本节介绍 VMware Unified Access Gateway 的安全性相关问题及解答。
是否可以在 Unified Access Gateway 上安装第三方代理和/或防病毒软件?
不可以。Unified Access Gateway 设备上不需要防病毒软件或第三方代理,不支持使用此类软件,这适用于所有 VMware 品牌虚拟设备。有关更多信息,请参阅 https://kb.vmware.com/s/article/80767 和 https://kb.vmware.com/s/article/2090839。
Unified Access Gateway 是否受 CVE-XXX-XXXX 影响?
Unified Access Gateway 利用行业领先的代码扫描、软件组合分析和漏洞扫描工具,并监控行业订阅以了解新发现的潜在漏洞。一旦检测到漏洞,将根据 VMware 安全响应策略进行处理。
如果需要,可以通过 VMware 安全公告 (VMSA) 根据负责任的披露实践来通知客户。您可以进行订阅,以便在 https://www.vmware.com/security/advisories.html 中接收有关新发布公告的通知。建议您定期应用产品更新,以利用最新的安全性、可靠性和功能改进。
有关 Unified Access Gateway 版本的更多信息,请参阅 产品更新。
Vmware 发布 VMware 虚拟设备(如 Unified Access Gateway)后,必然将在两次发布日期之间提供 Photon 安全更新。这些安全更新的严重性为一般,通常不会影响 Unified Access Gateway 自身的安全性。这可能是因为 Unified Access Gateway 不使用受影响的组件,或者漏洞存在于 Unified Access Gateway 不支持的组件的功能中。对这些 Photon 组件执行未经授权的动态更新可能会使设备不稳定,并且可能会引入一个在发布前的测试中无法检测到的新漏洞。
所有 VMware 设备都基于原始发行版中包含的组件和版本进行了全面测试和认证。因此,更新或更改虚拟设备上的任何组件可能会导致系统出现意外行为,因此不支持未经授权的更新。
与其他 VMware 品牌虚拟设备一样,VMware 不支持对 VMware 品牌虚拟设备中包含的底层操作系统和软件包进行任何修改或自定义。这包括添加、更新或删除软件包,以及在设备的操作系统中使用自定义脚本。有关 VMware 虚拟设备策略的更多信息,请参阅 https://kb.vmware.com/s/article/2090839。
如果 VMware、客户或其他任何人发现了安全漏洞,可使用定义的策略来报告此漏洞,VMware 会根据适用于特定产品的严重性做出响应。有关更多信息,请参阅 安全响应策略。
对于 Unified Access Gateway 未使用或不适用于 Unified Access Gateway 的任何功能的 Photon 组件,它的严重安全漏洞没有安全意义,因此在 Unified Access Gateway 环境中并不重要。
如果确定有一个严重安全漏洞会影响 Unified Access Gateway,那么除了在下一个季度发布中提供更新外,VMware 还可能会发布该设备的补丁版本。这可能针对的是适用于 Unified Access Gateway 且尚无解决方法的严重问题。VMware 会不时发布安全公告对此类漏洞进行通报。
VMware 多久发布一次新的 Unified Access Gateway 版本?
有关更多信息,请参阅产品更新。
何时将 Photon 软件包更新应用于 Unified Access Gateway?
Unified Access Gateway 的每个计划发布都包含最新的 Photon 和 Java 版本,这些版本在构建此虚拟设备时已确定。通常是在正式发布 (GA) 日期之前的 2 周左右,以便最终的跨职能团队和安全认证有机会确保软件包版本组合能够正确地协同工作。即使更新旨在解决不适用于 Unified Access Gateway 的漏洞,也会更新 Photon 软件包。
Unified Access Gateway 是否具备自动下载并应用严重 Photon 漏洞更新的机制?
是。此功能在 2009 版本中已添加。有时,VMware 可能会授权更新一个或多个操作系统软件包,用于纠正影响 Unified Access Gateway 特定版本且尚无可行解决方法的严重漏洞。从 Unified Access Gateway 的 2009 版本开始,管理员可以使用新功能来配置自动检查任何授权的软件包更新。有关更多信息,请参阅 中的配置自动检查产品更新部分。
如果扫描程序报告存在过期的 Photon 软件包,这是否意味着 Unified Access Gateway 容易受到攻击?
扫描报告有时可能指示存在漏洞,但大多数情况下,有关可用的较新软件包版本的报告不适用于 Unified Access Gateway。这可能是因为已应用缓解漏洞的纠正措施,或者漏洞存在于 Unified Access Gateway 未使用或未激活的组件中。即使漏洞扫描程序配置正确并保持最新状态,也很容易出现误报。
如果存在“误报”漏洞扫描报告,对该软件包应用软件包更新是否能提高 Unified Access Gateway 的安全性?
在这些情况下,应用软件包更新不会有任何区别,因为无论如何 Unified Access Gateway 都不会受到“误报”影响。Vmware 不支持将软件包更新应用于 Vmware 品牌虚拟设备。更新或更改任何组件可能会导致系统出现意外行为。
为什么 VMware 不支持客户修改/更新 VMware 品牌虚拟设备上的 Photon 软件包?
- 由于与设备上的其他软件不兼容以及配置的向后兼容性问题,这可能会导致系统出现意外行为。
- 更新软件包可能会引入新的安全漏洞,而这些漏洞在原始设备发布之前的安全测试期间无法检测到。
- 对于“误报”,应用软件包版本更新不会提高安全性。
VMware 执行的测试是针对组成虚拟设备映像的组件集,与最初发布的完全一样。
如果我担心扫描程序漏洞报告,是否可以请求 Vmware 提供有关该报告的信息?
大多数扫描程序的工作方式是:确定在网络中运行的产品和版本,并将这些信息与公开已知漏洞列表进行比较。即使漏洞扫描程序配置正确并保持最新状态,也很容易出现误报。客户可以提出支持请求,VMware 技术支持以及 VMware 安全响应中心 (vSRC) 将做出响应,并解释更新不适用于特定设备的原因。
VMware 是否会定期在内部对 Unified Access Gateway 设备运行扫描?
是。VMware 安全开发生命周期包括定期自动扫描设备,这样 VMware 就能进行早期分析。
Photon 软件包版本多久更新一次?
每月都会发布几个 Photon 内核和软件包更新。在大多数情况下,这些不是针对 Unified Access Gateway 发布的,而是在 Unified Access Gateway 的下一个计划发布中批量发布的。
如果发现影响 Unified Access Gateway 的一个 Photon 软件包或 Unified Access Gateway 软件安全严重漏洞,我如何了解有关此漏洞的信息?
客户可以订阅发布的 VMware 安全公告,以获悉他们必须采取的措施,从而保护产品免受影响 VMware 产品的已知漏洞的影响。
如果发现 Unified Access Gateway 的一个严重漏洞,VMware 会如何应对?我是否应该等待下一个计划的版本发布?
VMware 会发布安全响应策略,该策略定义了发现的安全漏洞的响应时间。响应时间基于适用于特定产品的严重性。例如,在 Unified Access Gateway 中检测到严重安全漏洞会要求 VMware 立即开始修复或采取纠正措施。VMware 将在最短的商业合理时间内为客户提供修复程序或纠正措施。修复程序以补丁映像版本的形式提供,客户必须尽快升级到该版本。不要等待 Unified Access Gateway 的下一个计划发布。在这种情况下,VMware 还会发布安全公告,也可能会以自动更新的形式提供更新。请参阅安全响应策略。