Segurança da plataforma F5 BIG-IP

INTRODUÇÃO

À medida que os ataques a aplicativos e redes evoluem e se tornam mais complexos e difíceis de se defender, garantir a segurança dos dados se tornou uma das questões mais urgentes para organizações de todos os tamanhos. Vazamentos e violações de alto perfil podem prejudicar a reputação de uma organização e ter um impacto dramático em seus negócios.

Desde o início da plataforma F5 BIG-IP, a segurança tem sido um fator primordial em todas as decisões de design e arquitetura. Cada lançamento subsequente ou novo produto incluiu configurações padrão mais seguras, incorporou mais recursos relacionados à segurança e passou por testes de segurança, garantia e esforços de certificação mais rigorosos. À medida que as ameaças à segurança aumentam, as melhores práticas são continuamente aplicadas a produtos novos e adquiridos para garantir que redes, aplicativos e dados permaneçam seguros. Hoje, os produtos F5 funcionam como pontos estratégicos de controle para gerenciar o fluxo de informações críticas de uma organização, ao mesmo tempo em que melhoram a entrega de aplicativos baseados na web por meio de melhorias de desempenho e segurança.

Ao avaliar sua postura geral de segurança, uma organização deve considerar dois fatores estruturais: um ciclo de vida de desenvolvimento de software seguro e os recursos de segurança inerentes à sua Rede de Distribuição de Aplicativos. Ao entregar em ambas as frentes, a F5 fornece liderança e produtos para atender aos novos desafios de segurança de hoje, ajudando organizações a proteger identidades, aplicativos e dados confidenciais, tudo isso minimizando o tempo de inatividade do aplicativo e maximizando a produtividade do usuário final.

Ciclo de vida de desenvolvimento de software seguro

Embora existam muitos fatores em um sistema verdadeiramente seguro, a base está em dois pilares: design e codificação. O F5 Secure Software Development Lifecycle (SDLC) ajuda a garantir que todos os produtos sejam desenvolvidos com os mais altos padrões de segurança e rigorosamente testados antes do lançamento.

Figura 1: Ciclo de vida de desenvolvimento de software seguro
Projeto

A segurança sólida começa cedo no processo de desenvolvimento do produto. Antes de escrever uma única linha de código, a equipe de Desenvolvimento de Produtos da F5 passa por uma avaliação abrangente de modelagem de ameaças. Os arquitetos avaliam cada novo recurso para determinar quais vulnerabilidades ele pode criar ou introduzir no sistema.

Uma vulnerabilidade que leva uma hora para ser corrigida na fase de design pode levar dez horas para ser corrigida na fase de codificação e mil horas para ser corrigida depois que o produto é lançado. Por isso, é fundamental detectar vulnerabilidades no início do processo. Discussões típicas durante uma avaliação de modelo de ameaça incluem definir e revisar os limites de segurança, limitar a superfície de ameaça e melhores práticas para design e implementação de funções relacionadas à segurança.

Construção

Após a conclusão dos projetos, a codificação começa. Toda a equipe de desenvolvimento do F5 foi completamente treinada no processo de escrita de código seguro. Mas quando se trata de software e explorações de rede, até o menor erro pode ter enormes ramificações. Os desenvolvedores do F5 realizam revisões regulares de código com a equipe de segurança e também usam ferramentas de análise de código estático para identificar problemas comuns. Padrões de código e melhores práticas ajudam os desenvolvedores a evitar armadilhas comuns de segurança.

Teste

Testes de segurança que demandam muito tempo e trabalho são uma tarefa enorme para qualquer organização. Na F5, as equipes de segurança e desenvolvimento colaboram para ajudar a garantir um alto nível de segurança para cada software lançado no mercado.

Testes internos

Equipes de segurança interna realizam testes de penetração agindo como invasores tentando comprometer a plataforma BIG-IP. Além disso, o F5 realiza testes de fuzz em todos os programas. O teste de fuzz avalia como os programas lidam com entradas malformadas, como um pacote de rede mais longo ou mais curto ou uma entrada com dados incorretos. A maioria será bem tratada, mas outras podem causar uma exceção, e outras ainda podem expor uma vulnerabilidade séria. Os testes de penetração e fuzzing tornam os dispositivos F5 o mais seguros possível contra ataques de negação de serviço (DoS), bem como ataques baseados em código.

Além disso, por meio de relacionamentos com instituições acadêmicas, a F5 aumenta continuamente sua base de conhecimento para cobrir vários tipos de erros, como:

  • Estouros de buffer e ataques de destruição de pilha que exploram lógica insegura de manipulação de strings.
  • O uso incorreto das funções de gerenciamento de memória dinâmica.
  • Problemas relacionados a números inteiros, incluindo estouros de números inteiros, erros de sinal e erros de truncamento.
  • Apresentando vulnerabilidades de format-string.
  • Vulnerabilidades de E/S, incluindo condições de corrida.
Digitalização e teste de terceiros

O F5 emprega um sofisticado aplicativo de digitalização de terceiros, que analisa o código-fonte todas as noites em busca de uma série de falhas críticas. No momento da compilação, o aplicativo de varredura de código procura por bugs e defeitos de segurança, bugs que causam falhas de compilação, bugs que causam falhas, como vazamentos de memória e corrupção, e comportamento imprevisível do aplicativo introduzido por novo código. A varredura de código-fonte também pode encontrar falhas não fatais, como problemas de integridade de dados e gargalos de desempenho.

Durante anos, a F5 também fez parcerias com empresas terceirizadas para testes adicionais de vários tipos:

  • Teste de caixa preta: teste de aplicativos e plataformas sem conhecimento do produto além do que um invasor teria acesso a partir de documentos públicos.
  • Teste de caixa cinza: teste de aplicativo e plataforma com informações parciais, como design interno ou acesso à documentação de estruturas de dados internas, bem como os algoritmos usados. Os testadores de caixa cinza exigem documentos detalhados e de alto nível descrevendo os aplicativos.
  • Teste de caixa branca (também conhecido como teste de caixa transparente, teste de caixa de vidro, teste de caixa transparente ou teste estrutural): teste das estruturas internas ou do funcionamento de um aplicativo, em oposição à sua funcionalidade. O teste de caixa branca exige conhecimento avançado do sistema, bem como habilidades de programação.

As ferramentas de teste de segurança evoluem com o tempo e novos produtos são introduzidos. A F5 trabalha em estreita colaboração com vários fornecedores parceiros para incluir novos protocolos, expandir a cobertura de testes e atualizar ferramentas com base em modelos de ameaças em evolução e explorações recém-descobertas. Depois que o software BIG-IP passa por vários testes, a F5 o usa em seu próprio ambiente de produto para garantir que ele esteja realmente pronto para lançamento.

Resposta de Vulnerabilidade

Apesar dos modelos de ameaças, codificação segura, treinamento e testes de vários tipos, vulnerabilidades ocorrem. Quando uma vulnerabilidade é reconhecida na produção, uma resposta oportuna é fundamental.

A política de resposta a vulnerabilidades do F5 é atualizada regularmente para refletir os requisitos do cliente e as práticas do setor. Ao se concentrar em responder a incidentes de segurança — sejam eles descobertos internamente, por testes de terceiros ou relatados por um cliente — a F5 rastreia e relata vulnerabilidades pelo menos semanalmente para garantir a priorização correta e a resposta oportuna.

Trabalhar em estreita colaboração com pesquisadores de segurança e outros profissionais, como o National Vulnerability Database, MITRE CVE, CERT Coordination Center, Redhat, OpenSSL e ISC, permite que a F5 divulgue vulnerabilidades de forma responsável e forneça mitigações, patches e proteção contra explorações. No ano passado, a F5 forneceu mais de 350 avisos de segurança — desde artigos que educam sobre ameaças emergentes (por exemplo, injeções de script, cavalos de Troia) até proteção contra malware e ataques DDoS — ao público para garantir que as informações de segurança mais recentes estejam disponíveis.

Segurança na Plataforma BIG-IP

Desenvolvido especificamente para fornecer segurança reforçada e reforçada, a plataforma BIG-IP oferece vários recursos importantes que permitem que as organizações fortaleçam suas posturas de segurança:

  • Modo de aparelho
  • Cofre Seguro
  • Segurança aprimorada do Linux (SELinux)
  • Certificações de segurança
  • Proteção DoS

A plataforma BIG-IP e o F5 TMOS foram projetados para que o hardware e o software trabalhem juntos para proteger aplicativos e dados corporativos, ao mesmo tempo em que otimizam a entrega de aplicativos em toda a rede.

Modo de aparelho

Originalmente projetado para empresas em setores com dados confidenciais, como saúde e serviços financeiros, o Modo Appliance é hoje usado por empresas de todos os campos. Ao ativar o Modo de Dispositivo, as organizações podem obter maior controle sobre suas redes e aplicativos, aplicando as seguintes restrições:

  • Remova o acesso ao shell bash.
  • Limite o acesso administrativo ao utilitário de configuração e ao TMSH. Os administradores podem usar esses utilitários de linha de comando hierárquicos para gerenciar e configurar facilmente o sistema BIG-IP e para visualizar estatísticas e dados de desempenho.
  • Desabilite o login root para impedir que o usuário root efetue login no dispositivo por qualquer meio, incluindo o console serial.
  • Reforce as permissões de arquivo do diretório inicial (/root) da conta root para vários arquivos e diretórios. Por padrão, novos arquivos só podem ser lidos e gravados pelo usuário e todos os diretórios são mais protegidos.
  • Impedir que o subsistema Always-On Management (AOM), que fornece gerenciamento automático para o sistema BIG-IP, acesse o host. O AOM só poderá redefinir o host usando um comando de reinicialização de hardware.

Uma coisa a ser observada é que, uma vez que o Modo Appliance tenha sido ativado, ele não pode ser desativado; em vez disso, as organizações devem obter uma nova licença e executar uma instalação limpa do software. Os administradores podem verificar se um dispositivo está sendo executado no Modo de Dispositivo na tela Licença no Utilitário de Configuração da GUI do BIG-IP.

Cofre Seguro

As chaves privadas SSL estão entre os ativos de maior valor em uma rede, e muitas organizações têm requisitos rigorosos de que as chaves sejam seguras, indo além da simples proteção do sistema de arquivos. O recurso Secure Vault, disponível em todos os dispositivos de hardware da F5, protege as chaves privadas SSL com uma chave mestra armazenada em um bloqueio de hardware, de modo que, mesmo que o arquivo de chave privada SSL fosse recuperado de um servidor de backup comprometido ou de uma infecção por malware, ele não poderia ser usado pelo invasor.

Cada dispositivo BIG-IP vem com uma chave de unidade exclusiva e uma chave mestra compartilhada, ambas chaves simétricas AES 256. A chave de unidade exclusiva é armazenada em uma EEPROM de hardware personalizada em cada dispositivo físico. Esta chave de unidade criptografa a chave mestra, que por sua vez criptografa chaves privadas SSL, descriptografa arquivos de chave SSL e sincroniza certificados entre dispositivos BIG-IP. As chaves mestras seguem a configuração em uma configuração de alta disponibilidade (HA), de modo que todas as unidades compartilhariam a mesma chave mestra, mas ainda teriam sua própria chave de unidade. A chave mestra é sincronizada usando o canal seguro estabelecido pelo Gerenciador de Certificados. As senhas criptografadas por chave mestra não podem ser usadas em sistemas diferentes das unidades para as quais a chave mestra foi gerada.

O suporte ao Secure Vault também pode ser usado por convidados vCMP (Virtual Clustered Multiprocessing). O vCMP permite que várias instâncias do software BIG-IP sejam executadas em um dispositivo, com cada convidado tendo sua própria chave de unidade e chave mestra. A chave da unidade convidada é gerada e armazenada no host, reforçando assim o suporte de hardware, e é protegida pela chave mestra do host, que por sua vez é protegida pela chave da unidade host no hardware.

Linux com segurança aprimorada

Usado tanto em processos de desenvolvimento F5 quanto em ambientes de produção de clientes, o Security Enhanced Linux (SELinux) simplifica o volume de software encarregado da aplicação de políticas de segurança e permite a aplicação separada de decisões de segurança da própria política de segurança. Por exemplo, um perfil SELinux pode instruir o kernel do TMOS a proibir que um processo específico execute o shell bash, protegendo assim o sistema de vulnerabilidades como o Shellshock, que pode permitir que um invasor obtenha controle sobre um servidor web ou roteador.

O SELinux também aumenta a segurança ao fornecer controle de acesso obrigatório (MAC) para complementar o sistema de controle de acesso discricionário (DAC) do Linux. O MAC consiste em rótulos de usuário, função e domínio em assuntos, rótulos de recursos para objetos e relações entre assuntos e objetos definidos pela política. Os controles do SELinux limitam o acesso de programas de usuários e servidores de sistema a arquivos e recursos de rede. Limitar o privilégio ao mínimo necessário para funcionar reduz ou elimina a capacidade desses programas e daemons de causar danos causados por vulnerabilidades desconhecidas, como estouros de buffer ou configurações incorretas. Como opera independentemente dos mecanismos de controle (discricionários) do Linux, o MAC não tem o conceito de superusuário root e, portanto, não compartilha as deficiências bem conhecidas do sistema DAC tradicional do Linux.

Certificações de segurança

Organizações do setor financeiro (FSI) e federal estão sujeitas a regulamentações adicionais que exigem certificações de segurança, como Common Criteria e FIPS 140-2. Essas e outras certificações de segurança dos EUA e do mundo garantem que o produto certificado atende aos padrões em áreas que incluem autenticação, auditoria, criptografia, gerenciamento e comunicações seguras. Os padrões e requisitos de certificação mudam e evoluem junto com o mundo da segurança; por esse motivo, a maioria das certificações é específica para uma determinada versão do produto.

Mantendo-se atualizada com as mudanças de segurança, melhores práticas e padrões em evolução, a F5 participa da International Cryptographic Modules Conference (ICMC) e das conferências International Common Criteria (ICCC) para fornecer às organizações segurança robusta e conformidade simplificada. O Programa de Validação de Módulos Criptográficos (CMVP) do Instituto Nacional de Padrões e Tecnologia (NIST) impulsiona o roteiro F5 para criptografia.

Critérios Comuns (CC)

Muitos produtos F5 foram certificados pela Common Criteria, uma certificação de garantia mundial usada por agências governamentais e empresas em todo o mundo. Vinte e seis países são signatários de um Acordo de Reconhecimento Mútuo, que efetivamente garante que, uma vez certificado, um produto possa ser comercializado como certificado em qualquer ou todos os países signatários.

Padrões Federais de Processamento de Informações (FIPS)

Desenvolvidos pelo NIST, os Padrões Federais de Processamento de Informações (FIPS) são usados por agências governamentais dos Estados Unidos e contratantes governamentais em sistemas de computadores não militares. A série FIPS 140 são padrões de segurança de computadores do governo dos EUA que definem requisitos para módulos de criptografia, incluindo componentes de hardware e software, para uso por departamentos e agências do governo federal dos Estados Unidos.

Os produtos F5 compatíveis com FIPS 140-2 usam módulos de segurança de hardware (HSMs) certificados pelo FIPS 140-2 para atender ao requisito de conformidade. Um HSM é um dispositivo físico seguro projetado para gerar, armazenar e proteger chaves criptográficas digitais de alto valor. É um criptoprocessador seguro que geralmente vem na forma de um cartão plug-in (ou outro hardware) com proteção contra violação incorporada. O sistema BIG-IP inclui um acelerador criptográfico/SSL FIPS, uma opção HSM projetada especificamente para processar tráfego SSL em ambientes que exigem soluções compatíveis com FIPS 140-1 Nível 2.

Os dispositivos F5 BIG-IP são compatíveis com FIPS 140-2 Nível 2. Essa classificação de segurança indica que, depois que dados confidenciais são importados para o HSM, a plataforma incorpora técnicas criptográficas para garantir que os dados não possam ser extraídos em um formato de texto simples. Os dispositivos BIG-IP também fornecem revestimentos ou selos invioláveis para impedir adulteração física. A estrutura exclusiva de gerenciamento de chaves da plataforma BIG-IP permite uma infraestrutura segura altamente escalável que pode lidar com níveis de tráfego mais altos e à qual as organizações podem facilmente adicionar novos serviços.

Além disso, o acelerador criptográfico/SSL FIPS usa cartões inteligentes para autenticar administradores, conceder direitos de acesso e compartilhar responsabilidades administrativas para fornecer um meio flexível e seguro de impor a segurança do gerenciamento de chaves.

Proteção DoS

Um ataque DoS é uma tentativa de tornar uma máquina ou recurso de rede indisponível para os usuários pretendidos, de modo a interromper ou suspender temporária ou indefinidamente os serviços de um host conectado à Internet. Uma negação de serviço distribuída (DDoS) vem de uma fonte de ataque com mais de um — geralmente milhares — endereços IP exclusivos.

Os arquitetos da F5 desenvolveram diversas estratégias para prevenir e mitigar ataques DoS. Equipes de desenvolvimento lançaram recursos e enviaram patentes para técnicas para proteger dados corporativos e fornecer segurança para os elementos fundamentais de um aplicativo (rede, DNS, SSL e HTTP). Os recursos de software oferecem uma ampla gama de proteção, como limitação de taxa de vários tipos de solicitações, determinação se há muitos pacotes ou quem iniciou a solicitação, fornecimento de heurística e prevenção de falsificação.

Aproveitando os recursos de segurança intrínsecos do gerenciamento inteligente de tráfego e entrega de aplicativos, a plataforma BIG-IP protege e garante a disponibilidade da infraestrutura de rede e aplicativos de uma organização, mesmo nas condições mais exigentes.

Conclusão

Embora os ataques a redes, aplicativos e dados continuem aumentando, as organizações que contam com a plataforma BIG-IP podem confiar na segurança de seus sistemas para proteger seus ativos mais valiosos.

A F5 garante a segurança da plataforma BIG-IP por meio de seu rigoroso processo de Ciclo de Vida de Desenvolvimento de Software Seguro, que foi projetado para descobrir e corrigir vulnerabilidades antes do lançamento do produto. Além disso, a plataforma BIG-IP tem vários recursos de segurança importantes, como Modo de Dispositivo, Secure Vault, SELinux, certificações de segurança e proteção DoS, que ajudam a garantir a integridade de aplicativos críticos e dados corporativos.

O volume e a complexidade das ameaças à segurança certamente continuarão a evoluir. Ao mesmo tempo, a F5 continuará a projetar soluções de segurança específicas para ajudar organizações a prevenir, mitigar e responder a ataques, ao mesmo tempo em que defendem suas reputações e protegem seus negócios.

Publicado em 29 de julho de 2016
  • Compartilhe no Facebook
  • Compartilhar para X
  • Compartilhe no Linkedin
  • Compartilhar por e-mail
  • Compartilhe via AddThis

Conecte-se com F5

F5 LABS

O que há de mais moderno em inteligência de ameaças a aplicativos.

DevCentral

A comunidade F5 para fóruns de discussão e artigos de especialistas.

Sala de redação da F5

Notícias, blogs F5 e muito mais.