在过去五年中,大多数组织(无论大小)最关注的是安全。 随着企业迁移应用程序或构建云原生应用程序,最近的大部分注意力都集中在公共云安全上。 然而,许多重要的应用程序仍然驻留在私人数据中心,并且在可预见的未来仍将如此。 因此,企业也必须对自己的基础设施和硬件保持警惕。
彭博社最近的一篇文章引起了人们对供应链黑客攻击的更多关注,其中第三方拦截网络设备以篡改、监视或以其他方式泄露数据,并强调了这一点。
虽然篡改硬件通常不是应用攻击的切入点,但它绝对是一种逃避雷达攻击的直接方法。 简而言之,当今系统的任何部分(从硬件到软件)都受到某种威胁,这就是为什么企业从各个可能的角度确保其系统的保护极其重要。 此外,过去十年来第三方制造子系统的使用不断增加,增加了影响所有板级硬件的供应链黑客攻击的可能性。 组织正在(并且应该)问以下问题: 硬件供应商是否依赖于自己的硬件还是其他人的硬件? 这对于应用的安全性意味着什么?
在此阶段,我将暂停一下,强调两个要点:
虽然 F5 总部位于华盛顿州西雅图,但我们硬件设计和开发的各个环节都在位于斯波坎市的安全公司设施中进行。 出于开发专用硬件来支持我们的BIG-IP平台的愿望,这使我们能够直接确保硬件的安全并防止种子攻击。 在工厂内,F5 还严格控制制造和测试过程,从 CAD 软件中的初始设计,到印刷电路板 (PCB) 制造,最后到印刷电路组装 (PCA),将实际组件焊接到 PCB 上。
在 F5,我们为确保保护和隐私而采取的一大举措是,我们不仅拥有自己的产品设计并控制合同制造商工厂测试的各个方面,而且 F5 的 IT 团队还拥有并管理我们测试所运行的基础设施。 为了理解对制造过程进行控制的价值,我们必须首先快速谈谈我们的硬件是如何制造和开发的。 首先,在 CAD 软件中进行设计,该软件会生成 Gerber 数据(电路板的矢量图像)。 接下来,根据该数据,由我们的合同制造商以外的供应商制造印刷电路板 (PCB)。 之后,组装印刷电路组件 (PCA),将实际组件(CPU、内存、IC、晶体管等)焊接到 PCB 上。 此外,我们还结合使用了 AOI(自动光学检测)和 5DX/AXI(X 射线)检测等多种验证流程,以查找可能影响质量和系统完整性的任何问题。 这包括识别不属于 F5 控制的原始产品设计的任何元素。
通过软件创新也可以实现对硬件安全性的更大信任和信心。 我们推出的篡改检测功能就证明了一个这样的例子: “TPM 监管链。” 这是我们硬件的一项功能,可确保 F5 硬件上安装的固件确实由 F5 制造,且未被篡改,以更好地防止中间攻击。 此功能的工作原理是,将在启动时“测量”的固件各个层(通过类似于数据包中的校验和的过程)与 F5 制造过程中建立的已知验证值进行比较。 这种系统启动比较称为证明。
在我们之前的 BIG-IP 软件版本 BIG-IP v14.0 中,F5 宣布了基于 TPM 的本地证明,这是一种自动化方法,用于将 F5 确定的值与启动时(引导期间)测得的硬件/软件的当前值进行比较。 这意味着在 BIG-IP 启动序列期间,本地证明会自动将几个软件堆栈组件的当前启动安全值与 F5 已知值进行比较,让客户高度确信系统是 F5 制造的未篡改版本。 此功能使我们的客户无需手动执行操作,从而释放资源和时间,并降低总体管理成本。
通过最近发布的 BIG-IP v14.1,F5 增强了我们的实施,并非常高兴地宣布TPM 保管链远程认证已全面上市。 主要的区别在于,F5 现在可以通过与 iHealth 交互将 F5 固件的当前启动值与 F5 已知值进行比较。iHealth 由F5集中控制和保护,因此比本地验证更好。 一旦 iHealth 平台检查其寄存器上的设备值,它就会向 BIG-IP 系统返回 TPM 是否有效,从而为客户提供其 F5 设备真实性的验证,以防止基于硬件和固件的攻击。
总而言之,配备 TPM 的 F5 系统现在具有帮助在本地和远程证明和确认设备保管链的功能,而无需手动执行。 此功能可验证BIG-IP 硬件上是否运行正确的 F5 软件,并让我们的客户确信他们的硬件没有被篡改。 借助 F5 的 BIG-IP 硬件,客户可以减少对安全问题的担忧,并能够更好地专注于保护其应用程序和应用数据。
有关 F5 硬件平台的更多信息,请访问https://www.f5.com/products/big-ip-services/iseries-appliance ,有关 F5 如何增强您组织的应用安全性的信息,请访问https://www.f5.com/solutions/应用-security 。