BLOG

Como o hardware pode melhorar a segurança de aplicações

Miniatura F5
F5
Publicado em 18 de dezembro de 2018

Nos últimos cinco anos, uma das principais preocupações da maioria das organizações, grandes ou pequenas, é a segurança. Ultimamente, grande parte da atenção tem se concentrado na segurança da nuvem pública, à medida que as empresas migram aplicativos ou criam aplicativos nativos da nuvem. No entanto, muitos aplicativos importantes ainda residem em data centers privados e permanecerão assim no futuro próximo. Como resultado, as empresas também devem permanecer vigilantes em relação à sua infraestrutura e hardware próprios.

Um artigo recente da Bloomberg chamou mais atenção para tipos disseminados de ataques à cadeia de suprimentos, em que terceiros interceptaram equipamentos de rede com o propósito de adulterar, espionar ou comprometer dados, e destaca esse ponto.

Embora a adulteração de hardware não seja normalmente o ponto de entrada para ataques de aplicativos, pode ser uma maneira simples de passar despercebido. Em suma, não há nenhuma parte de um sistema hoje – do hardware ao software – que não esteja sujeita a algum tipo de ameaça, por isso é extremamente importante que as empresas garantam a proteção de seus sistemas de todos os ângulos possíveis. Além disso, o uso crescente de subsistemas fabricados por terceiros na última década aumenta a possibilidade de um hack na cadeia de suprimentos que afeta todo o hardware de nível de placa. As organizações estão (e deveriam estar) fazendo as seguintes perguntas: Os fornecedores de hardware estão confiando em seu próprio hardware ou no de outra pessoa? E o que isso significa para a segurança dos aplicativos?

Nesta fase, farei uma pausa para fazer dois pontos-chave:

  • Na F5, possuímos 100% dos nossos processos de teste de design e fabricação de hardware, os quais controlamos rigorosamente.
  • Toda a equipe do F5 trabalha incansavelmente para fazer melhorias impactantes em hardware e software.

Oferecendo melhor segurança de hardware durante a fabricação

Embora a F5 tenha sede em Seattle, Washington, todos os aspectos do design e desenvolvimento do nosso hardware ocorrem em uma instalação segura da empresa em Spokane, no estado. Nascido do desejo de desenvolver hardware dedicado para alimentar nossa plataforma BIG-IP , isso nos permite garantir diretamente a segurança do nosso hardware e proteger contra ataques propagados. No local, a F5 também mantém um controle rígido sobre o processo de fabricação e teste, desde o design inicial no software CAD, passando pela fabricação da placa de circuito impresso (PCB) e, finalmente, pela montagem do circuito impresso (PCA), quando os componentes reais são soldados na PCB. 

Na F5, um grande passo que damos para garantir proteção e privacidade é que não apenas possuímos nossos projetos de produtos e controlamos todos os aspectos dos testes em nossas instalações de fabricação contratadas, mas a equipe de TI da F5 também possui e gerencia a infraestrutura na qual nossos testes são executados. Para entender o valor desse controle sobre o processo de fabricação, precisamos primeiro falar rapidamente sobre como nosso hardware é fabricado e desenvolvido. Primeiramente, o design é feito em um software CAD que gera os Dados Gerber, uma imagem vetorial da placa. Em seguida, uma placa de circuito impresso (PCB) é fabricada a partir desses dados por um fornecedor diferente do nosso fabricante contratado. Depois disso, um conjunto de circuito impresso (PCA) é montado, onde os componentes reais (CPU, memória, CIs, transistores, etc.) são soldados no PCB. Além disso, usamos uma combinação de processos de validação, chamados AOI (Inspeção Óptica Automatizada) e inspeção 5DX/AXI (raio X), para encontrar quaisquer problemas que possam afetar a qualidade e a integridade do sistema. Isso inclui a identificação de qualquer elemento que não faça parte do projeto original do produto sob o controle da F5.

Garantindo a segurança do hardware por meio do software

Maior confiança na segurança do hardware também pode ser alcançada por meio da inovação de software. Um exemplo disso é demonstrado em nosso lançamento do recurso de detecção de adulteração: “Cadeia de Custódia TPM.” Este é um recurso em nosso hardware que garante que o firmware instalado no hardware F5 seja realmente fabricado pela F5 e não tenha sido adulterado, para melhor proteção contra ataques interceptados. Esse recurso funciona comparando as várias camadas de firmware “medidas” (por um processo semelhante a uma soma de verificação em pacotes) na inicialização com os valores validados conhecidos estabelecidos durante o processo de fabricação F5. Essa comparação de inicialização do sistema é chamada de atestado.

Em nossa versão anterior do software BIG-IP, BIG-IP v14.0, a F5 anunciou o Atestado Local baseado em TPM , que é um método automatizado para comparar os valores determinados pela F5 com os valores atuais do hardware/software medidos no momento da inicialização (durante a inicialização). Isso significa que, durante a sequência de inicialização do BIG-IP, a atestação local compara automaticamente os valores atuais de segurança de inicialização de vários componentes da pilha de software com os valores conhecidos do F5, dando aos clientes alta confiança de que o sistema é uma versão não adulterada fabricada pelo F5. Esse recurso dispensa nossos clientes de executar a ação manualmente, liberando recursos e tempo, além de reduzir os custos gerais indiretos.

Com o lançamento recente do BIG-IP v14.1, a F5 aprimorou nossa implementação e está muito feliz em anunciar a disponibilidade geral do Atestado Remoto para Cadeia de Custódia do TPM . O principal recurso de diferenciação é que o F5 agora pode comparar os valores de inicialização atuais do firmware do F5 com os valores conhecidos do F5 por meio da interface com o iHealth. O iHealth é controlado e protegido pelo F5 centralmente, o que o torna melhor do que a validação local. Depois que a plataforma iHealth verifica os valores do equipamento em seu registro, ela retorna ao sistema BIG-IP para verificar se o TPM é válido ou não, fornecendo aos clientes validação sobre a autenticidade de seu dispositivo F5 para evitar ataques baseados em hardware e firmware.

Recapitular

Para resumir, o sistema F5 equipado com TPM agora vem com funcionalidade para auxiliar na certificação e confirmação da cadeia de custódia do dispositivo local e remotamente , e sem a necessidade de fazer isso manualmente. Essa funcionalidade verifica se o software F5 correto está sendo executado no hardware BIG-IP e dá aos nossos clientes a garantia de que seu hardware não foi adulterado. Com o hardware BIG-IP da F5, os clientes têm uma preocupação de segurança a menos para se preocupar e podem se concentrar melhor em proteger seus aplicativos e dados de aplicativos.

Para obter informações adicionais sobre as plataformas de hardware da F5, visite https://www.f5.com/products/big-ip-services/iseries-appliance e para obter informações sobre como a F5 aprimora a segurança dos aplicativos da sua organização, visite https://www.f5.com/solutions/application-security .