Descripción general de la solución

Solución de acceso de usuario privilegiado de la plataforma F5 BIG-IP

Proteger los datos de las agencias federales y mitigar los riesgos.

Solución de acceso de usuario privilegiado de la plataforma F5 BIG-IP

La importancia vital de la autenticación robusta

El acceso tradicional con nombre de usuario y contraseña a los recursos administrativos es una vulnerabilidad de seguridad importante en nuestras redes actuales. Para respaldar esta prioridad, la línea de esfuerzo número uno del Plan de Implementación de Disciplina de Ciberseguridad del Departamento de Defensa (DoD) es la autenticación fuerte para usuarios privilegiados.

Línea de esfuerzo: Autenticación fuerte

Reducir el anonimato, así como garantizar la autenticidad y la rendición de cuentas por las acciones en las redes de información del Departamento de Defensa, mejora la seguridad del Departamento de Defensa. La conexión entre la autenticación deficiente y el robo de cuentas es bien conocida. La autenticación fuerte ayuda a prevenir el acceso no autorizado, incluida la vulneración de la red a gran escala mediante la suplantación de administradores privilegiados. Los comandantes y supervisores centrarán su atención en la protección de activos de alto valor, como servidores y enrutadores, y en el acceso privilegiado de administrador del sistema. Esta línea de esfuerzo apoya los objetivos 3-4 de la Estrategia Cibernética del Departamento de Defensa, que requiere que el CIO del Departamento de Defensa mitigue las vulnerabilidades conocidas.

Además, la Guía de requisitos de seguridad para la administración de dispositivos de red DISA más reciente (que detalla las prácticas y los procedimientos de seguridad aplicables a la administración de los dispositivos de red del DoD) prevé un hallazgo de CAT 2 (medio) por no usar la autenticación multifactor para cuentas de usuarios privilegiados que acceden a dispositivos de red.

  • Encontrando ID: v-55105
  • Gravedad: Alto
  • Detalles: …el Departamento de Defensa ha ordenado el uso del token/credencial de la Tarjeta de Acceso Común (CAC) para respaldar la gestión de identidad y la autenticación personal para los sistemas cubiertos por la HSPD 12. La arquitectura recomendada por el Departamento de Defensa para los dispositivos de red es que los administradores de sistemas se autentiquen mediante un servidor de autenticación que utilice la credencial CAC del Departamento de Defensa con PKI aprobada por el Departamento de Defensa…

Sin embargo, la autenticación CAC para recursos administrativos puede ser difícil de lograr. Hay una gran cantidad de dispositivos y sistemas que no fueron diseñados para admitir una autenticación fuerte o acceso con tarjetas inteligentes. Las opciones tradicionalmente se han limitado a:

  1. Aceptar el riesgo para la organización.
  2. Retire o reemplace el dispositivo.

Beneficios clave

Reduce la superficie de ataque

El acceso de usuario privilegiado de F5 crea una protección alrededor de dispositivos e interfaces administrativas vulnerables. Cualquier acceso requiere el uso de un CAC/PIV que autoriza el acceso al recurso individual.

No requiere instalación de modificaciones.

La solución F5 no requiere ninguna instalación de software ni modificaciones en los sistemas críticos del backend.

Proporciona un registro de auditoría

Esta solución proporciona un registro de auditoría para los equipos de seguridad y agilidad para las políticas de seguridad; la empresa determina la vida útil de una sesión/contraseña.

Acceso de usuario privilegiado de F5

La solución F5 Acceso De Usuario Privilegiado ahora ofrece una opción adicional que puede agregar autenticación CAC u otro método de autenticación fuerte a una infraestructura de red que no admite de forma nativa esta funcionalidad. Lo hace sin requerir software de cliente ni agentes en ninguna parte del entorno y le permite aprovechar al máximo sus sistemas heredados o no compatibles de una manera segura. Se integra directamente en los sistemas PKI del DoD y puede configurarse para trabajar en cooperación con un RADIUS existente, TACACS, Active Directory o una variedad de bases de datos de autenticación de terceros.


Figura 1: La solución F5 Acceso De Usuario Privilegiado garantiza que los usuarios adecuados tengan acceso a datos confidenciales a través del sólido proceso de autenticación resaltado en este diagrama.

Esta solución tiene cuatro componentes principales, incluida la plataforma F5 BIG-IP, el administrador de políticas de acceso BIG-IP (APM), la autenticación efímera y el cliente SSH web.

PLATAFORMA BIG-IP

La plataforma BIG-IP es un producto compatible con FIPS, certificado por Common Criteria y aprobado por UC APL, que está disponible en formatos físicos y virtuales. Todas las funciones de la solución F5 Acceso De Usuario Privilegiado se ejecutan dentro de la plataforma BIG-IP. BIG-IP es un producto de seguridad ampliamente implementado en las redes del Departamento de Defensa que ya realiza una autenticación sólida para miles de aplicações críticas. Esta solución adicional simplemente aplica esa funcionalidad existente a los requisitos de los usuarios privilegiados.

BIG-IP Access Policy Manager

Un usuario privilegiado que accede a una aplicação es autenticado primero por BIG-IP Access Policy Manager (APM). BIG-IP APM muestra por primera vez un EE.UU. Banner de advertencia del Gobierno de los Estados Unidos (USG) para el usuario que requiere aceptación antes de continuar con la autenticación.

A continuación, BIG-IP APM solicita CAC o credenciales seguras del usuario, que luego se verifican con una Lista de revocación de certificados (CRL) o un servidor de Protocolo de estado de certificados en línea (OCSP) para garantizar que sus credenciales no hayan sido revocadas. Opcionalmente, BIG-IP APM puede consultar un servidor de directorio como un servidor Microsoft Active Directory (AD) o un servidor de Protocolo ligero de acceso a directorios (LDAP), un proveedor de Lenguaje de marcado de confirmación de seguridad (SAML) o una variedad de directorios de terceros para establecer con mayor precisión la identidad del usuario.

Una vez que BIG-IP APM verifica que el usuario privilegiado tiene permiso para acceder al sistema, BIG-IP APM consultará atributos adicionales para determinar a qué recursos puede acceder el usuario privilegiado. Finalmente, al usuario privilegiado se le presentará una página de portal con los recursos a los que tiene permitido acceder. BIG-IP APM también proporciona funciones avanzadas para garantizar la integridad del cliente, como verificar que el cliente sea un equipo proporcionado por el gobierno (GFE), que cumpla con el sistema de seguridad basado en host (HBSS) y/o que esté ejecutando un sistema operativo compatible.

Autenticación efímera

La autenticación efímera es esencialmente un circuito cerrado, con una contraseña de un solo uso para sistemas que solo pueden autenticarse con un nombre de usuario y una contraseña. Todo el sistema existe dentro de F5 BIG-IP y funciona en conjunto con BIG-IP APM para garantizar una conexión segura y encriptada de extremo a extremo, eliminando al mismo tiempo la posibilidad de reproducción de credenciales. En ningún momento durante el proceso el usuario o cliente conoce esta contraseña efímera y, en el caso muy improbable de que esta contraseña se vea comprometida, será completamente inútil para un atacante o un actor malicioso. Esto incluso permite a F5 proporcionar CAC o autenticación multifactor a cualquier sistema que esté restringido al uso de un nombre de usuario y contraseña para la autenticación.

Cliente web SSH

El cliente web SSH es un cliente HTML5 que se ejecutará en cualquier navegador web proporcionado por el gobierno y no requiere la instalación de componentes del lado del cliente. Esto permite el acceso instantáneo desde cualquier país actual y futuro de los EE. UU. Sistema del Gobierno Federal con navegador web. Este cliente proporciona emulación de terminal completa, eventos de mouse, cortar y pegar, y la capacidad de registrar conexiones en el cliente. Este cliente también admite la capacidad de superponer banners de clasificación que pueden especificarse por host o de manera global, así como también proporcionar opciones de cifrado por host para garantizar la compatibilidad con dispositivos heredados.

Consolidación del acceso de usuario privilegiado

Si bien la solución F5 Acceso De Usuario Privilegiado cubre una brecha de seguridad importante para los sistemas antiguos y no compatibles, también es una forma efectiva de agregar acceso a los sistemas modernos. F5 puede proteger muchos sistemas que requieren acceso de usuario privilegiado. Algunos ejemplos incluyen:

  • Interfaces de administración de telefonía (por ejemplo, Cisco Communications Manager Administration)
  • Interfaces de administración de firewall, IDS/IPS y DLP (por ejemplo, interfaz web de Palo Alto)
  • Interfaces de administración de proxy (por ejemplo, BlueCoat ProxySG)
  • Interfaces de matriz de almacenamiento (por ejemplo, NetApp OnCommand, Pure Storage)
  • Interfaces de administración de VDI y requisitos de autenticación de clientes de VDI (por ejemplo, VMWare Horizon, Citrix XenDesktop, Windows Remote Desktop)

Al consolidar el control de acceso para los administradores, puede aprovechar las amplias capacidades de autenticación y control de BIG-IP APM. Le permite imponer el uso de estándares de cifrado TLS en redes que no son confiables. También puede utilizar las funciones de registro de BIG-IP APM para proporcionar un único punto para registrar y auditar el acceso administrativo a estos sistemas, así como para integrarlos con sistemas de informes y registro para fines de cumplimiento.

El futuro de la autenticación

F5 proporciona un marco para agregar capacidades que pueden convertirse en requisitos en el futuro. Algunas de las capacidades de autenticación que están considerando el gobierno y el liderazgo del Departamento de Defensa son credenciales derivadas, biometría y factores adicionales de autenticación. Si el gobierno decide dejar de utilizar CAC o los métodos de autenticación que se usan comúnmente en la actualidad, la solución de F5 brinda la flexibilidad de ampliarse para soportar esas capacidades adicionales a medida que se definan.

La solución F5 admite modelos de federación de autenticación y puede facilitar la adopción de SAML y la tecnología de la nube por parte del Departamento de Defensa. F5 puede proporcionar autenticación sólida a aplicações, dispositivos, interfaces de administración y sistemas dentro de entornos del Departamento de Defensa, en la nube o dondequiera que residan en el futuro.