Esta seção aborda perguntas e respostas relacionadas à segurança para o VMware Unified Access Gateway.
Posso instalar agentes de terceiros e/ou software antivírus no Unified Access Gateway?
Não. Software antivírus ou agentes de terceiros não são necessários em um dispositivo Unified Access Gateway e o uso de tal software não tem suporte e se aplica a todos os dispositivos virtuais da marca VMware. Para obter mais informações, consulte https://kb.vmware.com/s/article/80767 e https://kb.vmware.com/s/article/2090839.
O Unified Access Gateway é afetado pelo CVE-XXX-XXXX?
O Unified Access Gateway aproveita a digitalização de códigos líderes do setor, análise de composição de software e ferramentas de verificação de vulnerabilidades e monitora feeds do setor para possíveis vulnerabilidades recém-identificadas. Se forem detectadas vulnerabilidades, elas serão abordadas de acordo com a Política de Resposta de Segurança da VMware.
Se necessário, os clientes podem ser notificados de acordo com as práticas de divulgação responsável por meio de um VMware Security Advisory (VMSA). Você pode assinar para ser notificado sobre avisos publicados recentemente em https://www.vmware.com/security/advisories.html. Você é incentivado a aplicar as atualizações do produto regularmente para se beneficiar das mais recentes melhorias de segurança, confiabilidade e recursos.
Para obter mais informações sobre versões do Unified Access Gateway, consulte Atualizações do Produto.
É inevitável que, após os dispositivos virtuais VMware, como Unified Access Gateway, serem lançados pela VMware, atualizações de segurança do Photon fiquem disponíveis entre as datas de lançamento. A gravidade dessas atualizações de segurança é genérica e, em geral, não afeta a segurança do Unified Access Gateway em si. Isso pode ocorrer porque o Unified Access Gateway não usa o componente afetado ou porque a vulnerabilidade está em uma função do componente à qual o Unified Access Gateway não oferece suporte. A execução de atualizações dinâmicas não autorizadas desses componentes do Photon pode desestabilizar o dispositivo e introduzir uma nova vulnerabilidade que não pode ser detectada nos testes anteriores ao lançamento.
Os dispositivos da VMware são exaustivamente testados e qualificados com base nos componentes e versões incluídos na versão original. Portanto, a atualização ou a alteração de quaisquer componentes em um dispositivo virtual pode resultar em comportamento inesperado do sistema e, assim, atualizações não autorizadas não têm suporte.
De forma consistente com outros dispositivos virtuais da marca VMware, a VMware não oferece suporte a nenhuma modificação ou personalização do sistema operacional subjacente e dos pacotes incluídos em um dispositivo virtual da marca VMware. Isso inclui adicionar, atualizar ou remover pacotes e usar scripts personalizados no sistema operacional do dispositivo. Para obter mais informações sobre a política da VMware para dispositivos virtuais, consulte https://kb.vmware.com/s/article/2090839.
Se uma vulnerabilidade de segurança for identificada por VMware, por um cliente ou por qualquer outra pessoa, há uma política definida para relatar isso e para a resposta do VMware com base na gravidade aplicada ao produto específico. Para obter mais informações, consulte Política de Resposta de Segurança.
Uma vulnerabilidade de segurança crítica em um componente Photon que não é usado pelo Unified Access Gateway ou não se aplica a qualquer funcionalidade do Unified Access Gateway não tem significância de segurança e, portanto, não é crítica no contexto do Unified Access Gateway.
Se uma vulnerabilidade de segurança crítica for determinada para afetar o Unified Access Gateway, a VMware poderá lançar uma versão corrigida do dispositivo, além de fornecer a atualização na próxima versão trimestral. Isso pode ser para um problema crítico que se aplica ao Unified Access Gateway para o qual não há solução alternativa. A VMware publica avisos de segurança de tempos em tempos para comunicar tais vulnerabilidades.
Com que frequência a VMware lançará novas versões do Unified Access Gateway?
Para obter mais informações, consulte Atualizações do Produto.
Quando as atualizações do pacote do Photon são aplicadas ao Unified Access Gateway?
Cada versão planejada do Unified Access Gateway contém versões atualizadas do Photon e Java determinadas no momento em que o dispositivo virtual é criado. Normalmente, são cerca de duas semanas antes da data de Disponibilidade Geral (GA), para dar oportunidade à qualificação final entre equipes e segurança interfuncional, a fim de garantir que as combinações de versão do pacote funcionem corretamente juntas. Os pacotes do Photon são atualizados mesmo que a atualização tenha sido para resolver uma vulnerabilidade que não se aplica ao Unified Access Gateway.
Existe um mecanismo com o Unified Access Gateway para baixar e aplicar automaticamente atualizações críticas de vulnerabilidade do Photon?
Sim. Esse recurso foi adicionado com a versão 2009. Ocasionalmente, a VMware pode autorizar a atualização de um ou mais pacotes de SO para corrigir uma vulnerabilidade crítica que afeta uma versão específica do Unified Access Gateway e para a qual nenhuma solução alternativa viável está disponível. A partir do Unified Access Gateway versão 2009, um novo recurso está disponível para o administrador configurar uma verificação automática para quaisquer atualizações de pacotes autorizadas. Para obter mais informações, consulte a seção Configurar Verificação Automática, em Atualizações do Produto.
Se um verificador relata um pacote Photon desatualizado, isso significa que o Unified Access Gateway está vulnerável?
Às vezes, um relatório de digitalização pode indicar uma vulnerabilidade, mas, na maioria das vezes, um relatório sobre uma versão mais recente do pacote disponível não é aplicável ao Unified Access Gateway. Isso pode ocorrer porque a ação corretiva para mitigar a vulnerabilidade já foi aplicada ou a vulnerabilidade está em um componente não usado ou ativado pelo Unified Access Gateway. Os verificadores de vulnerabilidade podem ser propensos a falsos positivos, mesmo que estejam configurados corretamente e sejam mantidos atualizados.
Se houver um relatório de digitalização de vulnerabilidade que seja "falso positivo", a aplicação da atualização do pacote para esse pacote tornará o Unified Access Gateway mais seguro?
Aplicar a atualização do pacote nesses casos não faria diferença, pois o Unified Access Gateway não é vulnerável com "falsos positivos", de qualquer forma. A VMware não oferece suporte à aplicação de atualizações de pacote a dispositivos virtuais da marca VMware. Atualizar ou alterar qualquer componente pode resultar em um comportamento inesperado do sistema.
Por que a VMware oferece suporte à modificação/atualização de pacotes Photon em dispositivos virtuais da VMware com identidade visual?
- Isso pode resultar em um comportamento inesperado do sistema devido a incompatibilidades com outros softwares no dispositivo e problemas de compatibilidade com versões anteriores com a configuração.
- A atualização de um pacote poderia introduzir uma nova vulnerabilidade de segurança que não seria detectada durante o teste de segurança antes da versão original do dispositivo.
- Para os "falsos positivos", aplicar uma atualização de versão do pacote não trará nenhuma melhoria de segurança.
Os testes realizados pela VMware estão no conjunto de componentes que compõem a imagem do dispositivo virtual exatamente como originalmente lançada.
Se eu estiver preocupado com um relatório de vulnerabilidade do verificador, poderei solicitar informações sobre ele à VMware?
A maioria dos scanners trabalha identificando qual produto e versão estão em execução na rede e comparando essas informações a uma lista de vulnerabilidades publicamente conhecidas. Os verificadores de vulnerabilidade podem ser propensos a falsos positivos, mesmo que estejam configurados corretamente e sejam mantidos atualizados. Uma solicitação de suporte pode ser feita por um cliente, e o suporte da VMware, juntamente com o VMware Security Response Center (vSRC), responderá e explicará por que a atualização não se aplica ao dispositivo específico.
A VMware executa regularmente verificações em dispositivos do Unified Access Gateway internamente?
Sim. O VMware Security Development Lifecycle inclui verificações regulares e automáticas de dispositivos para que uma análise antecipada possa ser realizada pela VMware.
Com que frequência as versões do pacote do Photon são atualizadas?
Várias atualizações de kernel e pacotes do Photon são lançadas todos os meses. Na maioria dos casos, elas não são lançadas para o Unified Access Gateway e são importadas para lançamento na próxima versão do Unified Access Gateway planejada.
Se for identificada uma vulnerabilidade de segurança de software Unified Access Gateway ou de pacote Photon crítica que afete o Unified Access Gateway, como poderei saber sobre isso?
Os clientes podem assinar comunicados de segurança da VMware publicados para informar aos clientes sobre ações que devem tomar para proteger produtos contra vulnerabilidades conhecidas que afetam produtos da VMware.
Qual será a resposta da VMware se uma vulnerabilidade crítica do Unified Access Gateway for identificada? Devo esperar pela próxima versão planejada?
A VMware publica a política de resposta de segurança que define os tempos de resposta para as vulnerabilidades de segurança identificadas. O tempo de resposta baseia-se na gravidade que se aplica a um determinado produto. Por exemplo, uma vulnerabilidade de segurança crítica detectada no Unified Access Gateway exige que a VMware inicie imediatamente o trabalho em uma ação corretiva ou corretiva. A VMware fornecerá a ação corretiva ou corretiva aos clientes no tempo comercialmente menor. Uma correção é entregue como uma versão de imagem de patch e o cliente deve fazer upgrade para essa versão o mais rápido possível. Não aguarde a próxima versão planejada do Unified Access Gateway. Nesse caso, VMware também publica um comunicado de segurança e também pode disponibilizar a atualização como uma atualização automática. Consulte Política de Resposta de Segurança.