适用于 Unified Access Gateway 的 FedRAMP 准则

联邦风险与授权管理计划 (FedRAMP) 是一项网络安全风险管理计划，用于管理美国联邦机构所使用的云产品和服务的使用情况。

FedRAMP 使用美国国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 的准则和程序为云服务提供标准化的安全要求。此外，FedRAMP 还会利用 NIST 的特别出版物 [SP] 800-53 - 联邦信息系统和组织的安全和隐私控制系列：基线和测试用例。

先决条件

Unified Access Gateway 2207 或更高的 FIPS 内部版本工件设备映像，用于部署。
FedRAMP 边界范围内的软件包镜像存储库，用于存储带有安全更新的 Photon OS 软件包，以便在 Unified Access Gateway 设备上应用定期安全修复。
Syslog 服务器，用于从 Unified Access Gateway 转发审计事件。
NTP 服务器，用于在 Unified Access Gateway 上配置时间同步。
具有 SAML 身份验证支持的身份提供程序设置。
VMware Horizon Cloud for Azure GovCloud。

使用以下配置在 Azure GovCloud 上部署 FIPS 版本的 Unified Access Gateway 2207 或更高版本。

配置适用于 Unified Access Gateway 的 DISA STIG 操作系统合规性准则中指定的操作系统强化设置。

根据要求配置以下参数。


参数	说明
sshKeyAccessEnabled	设置为 `true` 以使用密钥对启用 SSH 访问。默认值为 `false`。
sshPublicKey1 (sshPublicKey2,..)	如果启用了基于 SSH 密钥的访问，则配置用于 SSH 登录的 SSH 公钥。
osLoginUsername	输入高特权非 root 用户名以登录到 Unified Access Gateway 操作系统控制台。默认情况下，支持 root 登录。
osMaxLoginLimit	输入非 root 用户允许的最大并发登录会话数（如果已配置）。

使用 2048 位或更多位的 RSA 密钥为 Unified Access Gateway 配置 TLS 服务器证书。请参阅 VMware Docs 上《部署和配置 VMware Unified Access Gateway》指南中的 INI 示例运行 PowerShell 脚本以部署 Unified Access Gateway 的 [SSLCert] 部分。
配置自动软件包更新设置，以便从 FedRAMP 边界内维护的软件包存储库下载并应用安全更新。请参阅 VMware Docs 上《部署和配置 VMware Unified Access Gateway》指南中的配置 Unified Access Gateway 以自动应用授权的操作系统更新以及 INI 示例使用 PowerShell 部署 Unified Access Gateway 设备的 [PackageUpdates] 部分。
使用必要的身份验证方法设置（例如 SAML）配置 Horizon Edge 服务。有关更多信息，请参阅 VMware Docs 上《部署和配置 VMware Unified Access Gateway》指南中的为 Unified Access Gateway 和第三方身份提供程序集成配置 Horizon。