visão geral da solução

Solução de acesso de usuário privilegiado da plataforma F5 BIG-IP

Proteja os dados da agência federal e mitigue os riscos.

Solução de acesso de usuário privilegiado da plataforma F5 BIG-IP

A importância vital da autenticação forte

O acesso tradicional por nome de usuário e senha aos recursos administrativos é uma grande vulnerabilidade de segurança em nossas redes hoje. Dando suporte a essa prioridade, a principal linha de esforço do Plano de Implementação de Disciplina de Segurança Cibernética do Departamento de Defesa (DoD) é a autenticação forte para usuários privilegiados.

Linha de esforço: Autenticação forte

Reduzir o anonimato, assim como impor autenticidade e responsabilidade por ações em redes de informação do DoD, melhora a postura de segurança do DoD. A conexão entre autenticação fraca e aquisição de conta é bem estabelecida. A autenticação forte ajuda a evitar acesso não autorizado, incluindo comprometimento de rede em larga escala ao se passar por administradores privilegiados. Comandantes e supervisores concentrarão sua atenção na proteção de ativos de alto valor, como servidores e roteadores, e no acesso privilegiado do administrador do sistema. Essa linha de esforço apoia o objetivo 3-4 da Estratégia Cibernética do DoD, exigindo que o CIO do DoD mitigue vulnerabilidades conhecidas.

Além disso, o mais recente Guia de Requisitos de Segurança de Gerenciamento de Dispositivos de Rede DISA — que detalha práticas e procedimentos de segurança aplicáveis ao gerenciamento de dispositivos de rede do DoD — prevê uma descoberta CAT 2 (média) para falha no uso de autenticação multifator para contas de usuários privilegiados que acessam dispositivos de rede.

  • Encontrando ID: v-55105
  • Gravidade: Alto
  • Detalhes: ...o DoD determinou o uso do token/credencial do Cartão de Acesso Comum (CAC) para dar suporte ao gerenciamento de identidade e autenticação pessoal para sistemas cobertos pelo HSPD 12. A arquitetura recomendada pelo DoD para dispositivos de rede é que os administradores de sistema autentiquem usando um servidor de autenticação usando a credencial DoD CAC com PKI aprovada pelo DoD…

No entanto, a autenticação CAC para recursos administrativos pode ser difícil de obter. Há um grande número de dispositivos e sistemas que não foram desenvolvidos para acomodar autenticação forte ou acesso por cartão inteligente. As opções tradicionalmente se limitam a:

  1. Aceite o risco para a organização.
  2. Remova ou substitua o dispositivo.

Principais benefícios

Reduz a superfície de ataque

O F5 Privileged User Access cria um shell em torno de dispositivos vulneráveis e interfaces administrativas. Qualquer acesso requer o uso de um CAC/PIV que autoriza o acesso ao recurso individual.

Não requer instalação de modificações

A solução F5 não requer nenhuma instalação de software ou modificação em sistemas críticos de backend.

Fornece uma trilha de auditoria

Esta solução fornece uma trilha de auditoria para equipes de segurança e agilidade para políticas de segurança; a empresa determina a vida útil de uma sessão/senha.

F5 Acesso de Usuário Privilegiado

A solução F5 Privileged User Access agora oferece uma opção adicional que pode adicionar autenticação CAC ou outro método de autenticação forte a uma infraestrutura de rede que não oferece suporte nativo a essa funcionalidade. Ele faz isso sem precisar de software cliente ou agentes em qualquer lugar do ambiente e permite que você aproveite totalmente seus sistemas legados ou não compatíveis de maneira segura. Ele se integra diretamente aos sistemas PKI do DoD e pode ser configurado para trabalhar cooperativamente com um RADIUS, TACACS, Active Directory ou uma variedade de bancos de dados de autenticação de terceiros existentes.


Figura 1: A solução F5 Privileged User Access garante que os usuários certos tenham acesso a dados confidenciais por meio do forte processo de autenticação destacado neste diagrama.

Esta solução tem quatro componentes principais, incluindo a plataforma F5 BIG-IP, o BIG-IP Access Policy Manager (APM), a autenticação efêmera e o Web SSH Client.

PLATAFORMA BIG-IP

A plataforma BIG-IP é um produto compatível com FIPS, certificado pelo Common Criteria e aprovado pela UC APL, disponível em formatos físicos e virtuais. Todas as funções da solução F5 Privileged User Access são executadas na plataforma BIG-IP. O BIG-IP é um produto de segurança amplamente implantado nas redes do DoD que já realiza autenticação forte para milhares de aplicativos críticos. Esta solução adicional simplesmente aplica a funcionalidade existente aos requisitos de usuários privilegiados.

BIG-IP Access Policy Manager

Um usuário privilegiado que acessa um aplicativo é primeiro autenticado pelo BIG-IP Access Policy Manager (APM). O BIG-IP APM exibe pela primeira vez um E.U.A. Aviso do governo (USG) ao usuário que exige aceitação antes de prosseguir com a autenticação.

Em seguida, o BIG-IP APM solicita CAC ou credenciais fortes do usuário, que são então verificadas em uma Lista de Revogação de Certificados (CRL) ou em um servidor de Protocolo de Status de Certificado Online (OCSP) para garantir que suas credenciais não foram revogadas. Opcionalmente, o BIG-IP APM pode consultar um servidor de diretório, como um servidor Microsoft Active Directory (AD) ou Lightweight Directory Access Protocol (LDAP), um provedor Security Assertion Markup Language (SAML) ou uma variedade de diretórios de terceiros para estabelecer ainda mais a identidade do usuário.

Depois que o BIG-IP APM verificar se o usuário privilegiado tem permissão para acessar o sistema, o BIG-IP APM consultará atributos adicionais para determinar quais recursos o usuário privilegiado pode acessar. Por fim, o usuário privilegiado verá uma página de portal com os recursos aos quais ele tem permissão de acessar. O BIG-IP APM também fornece recursos avançados para garantir a integridade do cliente, como verificar se o cliente é um Equipamento Fornecido pelo Governo (GFE), se está em conformidade com o Sistema de Segurança Baseado em Host (HBSS) e/ou se está executando um sistema operacional compatível.

Autenticação efêmera

A autenticação efêmera é essencialmente uma senha de circuito fechado e de uso único para sistemas que só podem ser autenticados com um nome de usuário e senha. Todo o sistema existe dentro do F5 BIG-IP e funciona em conjunto com o BIG-IP APM para garantir uma conexão segura e criptografada de ponta a ponta, eliminando a possibilidade de repetição de credenciais. Em nenhum momento durante o processo o usuário ou cliente sabe essa senha efêmera e, no caso altamente improvável de ela ser comprometida, ela será completamente inútil para um invasor ou agente mal-intencionado. Isso permite até que a F5 forneça CAC ou autenticação multifator a qualquer sistema que esteja restrito ao uso de nome de usuário e senha para autenticação.

Cliente SSH da Web

O cliente Web SSH é um cliente HTML5 que pode ser executado em qualquer navegador fornecido pelo governo e não requer instalação de componentes do lado do cliente. Isso permite acesso instantâneo de qualquer cidadão atual ou futuro dos EUA. Sistema do Governo Federal com navegador web. Este cliente fornece emulação de terminal completa, eventos de mouse, recortar e colar e a capacidade de registrar conexões no cliente. Este cliente também suporta a capacidade de sobrepor banners de classificação que podem ser especificados por host ou globalmente, bem como fornecer opções de cifra por host para garantir a compatibilidade com dispositivos legados.

Consolidando o acesso de usuários privilegiados

Embora a solução F5 Privileged User Access cubra uma séria lacuna de segurança para sistemas legados e não compatíveis, ela também é uma maneira eficaz de agregar acesso a sistemas modernos. O F5 pode proteger muitos sistemas que exigem acesso de usuário privilegiado. Alguns exemplos incluem:

  • Interfaces de administração de telefonia (por exemplo, Cisco Communications Manager Administration)
  • Interfaces de administração de firewall, IDS/IPS e DLP (por exemplo, interface da web Palo Alto)
  • Interfaces de administração de proxy (por exemplo, BlueCoat ProxySG)
  • Interfaces de matriz de armazenamento (por exemplo, NetApp OnCommand, Pure Storage)
  • Interfaces de administração de VDI e requisitos de autenticação de cliente VDI (por exemplo, VMWare Horizon, Citrix XenDesktop, Windows Remote Desktop)

Ao consolidar o controle de acesso para administradores, você pode aproveitar os amplos recursos de autenticação e controle do BIG-IP APM. Ele permite que você imponha o uso de padrões de criptografia TLS em redes não confiáveis. Você também pode usar as funções de registro do BIG-IP APM para fornecer um único ponto para registrar e auditar o acesso administrativo a esses sistemas, bem como integrar com sistemas de relatórios e registros para fins de conformidade.

O Futuro da Autenticação

O F5 fornece uma estrutura para adicionar recursos que podem se tornar requisitos no futuro. Alguns dos recursos de autenticação que estão sendo considerados pelo governo e pela liderança do DoD são credenciais derivadas, biometria e fatores adicionais de autenticação. Se o governo decidir deixar de usar o CAC ou métodos de autenticação comumente usados hoje em dia, a solução F5 oferece a flexibilidade necessária para ser estendida e dar suporte a esses recursos adicionais conforme definidos.

A solução F5 oferece suporte a modelos de federação de autenticação e pode facilitar a adoção de SAML e tecnologia de nuvem pelo DoD. O F5 pode fornecer autenticação forte para aplicativos, dispositivos, interfaces de gerenciamento e sistemas dentro de ambientes do DoD, na nuvem ou onde quer que eles possam residir no futuro.