联邦风险与授权管理计划 (FedRAMP) 是一项网络安全风险管理计划,用于管理美国联邦机构所使用的云产品和服务的使用情况。

FedRAMP 使用美国国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 的准则和程序为云服务提供标准化的安全要求。此外,FedRAMP 还会利用 NIST 的特别出版物 [SP] 800-53 - 联邦信息系统和组织的安全和隐私控制系列:基线和测试用例。

Vmware 正在寻求 FedRAMP 合规性和对与 Azure GovCloud 上的 Horizon 搭配使用的 Unified Access Gateway 进行认证。这需要特定配置。

先决条件

  • Unified Access Gateway 2207 或更高的 FIPS 内部版本工件设备映像,用于部署。
  • FedRAMP 边界范围内的软件包镜像存储库,用于存储带有安全更新的 Photon OS 软件包,以便在 Unified Access Gateway 设备上应用定期安全修复。
  • Syslog 服务器,用于从 Unified Access Gateway 转发审计事件。
  • NTP 服务器,用于在 Unified Access Gateway 上配置时间同步。
  • 具有 SAML 身份验证支持的身份提供程序设置。
  • VMware Horizon Cloud for Azure GovCloud。

使用以下配置在 Azure GovCloud 上部署 FIPS 版本的 Unified Access Gateway 2207 或更高版本。

  1. 配置 适用于 Unified Access Gateway 的 DISA STIG 操作系统合规性准则 中指定的操作系统强化设置。
  2. 根据要求配置以下参数。
    参数 说明
    sshKeyAccessEnabled 设置为 true 以使用密钥对启用 SSH 访问。

    默认值为 false

    sshPublicKey1

    (sshPublicKey2,..)

    		 如果启用了基于 SSH 密钥的访问,则配置用于 SSH 登录的 SSH 公钥。
    osLoginUsername 输入高特权非 root 用户名以登录到 Unified Access Gateway 操作系统控制台。

    默认情况下,支持 root 登录。
    osMaxLoginLimit 输入非 root 用户允许的最大并发登录会话数(如果已配置)。
  3. 使用 2048 位或更多位的 RSA 密钥为 Unified Access Gateway 配置 TLS 服务器证书。请参阅 使用 PowerShell 部署 Unified Access Gateway 设备 的 INI 示例中的 [SSLCert] 部分。
  4. 配置自动软件包更新设置,以便从 FedRAMP 边界内维护的软件包存储库下载并应用安全更新。请参阅使用 PowerShell 部署 Unified Access Gateway 设备的 INI 示例中的 配置 Unified Access Gateway 以自动应用授权的操作系统更新[PackageUpdates] 部分。
  5. 使用必要的身份验证方法设置(例如 SAML)配置 Horizon Edge 服务。有关更多信息,请参阅针对 Unified Access Gateway 和第三方身份提供程序集成配置 Horizon