Certifications

Date de mise à jour : 4 mars 2025

Réglementations gouvernementales

F5 maintient un programme actif de certification et d’évaluation des produits, conforme aux réglementations gouvernementales, pour maintenir un environnement informatique sécurisé.

Norme fédérale de traitement de l'information (FIPS) 140-2 / 140-3

Pour BIG-IP, F5 propose plusieurs solutions FIPS pour répondre aux exigences de conformité et aux architectures les plus rigoureuses. Pour plus de détails sur les combinaisons validées par la version BIG-IP/le système, veuillez consulter le tableau ci-dessous.

• Le F5 FIPS BIG-IP VE intègre un module cryptographique logiciel validé NIST au niveau 1 de la norme FIPS 140-2 pour les plates-formes x86. BIG-IP VE est également ciblé pour la validation FIPS 140-3 niveau 1.
• Le locataire BIG-IP sur les systèmes rSeries et VELOS est ciblé pour la validation NIST au niveau 2 de la norme FIPS 140-3.
• BIG-IP exécuté sur des appareils spécifiques et des systèmes lames/châssis fournit une validation de l'appareil inclus au niveau 2 de la norme FIPS 140-2, y compris l'application d'autocollants inviolables. La validation de l'appareil inclus est également ciblée pour la validation FIPS 140-3 niveau 2.
• Les F5OS-A et F5OS-C sont également, avec leur matériel rSeries et VELOS sous-jacent, ciblés pour la validation FIPS 140-3 niveau 2, également avec l'application d'autocollants inviolables.
• F5 propose également un ensemble sélectionné de systèmes BIG-IP, qui incluent un HSM prenant en charge une implémentation validée FIPS pour la génération, l'utilisation et la protection de clés cryptographiques RSA. 
• Enfin, F5 BIG-IP prend en charge les HSM externes (réseau) ; voir le tableau ci-dessous pour plus de détails.

Principaux avantages de l’utilisation de solutions F5 conformes à la norme FIPS :

• SSL hautes performances : performances de pointe, conformes aux normes recommandées par l'industrie.
• Plateforme unifiée : BIG-IP est capable de consolider un HSM qui fournit un stockage de clés sécurisé avec une solution de distribution d'applications dotée d'une gestion des clés SSL et d'une gestion des certificats sur un seul appareil. D’autres solutions nécessitent un système distinct ou une carte certifiée FIPS pour chaque serveur Web, mais le cadre de gestion des clés du système BIG-IP permet une infrastructure sécurisée hautement évolutive capable de gérer des niveaux de trafic plus élevés. Les organisations peuvent également ajouter facilement de nouveaux services à l’infrastructure.
• Sécuriser les ressources : les solutions F5 préservent l’intégrité des entreprises en assurant la sécurité des ressources de l’entreprise et en protégeant les marques de l’entreprise.

Prise en charge de l'intégration FIPS dans le cloud public

• AWS CloudHSM – Avec CloudHSM, vous pouvez gérer vos propres clés de chiffrement à l'aide de HSM validés FIPS 140-2 niveau 3. BIG-IP v14.1.0 et versions AWS 1.0.18 et 1.1.0.
• Equinix SmartKey – Sécurité de niveau HSM dans un service cloud facile à utiliser avec cryptage et tokenisation intégrés et certification FIPS 140-2 niveau 3. BIG-IP v14.1.0 et client SmartKey version 2.9.804.

Modules cryptographiques F5 FIPS

Modules cryptographiques intégrés

Modules cryptographiques externes

Historique des FIPS

Les certificats FIPS ont une durée de vie et lorsqu'ils expirent, ils sont déplacés vers une liste FIPS historique. Pour trouver le certificat, accédez à la page de recherche du module validé CMVP et effectuez une recherche avancée avec « Statut de validation » = « Historique ».

Historique des FIPS : Modules cryptographiques F5 FIPS

Historique des FIPS : Modules cryptographiques intégrés

La norme DFARS 252.204-7012 / NIST SP 800-171 pour les informations confidentielles non classifiées (CUI) est un mandat du sous-traitant du ministère de la Défense américain depuis décembre 2017 et est respectée par des solutions validées FIPS couvrant les opérations de cryptographie asymétriques et symétriques. Les plates-formes F5 FIPS spécifiques répondent à cette exigence directement ou via l'ajout du module F5 FIPS. Voir ci-dessus pour les plateformes éligibles et les détails.

Critères communs pour l'évaluation de la sécurité des technologies de l'information (Critères communs, CC)

Les Critères Communs sont une norme internationale (ISO 15408) pour l'évaluation des propriétés de sécurité d'un produit informatique. Cet ensemble d’exigences évalue le matériel, les logiciels, les pare-feu et les serveurs. L’objectif de l’évaluation est de fournir un niveau d’assurance qu’un appareil ou un logiciel gère les données en toute sécurité et ne contient aucun élément susceptible de compromettre son intégrité. 

Les Critères communs offrent une assurance aux États-Unis. Le ministère de la Défense et les agences fédérales de renseignement s'assurent que les produits qu'ils achètent respectent les exigences présidentielles en matière d'exploitation de systèmes d'information sécurisés. D’autres agences fédérales et certaines entreprises financières trouvent beaucoup plus facile d’acheter des produits approuvés par les critères communs pour leurs déploiements sensibles. F5 a obtenu des certifications pour les modules Network Device Collaborative Protection Profile, Stateful Traffic Filtering Firewall et SSL / TLC Inspection Proxy Protection Profile, ainsi que les certifications EAL 2+ et EAL 4+. Voir le tableau et les liens ci-dessous pour plus de détails

Certification Critères Communs

Critères communs archivés

Solutions commerciales pour les petites annonces (CSfC)

Le CSfC est un programme de l'Agence de sécurité nationale/Service central de sécurité (NSA/CSS) permettant d'utiliser des produits commerciaux dans des solutions en couches protégeant les données classifiées des systèmes de sécurité nationale (NSS). Ce programme se compose de deux parties : les fournisseurs demandent que leurs produits soient répertoriés sur une ou plusieurs listes de composants ; les intégrateurs peuvent ensuite choisir parmi les produits de ces listes pour créer des solutions. Tous les composants répertoriés doivent avoir à la fois la certification Critères communs et la validation FIPS pour que le produit soit répertorié dans la liste des composants. Voir le tableau ci-dessous pour les listes F5.

Liste des produits approuvés par le réseau d'information du ministère de la Défense

La liste DoDIN APL du ministère de la Défense des États-Unis est une liste unique et consolidée de produits ayant obtenu la certification d'interopérabilité (IO) et d'assurance de l'information (IA). Les certifications DoDIN APL vérifient que le système est conforme et configuré conformément aux guides de mise en œuvre technique de sécurité (STIG) du DISA Field Security Office (FSO). Voir le tableau ci-dessous pour les listes F5 .

Pour plus d'informations sur le processus DoDIN APL, visitez le site Web de test et de certification DoDIN APL .

Certification de conformité IPv6 du gouvernement des États-Unis (USGv6)

Les États-Unis Le Bureau de la gestion et du budget (OMB) a déclaré que toutes les agences fédérales sont tenues d'utiliser IPv6 dans leurs réseaux dans le mémorandum OMB M-21-07 . La certification de conformité IPv6 du gouvernement des États-Unis (USGv6) est un ensemble de normes techniques pour l'acquisition d'hôtes, de routeurs et de périphériques de sécurité réseau compatibles IPv6. Le National Institute of Standards and Technology (NIST) a créé les normes de conformité USGv6 pour soutenir l'adoption d'IPv6 au sein du gouvernement américain. Voir le tableau ci-dessous pour les listes F5.

F5 BIG-IP est compatible IPv6 et certifié USGv6. Voir l'annonce : F5 reçoit le logo Gold IPv6-Ready et les certifications USGv6

Commande de test d'interopérabilité conjointe (JITC) avec clé publique activée (PKE)

Le Joint Interoperability Test Command (JITC) des États-Unis. L'Agence des systèmes d'information du ministère de la Défense (DISA) fournit des services, des outils et des environnements d'évaluation et de certification de tests basés sur les risques pour garantir et permettre le déploiement rapide de systèmes de technologie de l'information et de sécurité nationale interopérables et efficaces sur le plan opérationnel. Les clients ou les serveurs sont testés pour garantir qu'ils sont compatibles avec les clés publiques (PKE) et capables de fournir des services de sécurité, tels que l'authentification, la confidentialité, la non-répudiation et le contrôle d'accès. Les domaines de test JITC PKE incluent les certifications NIST et JITC, le protocole d'état des certificats en ligne (OCSP), les listes de révocation de certificats (CRL) et les cartes d'accès commun du DoD (CAC).

F5 BIG-IP est certifié par le ministère de la Défense comme étant PUBLIC KEY-ENABLED (PKE). Voir l'annonce : Le F5 reçoit la certification du Joint Interoperability Test Command (JITC)

NIST 800-53

La publication spéciale 800-53 du NIST, Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations fédérales, est une norme fondamentale définissant comment aborder la sécurité de l'information et la gestion des risques au sein du gouvernement fédéral. Développée par le NIST, le DoD, la communauté du renseignement et le Comité des systèmes de sécurité nationale, cette norme fournit des conseils sur la surveillance continue et les exigences FISMA. Il prend également en charge une approche basée sur les risques pour protéger les missions et les fonctions commerciales critiques.

F5 a distillé ce document de plus de 240 pages dans une iApp F5 pour NIST 800-53 Rev 4. L'iApp fournit plusieurs pages de questions et de tâches pertinentes pour aider l'administrateur à appliquer les contrôles de sécurité pertinents sur son périphérique BIG-IP, économisant ainsi aux organisations des heures de temps de gestion et de ressources.

Si votre agence cherche à améliorer le processus DIACAP ou souhaite se conformer à la FISMA, l'iApp F5 NIST 800-53 Rev 4 contribuera à garantir que les paramètres de configuration appropriés sur le BIG-IP sont examinés et définis.

En savoir plus sur l'utilisation du modèle iApp F5

Modules cryptographiques F5 FIPS

F5 Système d'exploitation