Esta seção abrange as configurações de segurança definidas para o Unified Access Gateway.

A tabela a seguir lista a configuração de TLS para a porta HTTP 443 principal do Unified Access Gateway no padrão (não FIPS) Unified Access Gateway. A versão FIPS do Unified Access Gateway usa um conjunto mais limitado de codificações e versões TLS. As configurações de TLS são definidas nas Configurações do Sistema e são aplicáveis ao serviço do Horizon Edge e ao serviço de Borda do Proxy Reverso da Web.

Observação: As configurações de TLS para os serviços VMware Tunnel, Content Gateway e Secure Email Gateway Edge são definidas separadamente no Workspace ONE UEM Console.
Tabela 1. Configuração TLS para porta HTTP 443 do Unified Access Gateway
Versões do TLS Codificações TLS Curvas Elípticas TLS/Grupos Nomeados Certificados de servidor TLS

O Unified Access Gateway é compatível com as versões a seguir do TLS na interface HTTPS 443.

  • TLS 1.3
  • TLS 1.2
  • TLS 1.1
  • TLS 1.0

O padrão é para suporte somente do TLS 1.3 e do TLS 1.2. A VMware recomenda ativar outras versões somente se necessário.

O Unified Access Gateway oferece suporte às codificações TLS padrão a seguir na interface HTTPS 443. A lista de criptografia é configurável.

TLS 1.3

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
P-256 (secp256r1) (256 bits)

P-384 (secp384r1) (384 bits)

P-521 (secp521r1) (521 bits)

X25519 (253 bits)
Por padrão, o Unified Access Gateway gerará certificados de servidor SSL autoassinados. A VMware recomenda enfaticamente substituí-los por certificados assinados pela Autoridade de Certificação (CA) confiável apropriados ao ambiente de produção. Os certificados assinados pela CA confiável podem ser especificados durante a implantação do Unified Access Gateway.

SSH

Por padrão, o acesso do console raiz ao Unified Access Gateway usando o protocolo SSH está desativado. Você pode ativar o acesso ao SSH usando o acesso à senha, as chaves SSH ou ambas. Se necessário, pode ser limitado ao acesso em NICs individuais.

Restringindo o acesso SSH a NICs específicas, também é possível usar um jumpbox e garantir acesso limitado a esse jumpbox.

Conformidade

Guias de Implementação Técnica de Segurança (STIGs)

O Unified Access Gateway é compatível com as definições de configuração para permitir que o Unified Access Gateway esteja em conformidade com o Photon 3 DISA STIG. Para essa conformidade, a versão FIPS do Unified Access Gateway deve ser usada, e definições de configuração específicas são aplicadas no momento da implantação.

Diretrizes de NIAP CSfC para Unified Access Gateway quando usadas com o Horizon

A National Security Agency (NSA) dos EUA desenvolveu, aprovou e publicou especificações de nível de solução chamadas Capability Packages (CPs). Além dos CPs, a National Security Agency e a National Information Assurance Partnership (NIAP) trabalham com comunidades técnicas de vários setores, governos e instituições acadêmicas para desenvolver, manter e publicar requisitos de segurança em nível de produto chamados Protection Profiles (PPs).

O Programa de Soluções Comerciais para Classificados (CSfC) da NSA/CSS (Serviço de Segurança Central) foi estabelecido para permitir que produtos comerciais sejam usados em soluções em camadas que protegem dados classificados de Sistemas de Segurança Nacionais (NSS).

O Unified Access Gateway com o Horizon é compatível com NIAP/CSfC e usa as Seleções de CSfC para Servidores Protegidos de TLS (Transport Layer Security). Essa validação requer uma configuração específica no appliance do Unified Access Gateway que é necessário para a operação NIAP/CSfC.

Conformidade com o FedRAMP

O FedRAMP (Federal Risk and Management Program) é um programa de gerenciamento de risco de segurança cibernética para o uso de produtos e serviços em nuvem usados por agências federais dos EUA. O FedRAMP usa as diretrizes e procedimentos do NIST (National Institute of Standards and Technology's) para fornecer requisitos de segurança padronizados para serviços em nuvem. Especificamente, o FedRAMP utiliza a Publicação Especial [SP] 800-53 do NIST: Controles de segurança e privacidade para séries federais de sistemas de informações e organizações, as linhas de base e os casos de teste.