解决方案概述

F5 BIG-IP 平台特权用户访问解决方案

保护联邦机构数据并降低风险。

F5 BIG-IP 平台特权用户访问解决方案

强身份验证至关重要

传统的用户名和密码访问管理资源是当今网络的一个主要安全漏洞。 为支持这一优先事项,国防部(DoD)网络安全学科实施计划的首要努力是对特权用户进行强身份验证。

努力方向: 强身份验证

降低匿名性,以及加强国防部信息网络上行动的真实性和责任制,可以改善国防部的安全态势。弱身份验证和账户接管之间的联系是众所周知的。 强身份验证有助于防止未授权访问,包括通过冒充特权管理员进行大规模网络入侵。 指挥官和主管将重点关注保护高价值资产,例如服务器和路由器以及特权系统管理员访问权限。 这项工作支持国防部网络战略中的目标 3-4,要求国防部首席信息官缓解已知的漏洞。

此外,最新的DISA 网络设备管理安全要求指南(详细介绍了适用于国防部网络设备管理的安全实践和程序)规定,对于访问网络设备的特权用户帐户未使用多因素身份验证,则属于 CAT 2(中等)级别。

  • 发现 ID: V-55105
  • 严重性: 高的
  • 详细信息: ...国防部已强制使用通用访问卡 (CAC) 令牌/凭证来支持 HSPD 12 所涵盖的系统的身份管理和个人身份验证。 DoD 建议的网络设备架构是让系统管理员使用身份验证服务器进行身份验证,该服务器使用 DoD CAC 凭证和 DoD 批准的 PKI……

然而,对管理资源的 CAC 身份验证可能难以实现。 大量设备和系统在设计时并未考虑到强身份验证或智能卡访问。 传统上,选择仅限于:

  1. 接受组织面临的风险。
  2. 移除或者更换该设备。

主要优势

减少攻击面

F5特权用户访问在易受攻击的设备和管理界面周围创建一个外壳。 任何访问都需要使用授权访问单个资源的 CAC/PIV。

无需安装修改

F5 解决方案不需要安装任何软件或对后端关键系统进行修改。

提供审计跟踪

该解决方案为安全团队提供了审计跟踪,并为安全策略提供了灵活性;企业决定会话/密码的有效期。

F5特权用户访问

F5特权用户访问解决方案现在提供了一个附加选项,可以向本身不支持此功能的网络基础设施添加 CAC 身份验证或其他强身份验证方法。 它不需要环境中任何地方的客户端软件或代理即可实现这一点,并允许您以安全的方式充分利用您的遗留或不合规的系统。 它直接集成到 DoD PKI 系统中,并且可以配置为与现有的 RADIUS、TACACS、Active Directory 或各种第三方身份验证数据库协同工作。


该解决方案有四个主要组件,包括 F5 BIG-IP 平台、BIG-IP 访问策略管理器 (APM)、临时身份验证和 Web SSH 客户端。

BIG-IP 平台

BIG-IP 平台是符合 FIPS 标准、通过通用标准认证和 UC APL 认可的产品,具有物理和虚拟两种形式。 F5特权用户访问解决方案的所有功能均在 BIG-IP 平台内运行。 BIG-IP 是国防部网络中广泛部署的安全产品,已经为数千个关键应用执行了强身份验证。 这个附加解决方案只是将现有功能应用于特权用户需求。

BIG-IP 访问策略管理器

访问应用的特权用户首先要通过 BIG-IP 访问策略管理器 (APM) 进行身份验证。 BIG-IP APM 首次展示美国。 政府 (USG) 向用户发出警告横幅,要求用户接受才能继续进行身份验证。

接下来,BIG-IP APM 向用户请求 CAC 或强凭证,然后根据证书吊销列表 (CRL) 或在线证书状态协议 (OCSP) 服务器进行检查,以确保他们的凭证没有被吊销。 或者,BIG-IP APM 可以查询目录服务器,例如 Microsoft Active Directory (AD) 或轻量级目录访问协议 (LDAP) 服务器、安全断言标记语言 (SAML) 提供程序或各种第三方目录,以进一步确定用户的身份。

一旦 BIG-IP APM 验证特权用户被允许访问系统,BIG-IP APM 将查询其他属性以确定特权用户可以访问哪些资源。 最后,特权用户将看到一个他们被允许访问的资源的门户页面。 BIG-IP APM 还提供高级功能以确保客户端的完整性,例如验证客户端是否为政府提供的设备 (GFE)、是否符合基于主机的安全系统 (HBSS) 和/或是否运行受支持的操作系统。

短暂身份验证

临时身份验证本质上是一种闭路、一次性密码,适用于仅使用用户名和密码进行身份验证的系统。 整个系统存在于 F5 BIG-IP 内部,并与 BIG-IP APM 协同工作,以确保安全的端到端加密连接,同时消除凭证重放的可能性。 在此过程中,用户或客户端都不会知道这个临时密码,而且,万一这个密码被泄露,对于攻击者或不法分子来说,它就完全没有价值了。 这甚至允许 F5 为任何仅限于使用用户名和密码进行身份验证的系统提供 CAC 或多因素身份验证。

Web SSH 客户端

Web SSH 客户端是一个 HTML5 客户端,可在任何政府提供的网络浏览器上运行,不需要安装客户端组件。 这样就可以从任何当前和未来的美国进行即时访问。 带有网络浏览器的联邦政府系统。 该客户端提供完整的终端仿真、鼠标事件、剪切和粘贴以及在客户端上记录连接的能力。 该客户端还支持叠加每个主机或全局指定的分类横幅的功能,以及提供每个主机的密码选项以确保与传统设备的兼容性。

整合特权用户访问

虽然 F5特权用户访问解决方案弥补了传统和不合规系统的严重安全漏洞,但它也是聚合对现代系统的访问权限的有效方法。 F5 可以保护许多需要特权用户访问的系统。 一些示例包括:

  • 电话管理界面(例如 Cisco Communications Manager 管理)
  • 防火墙、IDS/IPS 和 DLP 管理界面(例如 Palo Alto 网络界面)
  • 代理管理界面(例如 BlueCoat ProxySG)
  • 存储阵列接口(例如 NetApp OnCommand、Pure Storage)
  • VDI 管理界面和 VDI 客户端身份验证要求(例如 VMWare Horizon、Citrix XenDesktop、Windows 远程桌面)

通过整合管理员的访问控制,您可以利用 BIG-IP APM 的广泛身份验证和控制功能。 它使您能够在不受信任的网络上强制使用 TLS 加密标准。 您还可以使用 BIG-IP APM 的日志记录功能来提供单点记录和审核对这些系统的管理访问,并与报告和日志记录系统集成以实现合规性目的。

身份验证的未来

F5 提供了一个框架来添加未来可能成为需求的功能。 政府和国防部领导层正在考虑的一些身份验证功能包括派生凭证、生物识别和其他身份验证因素。 如果政府选择不再使用目前常用的 CAC 或身份验证方法,F5 解决方案可以灵活地进行扩展,以支持定义的附加功能。

F5 解决方案支持身份验证联合模型,并可促进国防部采用 SAML 和云技术。 F5 可以为 DoD 环境中的应用、设备、管理界面和系统提供强大的身份验证 - 无论它们位于云端还是未来所在的任何地方。

要了解更多信息,请访问www.f5.com/solutions/us-federal-government或阅读有关影响联邦机构的网络安全趋势的更多信息。