Blog

Zaštite svoje aplikacije uz F5 BIG-IP i Thales Luna HSM

Digitalna transformacija je trend koji zahvaća sve veći broj organizacija neovisno o djelatnosti na koju su fokusirane što dovodi do povećanja broja aplikacija koje se putem mreže isporučuju. Prekid rada i neodazivnost takvih aplikacija dovode do nezadovoljstva korisnika i u konačnici financijskog gubitka stoga je neophodno osigurati resurse i njihovu dostupnost.

Tvrtka F5 se fokusira upravo na rješenja koja korisnicima osiguravaju dostupnost, skalabilnost i sigurnost web aplikacija, dok Safenet Luna Network HSM pruža dodatni sloj za potpunu zaštitu SSL/TLS prometa. F5 platforma dizajnirana je specifično za performanse dostavljanja i skalabilnost web aplikacija. F5 uređaj može istovremeno biti konfiguriran za balansiranje opterećenja servera, balansiranje opterećenja globalnog podatkovnog centra, DNS usluge, firewall za web aplikacije, upravljanje pristupom internim aplikacijama, upravljanje TLS kriptiranim prometom, optimizaciju web performansi i WAN optimizaciju. Mehanizmi poput hardverskog ubrzanja SSL protokola, hardverske kompresije i procesiranja u više jezgrenom okruženju omogućuje dostavu i najzahtjevnijeg aplikativnog prometa. Thales LUNA Network HSM se može integrirati s F5 BIG-IP Load Balancerom, uređajem za dostupnost aplikacija u bilo kojem trenutku, bilo gdje, bez obzira koji uređaj koristili te F5 BIG-IP Access Policy Managerom, rješenjem za jedinstveni globalni pristup poslovnim aplikacijama i mreži.

Sad kad smo osigurali dostupnost i pristup aplikacijama, postavljaju se dodatna sigurnosna pitanja, a jedno od njih je svakako zaštita SSL/TLS prometa. U zadnjih nekoliko godina bili smo svjedocima nekoliko ozbiljnih sigurnosnih proboja, a među najpoznatijima je Heartbleed OpenSSL Vulnerability iz 2014. godine. Heartbleed je u suštini otkrivao sadržaj memorije servera neovlaštenim stranama na način da bi nakon što bi napadač poslao upit za sadržaj memorije, server poslao odgovor s full dumpom svega što se nalazilo u RAM-u na način da je moguće doći i do privatnih kripto ključeva korištenih OpenSSLu.

Kako bi se osigurali da nam ovakvi incidenti ne mogu naštetiti i dovesti do gubitka osjetljivih podataka, bitno je privatne ključeve pohraniti na sigurno mjesto, a najbolji način za to je HSM, uređaj namijenjen čuvanju i managementu digitalnih ključeva i pružanju kriptografskih funkcija.

HSM donosi i dodatne prednosti poput:

  • Zadovoljavanje formalne zakonske regulative i certifikacije
  • Potreba za najvišim stupnjem sigurnosti
  • Grupiranje i fizička zaštita privatnih ključeva
  • Alarmiranje i detekcija u slučaju neovlaštenog pristupa (fizičkog i mrežnog)

 

Kako bi vam približili koliko je jednostavna integracija, napravili smo primjer integracije F5 BIG-IPa i Thales Luna HSMa.

 

Što se HSMova tiče, korisnik može odabrati između on premise opcije (SafeNet Luna HSM) ili HSM as a service opcije (SafeNet Data Protection On Demand (DPOD)).

SafeNet Luna HSM uređaji su namjenski dizajnirani da omoguće balans sigurnosti, visokih performansi, upotrebljivosti što ih čini idealnim izborom za enterprise, financijske i vladine organizacije. Luna Network HSM fizički i logički osigurava kriptografske ključeve i akcelerira kriptografsko procesiranje.

SafeNet Data Protection On Demand (DPOD) je cloud bazirana platforma koja pruža HSM i Key Management servise pomoću jednostavnog grafičkog korisničkog sučelja. DPOD ima jednostavnu sigurnost, povoljan omjer cijene i vrijednosti, jednostavan management zato jer nema fizičkih uređaja i povezanih troškova uz kupnju hardvera, instalaciju i održavanje. Kao vlasnik aplikacije, klikom stvaramo servise, generiramo izvješća i održavamo servise po potrebi.

 Preduvjeti za integraciju:

  • Provjera kompatibilnih verzija: F5-safenet-hsm-version-interoperability-matrix
  • Luna HSM instaliran na mreži
  • Luna HSM i BIG-IP mogu međusobno komunicirati.
  • HSM particija na Luna HSM-u
  • BIG-IP licenca  za HSM (External Interface and Network HSM)
  • Luna client licenca za Luna HSM

Napomene:

  • BIG-IP u appliance modu ne podržava instalaciju/deinstalaciju Luna HSMa, iz TMSH-a nije moguće pokrenuti instalaciju Luna HSM-
  • BIG-IP je testiran s Luna klijentima u HA i FIPS modovima.

Konfiguracija SafeNet Luna HSM-a:

  • Osigurajte da je HSM konfiguriran, inicijaliziran i spreman za povezivanje
  • Kreirajte particiju na HSMu za integraciju s BIG-IPom

Instalacija i konfiguracija Luna klijenta na F5 BIG-IP

Da bi Luna HSM mogao komunicirati s BIG-IP-om potrebno je instalirati Luna klijent aplikaciju na BIG-IP.

Skinite klijentski software (Luna_7.1_Client_Software.tar) s Thales/Gemalto Customer Support Portala KB0017363

Kreirajte direktorij safenet_install  u direktoriju /shared

F5(Bash):mkdir /shared/safenet_install

Kopirajte(npr. scp, WinSCP…) Luna_7.1_Client_Software.tar u  /shared/safenet_install/

scp -p Luna_7.1_Client_Software.tar admin@192.168.1.230:/var/tmp/Luna_7.1_Client_Software.tar

F5(bash):cp /var/tmp/Luna_7.1_Client_Software.tar /shared/safenet_install/

Pokrenite instalacijsku skriptu

F5(Bash): nethsm-safenet-install.sh –hsm_ip_addr=10.10.10.10 –image=Luna_7.1_Client_Software.tar –hsm_partition_name=P02demo –ip_addr=192.168.1.230 –hsm_partition_pwd=COpassword

Admin password je SSH Luna appliance password koji je korišten prilikom SSH logina na Lunu

Kada skripta zatraži:

“On SafeNet HSM at “10.10.10.10”, please configure a client for the client IP address “192.168.1.230” and assign a partition to that client.Once complete, please press any key to continue”.

Registrirajte klijent na Luni i povežite particiju
Lunash: client reg -c 192.168.1.230 -h 192.168.1.230
Lunash: client a -c 192.168.1.230 -p P02demo

Ako se ponavlja skripta zbog prekida, potrebno je obrisati prethodne pokušaje(registraciju klijenta i servera):
F5(Bash): vtl deleteserver -n 10.10.10.10
Lunash: client d -c 192.168.1.230

 

Generiranje ključa/certifikata

Nakon što smo uspostavili vezu između BIG-IP i Luna HSMa, možemo generirati ključeve/certifikate

CLI

F5(Bash): tmsh -a create sys crypto key key_new1 gen-certificate common-name test_new1.com security-type nethsm

 

Verifikacija generiranog ključa

F5(Bash): tmsh -a list sys crypto key key_new1

sys crypto key key_new1 {
key-id ae014a87c64924466bd45c4dfed97b78
key-size 2048
key-type rsa-private
nethsm-partition auto
security-type nethsm
}

 

Na Luni se povećava broj objekata nakon generacije ključa

Lunash:>partition s

   Partition Name:  P01
   Partition SN: 1374217423956
   Partition Label: P01
   Partition SO     PIN To Be Changed: no
  Partition SO     Zeroized: no
   Partition SO     Login Attempts Left: 10
   Crypto Officer   PIN To Be Changed: no
   Crypto Officer   Locked Out: no
   Crypto Officer   Login Attempts Left: 10
   Crypto User      PIN To Be Changed: no
   Crypto User      Locked Out: no
   Crypto User      Login Attempts Left: 10
   Legacy Domain Has Been Set: no
   Partition Storage Information (Bytes): Total=409782,
Used=5544,
Free=404238
   Partition Object Count: 4<-nakon generacije ključa +1

 

 Generiranje ključa/certifikata kroz Web GUI:

System > Certificate Management > Traffic Certificate Management

TLS handshake uz upotrebu HSMa najbolje prikazuje donja slika. Sve operacije s privatnim ključem obavljaju se isključivo unutar sigurnosti HSMa . Odnosno, ako klijent treba operaciju s privatnim ključem, BIG-IP LTM šalje zahtjev HSMu.

Thales i F5 udružili su snage da osiguraju i optimiziraju isporuku korporativnih aplikacija. Uz Safenet Luna Network HSMove, organizacije mogu biti sigurne da su informacije koje prolaze kroz BIG-IP upravljanu mrežu kriptirane i zaštićene od neautoriziranih korisnika.

Bez obzira na cilj napada, da li je to uskraćivanje resursa ili krađa povjerljivih podataka, BIG-IP/SafeNet Luna Network HSM rješenje pruža visoke performanse, robustan je i pouzdan odgovor za administratore.

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!