F5 BIG-IP 平台安全

随着application和网络攻击变得越来越复杂且难以防御，确保数据安全已成为各种规模的组织最紧迫的问题之一。 引人注目的泄密和违规行为可能会损害一个组织的声誉并对其业务产生巨大影响。

自 F5 BIG-IP 平台诞生以来，安全性一直是所有设计和架构决策的主要因素。 每个后续版本或新产品都包含更安全的默认设置，纳入更多安全相关功能，并经过更严格的安全测试、保证和认证工作。 随着安全威胁的增加，最佳实践不断应用于新产品和收购的产品，以确保网络、applications和数据的安全。 如今，F5 产品充当着管理组织关键信息流的战略控制点，同时还通过性能和安全性增强来改善基于 Web 的applications的交付。

在评估其整体安全态势时，组织必须考虑两个结构性因素：安全的软件开发生命周期和其application交付网络内固有的安全特性。 通过在这两个方面提供服务，F5 提供了领导力和产品来应对当今的新安全挑战，帮助组织保护身份、applications和敏感数据，同时最大限度地减少application停机时间并最大限度地提高最终用户的工作效率。

虽然真正安全的系统包含许多因素，但其基础在于设计和编码两大支柱。 F5 安全软件开发生命周期 (SDLC) 有助于确保所有产品均符合最高安全标准，并在发布前经过严格测试。

完善的安全性从产品开发过程的早期就开始了。 在编写任何一行代码之前，F5 产品开发团队都会进行全面的威胁模型评估。 架构师评估每个新功能以确定它可能产生或引入什么漏洞给系统。

在设计阶段花费一小时修复的漏洞可能在编码阶段需要十个小时才能修复，在产品发货后则需要一千个小时才能修复——因此，在流程早期发现漏洞至关重要。 威胁模型评估期间的典型讨论包括定义和审查安全边界、限制威胁面以及安全相关功能的设计和实施的最佳实践。

设计完成后，就开始编码。 所有 F5 开发人员都接受过编写安全代码流程的全面培训。 但当涉及到软件和网络漏洞时，即使是最小的错误也可能产生巨大的影响。 F5 开发人员与安全团队定期进行代码审查，并使用静态代码分析工具来识别常见问题。 代码标准和最佳实践可帮助开发人员避免常见的安全陷阱。

对于任何组织来说，耗费大量时间和人力的安全测试都是一项艰巨的任务。 在 F5，安全和开发团队相互协作，帮助确保投放到市场的每款软件都具有高水平的安全性。

内部安全团队扮演试图破坏 BIG-IP 平台的攻击者来进行渗透测试。 此外，F5 对所有程序执行模糊测试。 模糊测试评估程序如何处理格式错误的输入，例如更长或更短的网络数据包或包含不正确数据的输入。 大多数情况都会得到很好的处理，但有些情况可能会导致异常，还有一些情况可能会暴露严重的漏洞。 渗透测试和模糊测试使 F5 设备尽可能地抵御拒绝服务 (DoS) 攻击以及基于代码的攻击。

此外，通过与学术机构建立关系，F5 不断扩大其知识库以涵盖多种类型的错误，例如：

• 利用不安全的字符串操作逻辑的缓冲区溢出和堆栈破坏攻击。
• 动态内存管理函数的错误使用。
• 与整数相关的问题，包括整数溢出、符号错误和截断错误。
• 引入格式字符串漏洞。
• I/O 漏洞，包括竞争条件。

F5 采用了先进的第三方扫描application，可以每晚分析源代码以查找大量严重缺陷。 在编译时，代码扫描application会查找安全错误和缺陷、“构建破坏者”错误、崩溃错误（例如内存泄漏和损坏）以及新代码引入的不可预测的application行为。 源代码扫描还可以发现非致命缺陷，例如数据完整性问题和性能瓶颈。

多年来，F5 还与第三方公司合作进行多种类型的额外测试：

• 黑盒测试：在不了解产品的情况下对application和平台进行测试，攻击者只能从公共文档中获取这些信息。
• 灰盒测试：使用部分信息（例如内部设计或访问内部数据结构文档以及所使用的算法）进行application和平台测试。 灰盒测试人员需要描述applications的高级和详细文档。
• 白盒测试（也称为透明盒测试、玻璃盒测试、透明盒测试或结构测试）：测试application的内部结构或工作原理，而不是其功能。 白盒测试需要高级的系统知识以及编程技能。

安全测试工具随着时间的推移而不断发展，并推出新产品。 F5 与多家供应商合作伙伴密切合作，纳入新协议、扩大测试覆盖范围并根据不断发展的威胁模型和新发现的漏洞更新工具。 一旦 BIG-IP 软件通过多项测试，F5 便会在自己的产品环境中使用它，以确保它真正做好发布的准备。

尽管有多种类型的威胁模型、安全编码、培训和测试，但漏洞仍然会发生。 当在生产中发现漏洞时，及时响应至关重要。

F5 漏洞响应政策会定期更新，以反映客户要求和行业实践。 通过专注于响应安全事件（无论是内部发现、通过第三方测试还是由客户报告），F5 每周至少跟踪和报告一次漏洞，以确保正确的优先级和及时响应。

通过与安全研究人员和其他专业人士（如国家漏洞数据库、MITRE CVE、CERT 协调中心、Redhat、OpenSSL 和 ISC）密切合作，F5 可以负责任地披露漏洞并提供缓解措施、补丁和防御措施。 去年，F5 向公众提供了 350 多条安全公告，内容涵盖从针对新兴威胁（如脚本注入、木马）的指导文章到防范恶意软件和 DDoS 攻击的文章，以确保公众能够获得最新的安全信息。

BIG-IP 平台专为提供增强和强化的安全性而构建，它提供多项关键功能，帮助组织加强其安全态势：

• 家电模式
• 安全保险库
• 安全增强型 Linux (SELinux)
• 安全认证
• DoS 保护

BIG-IP 平台和 F5 TMOS 的设计使得硬件和软件能够协同工作以保护企业applications和数据，同时优化整个网络的application交付。

Appliance Mode 最初是为医疗保健和金融服务等拥有敏感数据的行业的企业设计的，如今已被各领域的企业所采用。 通过启用设备模式，组织可以通过实施以下限制来实现对其网络和applications的更大控制：

• 删除对 bash shell 的访问权限。
• 限制对配置工具和 TMSH 的管理访问。 管理员可以使用这些分层的命令行实用程序轻松管理和配置 BIG-IP 系统，并查看统计数据和性能数据。
• 禁用 root 登录以防止 root 用户通过任何方式登录设备，包括串行控制台。
• 加强根账户主目录 (/root) 中大量文件和目录的文件权限。 默认情况下，新文件仅用户可读和可写，并且所有目录都更加安全。
• 防止为 BIG-IP 系统提供无人值守管理的 Always-On Management (AOM) 子系统访问主机。 AOM 只能使用硬件重置命令重置主机。

需要注意的一点是，一旦启用设备模式，就无法禁用；相反，组织必须获得新的许可证并执行软件的全新安装。 管理员可以从 BIG-IP GUI 的配置工具中的许可证屏幕验证设备是否在设备模式下运行。

SSL 私钥是网络中最有价值的资产之一，许多组织都有严格要求，即密钥的安全性要高于简单的文件系统保护。 所有 F5 硬件设备上均提供安全保险库功能，该功能使用存储在硬件锁中的主密钥保护 SSL 私钥，这样，即使 SSL 私钥文件从受损的备份服务器或恶意软件感染中恢复，攻击者也无法使用。

每个 BIG-IP 设备都带有一个唯一的单元密钥和一个共享主密钥，它们都是 AES 256 对称密钥。 唯一的单元密钥存储在每个物理设备上定制的硬件 EEPROM 中。 该单元密钥加密主密钥，主密钥又加密 SSL 私钥、解密 SSL 密钥文件并在 BIG-IP 设备之间同步证书。 主密钥遵循高可用性 (HA) 配置中的配置，因此所有单元将共享相同的主密钥，但仍拥有自己的单元密钥。 主密钥使用证书管理器建立的安全通道进行同步。 主密钥加密的密码不能在除生成主密钥的单元之外的系统上使用。

vCMP（虚拟集群多处理）客户端还可以使用安全保险库支持。vCMP 允许在一台设备上运行多个 BIG-IP 软件实例，每个客户端都有自己的单元密钥和主密钥。 客户单元密钥在主机上生成并存储，从而强制执行硬件支持，并且受主机主密钥的保护，而主机主密钥又受硬件中的主机单元密钥的保护。

安全增强型 Linux (SELinux) 既可用于 F5 开发流程，也可用于客户生产环境，它简化了负责执行安全策略的软件数量，并允许将安全决策的执行与安全策略本身分开。 例如，SELinux 配置文件可以指示 TMOS 内核禁止特定进程执行 bash shell，从而保护系统免受 Shellshock 等漏洞的攻击，这些漏洞可能允许攻击者控制 Web 服务器或路由器。

SELinux 还通过提供强制访问控制 (MAC) 来补充 Linux 自主访问控制 (DAC) 系统，从而提高了安全性。 MAC 由主体上的用户、角色、域标签，客体的资源标签，以及策略定义的主体与客体之间的关系组成。 SELinux 控制限制用户程序和系统服务器对文件和网络资源的访问。 将权限限制为工作所需的最低限度会降低或消除这些程序和守护进程因缓冲区溢出或错误配置等未知漏洞而造成危害的能力。 由于 MAC 独立于 Linux（自主）控制机制运行，没有 root 超级用户的概念，因此不存在传统 Linux DAC 系统众所周知的缺点。

联邦和金融部门行业 (FSI) 组织还需遵守额外法规，要求获得通用标准和 FIPS 140-2 等安全认证。 这些以及其他美国和全球安全认证确保认证产品符合身份验证、审计、加密、管理和安全通信等领域的标准。 认证标准和要求随着安全世界的变化而变化和发展；因此，大多数认证都是针对特定产品版本的。

F5 紧跟安全变化、最佳实践和不断发展的标准，参加国际加密模块会议 (ICMC) 和国际通用标准会议 (ICCC)，为组织提供强大的安全性和简化的合规性。 美国国家标准与技术研究院 (NIST) 加密模块验证计划 (CMVP) 推动了 F5 加密技术的发展路线图。

许多 F5 产品已通过通用标准认证，这是全球各地政府机构和公司使用的全球保证认证。 26 个国家签署了《相互承认协议》，该协议有效地确保了产品一旦获得认证，便可以在任何或所有签署国以认证形式进行销售。

联邦信息处理标准 (FIPS) 由 NIST 制定，被美国政府机构和政府承包商在非军事计算机系统中使用。 FIPS 140 系列是美国政府计算机安全标准，定义了美国联邦政府各部门和机构使用的加密模块（包括硬件和软件组件）的要求。

符合 FIPS 140-2 标准的 F5 产品使用经 FIPS 140-2 认证的硬件安全模块 (HSM) 来满足合规性要求。 HSM 是一种安全的物理设备，旨在生成、存储和保护数字、高价值加密密钥。 它是一种安全的加密处理器，通常以插入卡（或其他硬件）的形式出现，内置有防篡改保护功能。 BIG-IP 系统包括 FIPS 加密/SSL 加速器 - 一种 HSM 选项，专为在需要符合 FIPS 140-1 2 级解决方案的环境中处理 SSL 流量而设计。

F5 BIG-IP 设备符合 FIPS 140-2 2 级标准。 此安全等级表明，一旦敏感数据被导入 HSM，该平台就会采用加密技术来确保数据不能以纯文本格式提取。 BIG-IP 设备还提供防篡改涂层或密封，以防止物理篡改。 BIG-IP 平台独特的密钥管理框架可实现高度可扩展的安全基础设施，该基础设施可以处理更高的流量水平，并且组织可以轻松添加新服务。

此外，FIPS 加密/SSL 加速器使用智能卡来验证管理员身份、授予访问权限并共享管理责任，从而提供灵活、安全的方法来实施密钥管理安全。

DoS 攻击是一种试图使机器或网络资源无法供目标用户使用，从而暂时或无限期地中断或暂停连接到 Internet 的主机的服务。 分布式拒绝服务 (DDoS) 攻击来自具有多个（通常是数千个）唯一 IP 地址的攻击源。

F5 架构师已经开发了多种策略来防止和减轻 DoS 攻击。 开发团队已经发布了功能并提交了技术专利，以保护企业数据并为application的基本元素（网络、DNS、SSL 和 HTTP）提供安全性。 软件功能提供广泛的保护，例如限制各种类型请求的速率、确定是否有太多数据包或谁发起了请求、提供启发式方法以及防止欺骗。

BIG-IP 平台利用智能流量管理和application交付的内在安全功能，即使在最苛刻的条件下也能保护组织的网络和应用基础设施并确保其可用性。

虽然针对网络、applications和数据的攻击持续增加，但依赖 BIG-IP 平台的组织可以对其系统的安全性充满信心，以保护其最宝贵的资产。

F5 通过其严格的安全软件开发生命周期流程确保 BIG-IP 平台的安全性，该流程旨在在产品发布之前发现并修复漏洞。 此外，BIG-IP 平台还具有多项关键安全功能（例如设备模式、安全保险库、SELinux、安全认证和 DoS 保护），有助于确保关键applications和企业数据的完整性。

安全威胁的数量和复杂性必将继续发展。 同时，F5 将继续设计专门的安全解决方案，帮助组织预防、缓解和应对攻击，同时维护其声誉并保护其业务。