O FedRAMP (Federal Risk and Management Program) é um programa de gerenciamento de risco de segurança cibernética para o uso de produtos e serviços em nuvem usados por agências federais dos EUA.

O FedRAMP usa as diretrizes e procedimentos do NIST (National Institute of Standards and Technology's) para fornecer requisitos de segurança padronizados para serviços em nuvem. Além disso, o FedRAMP aproveita a Publicação Especial [SP] 800-53 do NIST: Controles de segurança e privacidade para séries federais de sistemas de informações e organizações, linhas de base e casos de teste.

A VMware busca a conformidade e a certificação do FedRAMP do Unified Access Gateway com o Horizon no Azure GovCloud. Isso requer uma configuração específica.

Pré-requisitos

  • Imagem do dispositivo de artefato de compilação FIPS Unified Access Gateway 2207 ou posterior usada para implantação.
  • O repositório espelhado de pacotes no limite do FedRAMP para conter pacotes do Photon OS com atualizações de segurança para a aplicação de correções de segurança periódicas no dispositivo do Unified Access Gateway.
  • Servidor de syslog para encaminhar eventos de auditoria do Unified Access Gateway.
  • Servidores NTP para configurar a sincronização de hora no Unified Access Gateway.
  • Configuração do provedor de identidade com suporte à autenticação SAML.
  • VMware Horizon Cloud for Azure GovCloud.

Implante a versão FIPS do Unified Access Gateway 2207 ou posterior no Azure GovCloud com as seguintes configurações.

  1. Defina as configurações de reforço do sistema operacional especificadas no Diretrizes de Conformidade DISA STIG OS para Unified Access Gateway.
  2. Configure os seguintes parâmetros com base no requisito.
    Parâmetro Descrição
    sshKeyAccessEnabled Defina como true para ativar o acesso SSH usando o keypair.

    O valor padrão é false.

    sshPublicKey1

    (sshPublicKey2,..)

    		 Configure a chave pública SSH usada para fazer login no SSH se o acesso baseado em chave SSH estiver ativado.
    osLoginUsername Digite o nome de usuário não raiz com alto privilégio para fazer login no console do SO do Unified Access Gateway.

    Por padrão, o login raiz é compatível.
    osMaxLoginLimit Digite o máximo de sessões simultâneas permitidas de login de um usuário não raiz, se configurado.
  3. Configure os certificados de servidor TLS para Unified Access Gateway com o tamanho de chave RSA de 2048 ou superior. Consulte a seção [SSLCert] no exemplo de INI em Usando o PowerShell para implementar o appliance do Unified Access Gateway.
  4. Defina as configurações automatizadas de atualização de pacotes para baixar e aplicar as atualizações de segurança no repositório de pacotes mantido no limite do FedRAMP. Consulte a seção Configurar o Unified Access Gateway para aplicar automaticamente atualizações de SO autorizadas e [PackageUpdates] no exemplo INI em Usar o PowerShell para implantar o Appliance do Unified Access Gateway.
  5. Configure o serviço de borda do Horizon com as configurações de método de autenticação necessárias, como SAML. Para obter mais informações, consulte Configurando o Horizon para o Unified Access Gateway e a integração do provedor de identidade de terceiros.