Voltar

Como o hardware pode melhorar a segurança de aplicativos

22/01/2019

Nos últimos cinco anos, uma das principais preocupações da maioria das organizações, grandes ou pequenas, é a segurança. Grande parte da atenção dos últimos tem se concentrado na segurança da nuvem pública, já que as empresas migram aplicativos ou criam aplicativos nativos da nuvem. Muitos aplicativos importantes, no entanto, ainda residem em centros de dados privados e serão para o futuro previsível. Como resultado, as empresas também devem permanecer vigilantes em relação à infra-estrutura e hardware próprios.

Um artigo recente da Bloomberg trouxe maior atenção a tipos sem fio de hacks de cadeias de suprimento, onde terceiros interceptaram equipamentos de rede com a finalidade de adulterar, espionar ou comprometer dados, e destaca esse ponto.

Embora adulterar o hardware normalmente não seja o ponto de entrada para ataques de aplicativos, pode ser definitivamente uma maneira simples de passar despercebido. Em suma, não há parte de um sistema hoje - de hardware a software - que não esteja sujeito a algum tipo de ameaça, e é por isso que é extremamente importante que as empresas garantam a proteção de seus sistemas de todos os ângulos possíveis. Além disso, o uso crescente de subsistemas fabricados por terceiros ao longo da última década aumenta a possibilidade de um hack da cadeia de suprimentos que afeta todo o hardware em nível de placa. As organizações estão (e deveriam estar) fazendo as perguntas: os fornecedores de hardware estão confiando em seu próprio hardware ou de outra pessoa? E o que isso significa para a segurança dos aplicativos?

Nesta fase, vou fazer uma pausa para fazer dois pontos-chave:

Na F5, possuímos 100% dos nossos processos de teste de projeto e fabricação de hardware, os quais controlamos rigidamente.
Toda a equipe da F5 trabalha incansavelmente para melhorar o hardware e o software.
Fornecendo melhor segurança de hardware durante a fabricação
Enquanto a F5 está sediada em Seattle, Washington, todos os aspectos de nosso projeto e desenvolvimento de hardware ocorrem em uma instalação segura da empresa em todo o estado de Spokane. Nascida de um desejo de desenvolver hardware dedicado para alimentar nossa plataforma BIG-IP , isso nos permite garantir diretamente a segurança de nosso hardware e proteger contra ataques semeados. Dentro do site, a F5 mantém um rígido controle sobre o processo de fabricação e teste, desde o projeto inicial no software CAD, passando pela fabricação de placa de circuito impresso (PCB) e finalmente através de montagem de circuito impresso (PCA), quando componentes reais são soldados o PCB.

Na F5, um grande passo que tomamos para garantir proteção e privacidade é que não apenas possuímos nossos projetos de produtos e controlamos todos os aspectos de testes em nossas instalações de fabricantes contratados, mas a equipe de TI da F5 também possui e gerencia a infraestrutura em que nossos testes são executados. Para entender o valor desse controle sobre o processo de fabricação, precisamos primeiro falar muito rapidamente sobre como nosso hardware é fabricado e desenvolvido. Em primeiro lugar, o projeto é feito em software CAD que gera Gerber Data, uma imagem vetorial da placa. Em seguida, uma placa de circuito impresso (PCB) é fabricada a partir desses dados em um fornecedor diferente do nosso fabricante contratado. Depois disso, uma montagem de circuito impresso (PCA) é montada, onde os componentes reais (CPU, memória, CIs, transistores, etc.) são soldados na PCB. Além disso, usamos uma combinação de processos de validação, chamado inspeção AOI (Automated Optical Inspection) e 5DX - AXI (raios X), para encontrar quaisquer problemas que possam afetar a qualidade e a integridade do sistema. Isso inclui a identificação de qualquer elemento que não faça parte do projeto original do produto sob o controle da F5.

Garantindo a segurança de hardware através de software
Maior confiança e confiança na segurança do hardware também pode ser obtida através da inovação de software. Um exemplo é demonstrado em nosso lançamento da capacidade de detecção de violação: “Cadeia de custódia do TPM”. Esse é um recurso do nosso hardware que garante que o firmware instalado no hardware F5 seja realmente fabricado pela F5 e não tenha sido adulterado. para melhor proteger contra ataques intercedidos. Esse recurso funciona comparando as várias camadas de firmware "medidas" (por um processo semelhante a uma soma de verificação em pacotes) na inicialização com relação aos valores validados conhecidos estabelecidos durante o processo de fabricação da F5. Essa comparação de inicialização do sistema é chamada de atestado.

Em nossa versão anterior do software BIG-IP, o BIG-IP v14.0, F5 anunciou o Atestado local baseado em TPM , que é um método automatizado para comparar os valores determinados pela F5 com os valores atuais do hardware / software medidos na inicialização tempo (durante a inicialização). Isso significa que, durante a sequência de inicialização BIG-IP, o atestado local compara automaticamente os valores de segurança de inicialização atuais de vários componentes da pilha de software com os valores conhecidos da F5, oferecendo aos clientes alta confiança de que o sistema é uma versão não controlada fabricada pela F5. Esse recurso libera nossos clientes de executarem manualmente a ação, o que libera recursos e tempo, além de reduzir os custos gerais indiretos.

Com o recém-lançado BIG-IP v14.1, a F5 aprimorou nossa implementação e está muito animada em anunciar a disponibilidade geral do Remote Attestation for TPM Chain of Custody . A principal característica diferenciadora é que a F5 agora pode comparar os valores de inicialização atuais do firmware da F5 com os valores conhecidos da F5 fazendo interface com a iHealth. O iHealth é controlado e protegido pelo F5 centralmente, tornando-o melhor do que validando localmente. Uma vez que a plataforma iHealth verifica os valores do equipamento em seu registro, ele volta para o sistema BIG-IP sobre se o TPM é válido ou não, fornecendo aos clientes validação sobre a autenticidade de seu dispositivo F5 para evitar ataques baseados em hardware e firmware.

Por: ANKITA BHALLA - FORTINET