本节介绍为 Unified Access Gateway 配置的安全设置。

下表列出了标准(非 FIPS)Unified Access Gateway 上的主要 Unified Access Gateway HTTP 端口 443 的 TLS 配置。FIPS 版本的 Unified Access Gateway 使用更有限的一组密码和 TLS 版本。TLS 设置在系统设置中配置,适用于 Horizon Edge 服务和 Web 反向代理 Edge 服务。

注: VMware TunnelContent GatewaySecure Email Gateway Edge 服务的 TLS 设置在 Workspace ONE UEM Console 中单独配置。
表 1. Unified Access Gateway HTTP 端口 443 的 TLS 配置
TLS 版本 TLS 密码 TLS 椭圆曲线/命名组 TLS 服务器证书

Unified Access Gateway 在 HTTPS 443 接口上支持以下 TLS 版本。

  • TLS 1.3
  • TLS 1.2
  • TLS 1.1
  • TLS 1.0

默认仅支持 TLS 1.3TLS 1.2。VMware 建议仅在需要时激活其他版本。

Unified Access Gateway 在 HTTPS 443 接口上支持以下默认 TLS 密码。密码列表可配置。

TLS 1.3

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
P-256 (secp256r1)(256 位)

P-384 (secp384r1) (384 位)

P-521 (secp521r1)(521 位)

X25519(253 位)
默认情况下,Unified Access Gateway 将生成自签名 SSL 服务器证书。VMware 强烈建议将其替换为适用于生产环境的受信任证书颁发机构 (CA) 签名证书。可在 Unified Access Gateway 部署期间指定受信任的 CA 签名证书。

SSH

默认情况下,将停用通过 SSH 协议对 Unified Access Gateway 进行 root 控制台访问。您可以使用密码访问权限和/或 SSH 密钥激活 SSH 访问。如果需要,这可以限制为在单个网卡上进行访问。

通过将 SSH 访问限制到特定网卡,还可以使用 jumpbox,并确保对该 jumpbox 的受限访问。

合规性

《安全技术实施指南》(STIG)

Unified Access Gateway 支持配置设置,以允许 Unified Access Gateway 遵守 Photon 3 DISA STIG。为满足此合规性,必须使用 FIPS 版本的 Unified Access Gateway,并在部署时应用特定的配置设置。

与 Horizon 搭配使用时适用于 Unified Access Gateway 的 NIAP CSfC 准则

美国国家安全局 (National Security Agency, NSA) 制定、批准并发布了解决方案级别规范,称为“功能包”(Capability Package, CP)。除了 CP 之外,国家安全局和国家信息安全联盟 (National Information Assurance Partnership, NIAP) 还与来自各行各业的技术社区、政府和学术界合作,共同制定、维护和发布了产品级别的安全要求,称为“保护配置文件”(Protection Profile, PP)。

NSA/CSS(中央安全局)机密项目商业解决方案 (Commercial Solutions for Classified, CSfC) 计划旨在使商业产品能够用于可保护机密国家安全系统 (NSS) 数据的分层解决方案。

与 Horizon 搭配使用的 Unified Access Gateway 符合 NIAP/CSfC,并且为受传输层安全 (TLS) 保护的服务器使用 CSfC 选项。此验证要求在 Unified Access Gateway 设备中进行实施 NIAP/CSfC 操作所需的具体配置。

FedRAMP 合规性

联邦风险与授权管理计划 (FedRAMP) 是一项网络安全风险管理计划,用于管理美国联邦机构所使用的云产品和服务的使用情况。FedRAMP 使用美国国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 的准则和程序为云服务提供标准化的安全要求。具体来说,FedRAMP 利用 NIST 的特别出版物 [SP] 800-53 - 联邦信息系统和组织的安全和隐私控制系列:基线和测试用例。