Esta seção abrange as configurações de segurança definidas para o Unified Access Gateway.
A tabela a seguir lista a configuração de TLS para a porta HTTP 443 principal do Unified Access Gateway no padrão (não FIPS) Unified Access Gateway. A versão FIPS do Unified Access Gateway usa um conjunto mais limitado de codificações e versões TLS. As configurações de TLS são definidas nas Configurações do Sistema e são aplicáveis ao serviço do Horizon Edge e ao serviço de Borda do Proxy Reverso da Web.
Versões do TLS | Codificações TLS | Curvas Elípticas TLS/Grupos Nomeados | Certificados de servidor TLS |
---|---|---|---|
O Unified Access Gateway é compatível com as versões a seguir do TLS na interface HTTPS 443.
O padrão é para suporte somente do |
O Unified Access Gateway oferece suporte às codificações TLS padrão a seguir na interface HTTPS 443. A lista de criptografia é configurável. TLS 1.3
TLS 1.2
|
P-256 (secp256r1) (256 bits)
X25519 (253 bits) |
Por padrão, o Unified Access Gateway gerará certificados de servidor SSL autoassinados. A VMware recomenda enfaticamente substituí-los por certificados assinados pela Autoridade de Certificação (CA) confiável apropriados ao ambiente de produção. Os certificados assinados pela CA confiável podem ser especificados durante a implantação do Unified Access Gateway. |
SSH
Por padrão, o acesso do console raiz ao Unified Access Gateway usando o protocolo SSH está desativado. Você pode ativar o acesso ao SSH usando o acesso à senha, as chaves SSH ou ambas. Se necessário, pode ser limitado ao acesso em NICs individuais.
Restringindo o acesso SSH a NICs específicas, também é possível usar um jumpbox e garantir acesso limitado a esse jumpbox.
Conformidade
Guias de Implementação Técnica de Segurança (STIGs)
O Unified Access Gateway é compatível com as definições de configuração para permitir que o Unified Access Gateway esteja em conformidade com o Photon 3 DISA STIG. Para essa conformidade, a versão FIPS do Unified Access Gateway deve ser usada, e definições de configuração específicas são aplicadas no momento da implantação.
Diretrizes de NIAP CSfC para Unified Access Gateway quando usadas com o Horizon
A National Security Agency (NSA) dos EUA desenvolveu, aprovou e publicou especificações de nível de solução chamadas Capability Packages (CPs). Além dos CPs, a National Security Agency e a National Information Assurance Partnership (NIAP) trabalham com comunidades técnicas de vários setores, governos e instituições acadêmicas para desenvolver, manter e publicar requisitos de segurança em nível de produto chamados Protection Profiles (PPs).
O Programa de Soluções Comerciais para Classificados (CSfC) da NSA/CSS (Serviço de Segurança Central) foi estabelecido para permitir que produtos comerciais sejam usados em soluções em camadas que protegem dados classificados de Sistemas de Segurança Nacionais (NSS).
O Unified Access Gateway com o Horizon é compatível com NIAP/CSfC e usa as Seleções de CSfC para Servidores Protegidos de TLS (Transport Layer Security). Essa validação requer uma configuração específica no appliance do Unified Access Gateway que é necessário para a operação NIAP/CSfC.
Conformidade com o FedRAMP
O FedRAMP (Federal Risk and Management Program) é um programa de gerenciamento de risco de segurança cibernética para o uso de produtos e serviços em nuvem usados por agências federais dos EUA. O FedRAMP usa as diretrizes e procedimentos do NIST (National Institute of Standards and Technology's) para fornecer requisitos de segurança padronizados para serviços em nuvem. Especificamente, o FedRAMP utiliza a Publicação Especial [SP] 800-53 do NIST: Controles de segurança e privacidade para séries federais de sistemas de informações e organizações, as linhas de base e os casos de teste.