des atténuations, des correctifs et une protection contre les exploits. Au cours de l'année dernière, F5 a fourni plus de 350 avis de sécurité au public, allant d'articles informant sur les menaces émergentes (par exemple, les injections de scripts, les chevaux de Troie) à la protection contre les logiciels malveillants et les attaques DDoS, afin de garantir que les dernières informations de sécurité sont disponibles.

Conçue spécialement pour offrir une sécurité renforcée et renforcée, la plateforme BIG-IP offre plusieurs fonctionnalités clés qui permettent aux organisations de renforcer leur sécurité :

• Mode appareil
• Coffre-fort sécurisé
• Linux à sécurité renforcée (SELinux)
• Certifications de sécurité
• Protection DoS

La plate-forme BIG-IP et le F5 TMOS sont conçus pour que le matériel et le logiciel fonctionnent ensemble pour protéger les applications et les données de l'entreprise, tout en optimisant la distribution des applications sur l'ensemble du réseau.

Conçu à l’origine pour les entreprises des secteurs d’activité aux données sensibles, tels que les soins de santé et les services financiers, le mode Appliance est aujourd’hui utilisé par les entreprises de tous les domaines. En activant le mode Appliance, les organisations peuvent exercer un meilleur contrôle sur leurs réseaux et leurs applications en appliquant les restrictions suivantes :

• Supprimer l'accès au shell bash.
• Limitez l'accès administratif à l'utilitaire de configuration et au TMSH. Les administrateurs peuvent utiliser ces utilitaires de ligne de commande hiérarchiques pour gérer et configurer facilement le système BIG-IP et pour afficher les statistiques et les données de performances.
• Désactivez la connexion root pour empêcher l'utilisateur root de se connecter à l'appareil par quelque moyen que ce soit, y compris la console série.
• Renforcez les autorisations du fichier du répertoire personnel du compte root (/root) pour de nombreux fichiers et répertoires. Par défaut, les nouveaux fichiers sont uniquement accessibles en lecture et en écriture par l'utilisateur et tous les répertoires sont mieux sécurisés.
• Empêchez le sous-système Always-On Management (AOM), qui fournit une gestion en mode veille pour le système BIG-IP, d'accéder à l'hôte. L'AOM ne pourra réinitialiser l'hôte qu'à l'aide d'une commande de réinitialisation matérielle.

Il convient de noter qu’une fois le mode Appliance activé, il ne peut pas être désactivé ; les organisations doivent plutôt obtenir une nouvelle licence et effectuer une nouvelle installation du logiciel. Les administrateurs peuvent vérifier qu'un périphérique fonctionne en mode Appliance à partir de l'écran Licence de l'utilitaire de configuration de l'interface graphique utilisateur BIG-IP.

Les clés privées SSL font partie des actifs de plus grande valeur au sein d’un réseau, et de nombreuses organisations ont des exigences strictes selon lesquelles les clés doivent être sécurisées au-delà de la simple protection du système de fichiers. La fonctionnalité Secure Vault, disponible sur tous les appareils matériels F5, protège les clés privées SSL avec une clé principale stockée dans un verrou matériel, de sorte que même si le fichier de clé privée SSL était récupéré à partir d'un serveur de sauvegarde compromis ou d'une infection par un logiciel malveillant, il ne pourrait pas être utilisé par l'attaquant.

Chaque appareil BIG-IP est livré avec une clé d'unité unique et une clé principale partagée, qui sont toutes deux des clés symétriques AES 256. La clé d'unité unique est stockée dans une EEPROM matérielle personnalisée sur chaque appareil physique. Cette clé d'unité crypte la clé principale, qui à son tour crypte les clés privées SSL, décrypte les fichiers de clés SSL et synchronise les certificats entre les périphériques BIG-IP. Les clés principales suivent la configuration dans une configuration à haute disponibilité (HA), de sorte que toutes les unités partagent la même clé principale mais ont toujours leur propre clé d'unité. La clé principale est synchronisée à l’aide du canal sécurisé établi par le gestionnaire de certificats. Les phrases de passe chiffrées par clé principale ne peuvent pas être utilisées sur des systèmes autres que les unités pour lesquelles la clé principale a été générée.

La prise en charge de Secure Vault peut également être utilisée par les invités vCMP (Virtual Clustered Multiprocessing). vCMP permet à plusieurs instances du logiciel BIG-IP de s'exécuter sur un seul périphérique, chaque invité disposant de sa propre clé d'unité et de sa propre clé principale. La clé de l'unité invitée est générée et stockée sur l'hôte, renforçant ainsi la prise en charge matérielle, et elle est protégée par la clé principale de l'hôte, qui est à son tour protégée par la clé de l'unité hôte dans le matériel.

Utilisé à la fois dans les processus de développement F5 et dans les environnements de production des clients, Security Enhanced Linux (SELinux) rationalise le volume de logiciels chargés de l'application de la politique de sécurité et permet une application séparée des décisions de sécurité de la politique de sécurité elle-même. Par exemple, un profil SELinux peut demander au noyau TMOS d'interdire à un processus spécifique d'exécuter le shell bash, sécurisant ainsi le système contre des vulnérabilités telles que Shellshock, qui peuvent permettre à un attaquant de prendre le contrôle d'un serveur Web ou d'un routeur.

SELinux renforce également la sécurité en fournissant un contrôle d'accès obligatoire (MAC) pour compléter le système de contrôle d'accès discrétionnaire (DAC) de Linux. Le MAC se compose d'étiquettes d'utilisateur, de rôle et de domaine sur les sujets, d'étiquettes de ressources pour les objets et de relations entre les sujets et les objets définis par la politique. Les contrôles SELinux limitent l'accès des programmes utilisateur et des serveurs système aux fichiers et aux ressources réseau. Limiter les privilèges au minimum requis pour fonctionner réduit ou élimine la capacité de ces programmes et démons à causer des dommages à partir de vulnérabilités inconnues telles que des dépassements de mémoire tampon ou des erreurs de configuration. Parce qu'il fonctionne indépendamment des mécanismes de contrôle Linux (discrétionnaires), MAC n'a pas de concept de super-utilisateur root et ne partage donc pas les défauts bien connus du système DAC Linux traditionnel.

Les organisations du secteur fédéral et financier (FSI) sont soumises à des réglementations supplémentaires qui nécessitent des certifications de sécurité telles que les critères communs et FIPS 140-2. Ces certifications de sécurité, ainsi que d’autres certifications américaines et internationales, garantissent que le produit certifié répond aux normes dans des domaines tels que l’authentification, l’audit, la cryptographie, la gestion et les communications sécurisées. Les normes et exigences de certification changent et évoluent au rythme du monde de la sécurité ; pour cette raison, la plupart des certifications sont spécifiques à une version de produit donnée.

Afin de se tenir au courant des changements de sécurité, des meilleures pratiques et de l'évolution des normes, F5 participe à la Conférence internationale sur les modules cryptographiques (ICMC) et aux conférences internationales sur les critères communs (ICCC) pour offrir aux organisations une sécurité robuste ainsi qu'une conformité simplifiée. Le programme de validation des modules cryptographiques (CMVP) du National Institute of Standards and Technology (NIST) pilote la feuille de route F5 pour la cryptographie.

De nombreux produits F5 ont été certifiés par Common Criteria, une certification d'assurance mondiale utilisée par les agences gouvernementales et les entreprises du monde entier. Vingt-six pays sont signataires d’un accord de reconnaissance mutuelle, qui garantit qu’une fois qu’un produit est certifié, il peut être commercialisé comme tel dans un ou plusieurs des pays signataires.

Développées par le NIST, les normes fédérales de traitement de l'information (FIPS) sont utilisées par les agences gouvernementales américaines et les sous-traitants du gouvernement dans les systèmes informatiques non militaires. La série FIPS 140 regroupe des normes de sécurité informatique du gouvernement américain qui définissent les exigences relatives aux modules de cryptographie, y compris les composants matériels et logiciels, destinés à être utilisés par les départements et agences du gouvernement fédéral des États-Unis.

Les produits F5 conformes à la norme FIPS 140-2 utilisent des modules de sécurité matériels (HSM) certifiés FIPS 140-2 pour répondre aux exigences de conformité. Un HSM est un dispositif physique sécurisé conçu pour générer, stocker et protéger des clés cryptographiques numériques de grande valeur. Il s'agit d'un cryptoprocesseur sécurisé qui se présente souvent sous la forme d'une carte enfichable (ou d'un autre matériel) avec protection anti-falsification intégrée. Le système BIG-IP comprend un accélérateur cryptographique/SSL FIPS, une option HSM spécialement conçue pour le traitement du trafic SSL dans les environnements nécessitant des solutions conformes à la norme FIPS 140-1 de niveau 2.

Les appareils F5 BIG-IP sont conformes à la norme FIPS 140-2 niveau 2. Cette cote de sécurité indique qu'une fois les données sensibles importées dans le HSM, la plateforme intègre des techniques cryptographiques pour garantir que les données ne sont pas extractibles dans un format de texte brut. Les appareils BIG-IP fournissent également des revêtements ou des joints inviolables pour dissuader toute altération physique. Le cadre de gestion des clés unique de la plateforme BIG-IP permet une infrastructure sécurisée hautement évolutive qui peut gérer des niveaux de trafic plus élevés et à laquelle les organisations peuvent facilement ajouter de nouveaux services.

De plus, l'accélérateur cryptographique/SSL FIPS utilise des cartes à puce pour authentifier les administrateurs, accorder des droits d'accès et partager les responsabilités administratives afin de fournir un moyen flexible et sécurisé de renforcer la sécurité de la gestion des clés.

Une attaque DoS est une tentative visant à rendre une machine ou une ressource réseau indisponible pour ses utilisateurs prévus, afin d'interrompre ou de suspendre temporairement ou indéfiniment les services d'un hôte connecté à Internet. Un déni de service distribué (DDoS) provient d’une source d’attaque possédant plusieurs adresses IP uniques, souvent des milliers.

Les architectes de F5 ont développé plusieurs stratégies pour prévenir et atténuer les attaques DoS. Les équipes de développement ont publié des fonctionnalités et déposé des brevets pour des techniques visant à protéger les données d’entreprise et à assurer la sécurité des éléments fondamentaux d’une application (réseau, DNS, SSL et HTTP). Les fonctionnalités logicielles offrent une large gamme de protections, telles que la limitation du débit de différents types de requêtes, la détermination du nombre excessif de paquets ou de l'identité de l'initiateur de la requête, la fourniture d'heuristiques et la prévention de l'usurpation d'identité.

En exploitant les capacités de sécurité intrinsèques de la gestion intelligente du trafic et de la distribution d'applications, la plate-forme BIG-IP protège et garantit la disponibilité de l'infrastructure réseau et applicative d'une organisation, même dans les conditions les plus exigeantes.

Alors que les attaques sur les réseaux, les applications et les données continuent d'augmenter, les organisations qui s'appuient sur la plateforme BIG-IP peuvent être sûres de la sécurité de leurs systèmes pour protéger leurs actifs les plus précieux.

F5 garantit la sécurité de la plateforme BIG-IP grâce à son processus rigoureux de cycle de vie de développement logiciel sécurisé, conçu pour découvrir et corriger les vulnérabilités avant la sortie du produit. En outre, la plateforme BIG-IP dispose de plusieurs fonctionnalités de sécurité clés, telles que le mode Appliance, Secure Vault, SELinux, les certifications de sécurité et la protection DoS, qui contribuent à garantir l'intégrité des applications critiques et des données d'entreprise.

Le volume et la complexité des menaces de sécurité continueront certainement d’évoluer. Dans le même temps, F5 continuera de concevoir des solutions de sécurité spécialement conçues pour aider les organisations à prévenir, atténuer et répondre aux attaques, tout en défendant leur réputation et en protégeant leur activité.