Mirage 网关服务器可在 Linux 上运行。必须保护此主机免遭普通操作系统漏洞的损害。
使用间谍软件筛选器、入侵检测系统和企业策略要求的其他安全措施。
确保所有安全措施均为最新,其中包括操作系统修补程序。
在 OVA 模板部署期间执行保护配置代码。
表 1.
代码 MEG01 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG01 |
| 名称 |
确保 Mirage Gateway 系统已正确应用修护程序。 |
| 描述 |
通过持续更新操作系统修补程序,操作系统漏洞便可得到缓解。 |
| 风险或控制 |
如果攻击者获得系统的访问权限,并重新分配对 Mirage Gateway 系统的特权,则攻击者就可以通过 Mirage 网关服务器访问所有 CVD 传输。 |
| 建议级别 |
企业版 |
| 状况或步骤 |
根据行业标准指导原则或适用的内部准则,采用一个系统使 Mirage Gateway 系统的修补程序保持最新。 |
表 2.
代码 MEG02 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG02 |
| 名称 |
在 Mirage 网关服务器主机上提供操作系统保护。 |
| 描述 |
通过提供操作系统级别的保护,操作系统漏洞便可得到缓解。此类保护包括反恶意软件以及其他类似措施。 |
| 风险或控制 |
如果攻击者获得系统的访问权限,并重新分配对 Mirage Gateway 系统的特权,则攻击者就可以通过 Mirage 网关服务器访问所有 CVD 传输。 |
| 建议级别 |
企业版 |
| 状况或步骤 |
根据行业标准指导原则或适用的内部准则提供操作系统保护,例如,反恶意软件。 |
表 3.
代码 MEG03 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG03 |
| 名称 |
限制特权用户登录。 |
| 描述 |
应尽可能减少有权以管理员身份登录到 Mirage Gateway 系统的特权用户数量。 |
| 风险或控制 |
如果未授权的特权用户获得 Mirage Gateway 系统的访问权限,则该系统就会面临未授权修改的风险。 |
| 建议级别 |
企业版 |
| 状况或步骤 |
为某些人创建特定的特权登录帐户。这些帐户应属于本地管理员组。不应有此帐户无法登录的帐户 Shell,也不应为此帐户提供无效密码。 |
表 4.
代码 MEG04 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG04 |
| 名称 |
实施管理密码策略。 |
| 描述 |
为所有 Mirage Gateway 系统设置密码策略。密码应包含以下参数:
|
| 风险或控制 |
如果未授权的特权用户获得 Mirage Gateway 系统的访问权限,则该系统就会面临未授权修改的风险。 |
| 建议级别 |
企业版 |
| 状况或步骤 |
在每个 Mirage Gateway 系统上设置一个密码策略。 |
表 5.
代码 MEG05 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG05 |
| 名称 |
移除不必要的网络协议。 |
| 描述 |
Mirage Gateway 仅使用 IPv4 通信。应移除其他服务,如文件和打印机共享、NFS、发送邮件、绑定或网卡等。 |
| 风险或控制 |
如果未授权的特权用户获得 Mirage Gateway 系统的访问权限,则该系统就更可能面临未授权修改的风险。 |
| 建议级别 |
企业版 |
| 状况或步骤 |
在 Mirage Gateway Suse 操作系统上运行 yast。禁用安全和用户设置以及防火墙设置下的所有网络协议。保留以下三个端口:
- Mirage Gateway - 默认 tcp 8000
- 管理 - 默认 tcp 8080
- SSH - 默认 tcp 22
|
表 6.
代码 MEG06 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG06 |
| 名称 |
禁用不必要的服务。 |
| 描述 |
Mirage Gateway 要求操作系统的服务尽可能少。一旦禁用不必要的服务,安全性就会提高。这样可以防止这些服务在系统引导时自动启动。 |
| 风险或控制 |
如果不必要的服务正在运行,则 Mirage Gateway 系统就更容易受到网络攻击。 |
| 建议级别 |
企业。 |
| 状况或步骤 |
禁用所有不需要的服务。在 Mirage Gateway Suse 操作系统上运行 yast。在网络服务下拉菜单中,禁用除与 SSHD 和 iSCSI 相关的服务之外的所有其他网络服务。 |
表 7.
代码 MEG07 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG07 |
| 名称 |
在 DMZ 中使用外部防火墙进行控制 |
| 描述 |
Mirage 网关服务器通常部署在 DMZ 中。您必须对允许的协议和网络端口进行控制,才能按照要求尽可能减少与 Mirage Gateway 的通信。Mirage Gateway 会自动通过 TCP 向数据中心中的 Mirage 服务器进行转发,并会确保所有转发流量都来自已通过身份验证的用户。 |
| 风险或控制 |
允许不必要的协议和端口可能会增加恶意用户攻击的可能性,尤其是用于 Internet 网络通信的协议和端口。 |
| 建议级别 |
在 Mirage 网关服务器任何一侧配置防火墙,以便尽可能地减少 Mirage 客户端和 Mirage 网关服务器之间所需的协议和网络端口数量。 应将 Mirage 网关服务器部署在隔离网络上,以限制帧广播的范围。此配置有助于防止内部网络中的恶意用户监视 Mirage 网关服务器与 Mirage 服务器实例之间的通信。 您可能希望使用网络交换机上的高级安全功能,以防止恶意监视 Mirage Gateway 与 Mirage 服务器之间的通信,并防止发生监视攻击,如 ARP Cache Poisonin。 |
| 参数或对象配置 |
有关 DMZ 部署所需的防火墙规则的详细信息,请参见《VMware Mirage 安装指南》。 |
表 8.
代码 MEG08 的保护配置
| 配置元素 |
描述 |
| 代码 |
MEG08 |
| 名称 |
不要在 Mirage 网关服务器上使用自签名的默认服务器证书。 |
| 描述 |
如果首先安装 Mirage 网关服务器,则在准备好签名证书之前,SSL 服务器无法工作。Mirage 网关服务器和 SSL 服务器要求使用由商业证书颁发机构 (CA) 或组织 CA 签名的 SSL 服务器证书。 |
| 风险或控制 |
使用自签名证书会使 SSL 连接更容易遭受中间人攻击的风险。向可信 CA 申请签名证书,可降低此类攻击的可能性。 |
| 建议级别 |
企业版 |
| 状况或步骤 |
有关设置 Mirage Gateway SSL 证书的详细信息,请参见《VMware Mirage 安装指南》。 |
| 测试 |
使用漏洞扫描工具连接 Mirage Gateway。验证是否已获得正确 CA 的签名。 |
