Das Federal Risk and Management Program (FedRAMP) ist ein Cybersicherheits-Risikoverwaltungsprogramm für die Verwendung von Cloud-Produkten und -Diensten, die von US-Bundesbehörden verwendet werden.

FedRAMP verwendet die Richtlinien und Verfahren des National Institute of Standards and Technology (NIST), um standardisierte Sicherheitsanforderungen für Cloud-Dienste bereitzustellen. Darüber hinaus nutzt FedRAMP die Special Publication [SP] 800-53 – Security and Privacy Controls for Federal Information Systems and Organizations series von NIST mit Baselines und Testfällen.

VMware strebt die FedRAMP-Compliance und ‑Zertifizierung von Unified Access Gateway mit Horizon on Azure GovCloud an. Dies erfordert eine bestimmte Konfiguration.

Voraussetzungen

  • Unified Access Gateway 2207 oder neueres FIPS-Build-Artefakt-Appliance-Image, das für die Bereitstellung verwendet wird.
  • Paketspiegelungs-Repository in FedRAMP-Begrenzung, um Photon OS-Pakete mit Sicherheitsupdates für die Anwendung regelmäßiger Sicherheitskorrekturen auf der Unified Access Gateway-Appliance zu speichern.
  • Syslog-Server zum Weiterleiten von Überwachungsereignissen von Unified Access Gateway.
  • NTP-Server zum Konfigurieren der Uhrzeitsynchronisierung auf Unified Access Gateway.
  • Einrichtung des Identitätsanbieters mit SAML-Authentifizierungsunterstützung.
  • VMware Horizon Cloud für Azure GovCloud.

Stellen Sie die FIPS-Version von Unified Access Gateway 2207 oder höher in Azure GovCloud mit den folgenden Konfigurationen bereit.

  1. Konfigurieren Sie die im DISA-STIG-BS-Compliance-Richtlinien für Unified Access Gateway angegebenen Einstellungen für die Betriebssystemsicherung.
  2. Konfigurieren Sie die folgenden Parameter basierend auf der Anforderung.
    Parameter Beschreibung
    sshKeyAccessEnabled Legen Sie diese Eigenschaft auf true fest, um den SSH-Zugriff mithilfe von Schlüsselpaar zu aktivieren.

    Der Standardwert lautet false.

    sshPublicKey1

    (sshPublicKey2,..)

    		 Konfigurieren Sie den öffentlichen SSH-Schlüssel, der für die SSH-Anmeldung verwendet wird, wenn der auf SSH-Schlüsseln basierende Zugriff aktiviert ist.
    osLoginUsername Geben Sie den Benutzernamen für den Nicht-Root-Benutzer mit umfassenden Berechtigungen ein, um sich bei der Unified Access Gateway-Betriebssystemkonsole anzumelden.

    Standardmäßig wird die Root-Anmeldung unterstützt.
    osMaxLoginLimit Geben Sie die maximal zulässige Anzahl gleichzeitiger Anmeldesitzungen eines Nicht-Root-Benutzers ein, falls konfiguriert.
  3. Konfigurieren Sie TLS-Serverzertifikate für Unified Access Gateway mit einer RSA-Schlüsselgröße von 2048 oder höher. Weitere Informationen finden Sie im Abschnitt [SSLCert] im INI-Beispiel unter Verwenden von PowerShell zur Bereitstellung der Unified Access Gateway-Appliance.
  4. Konfigurieren Sie die Einstellungen für die automatisierte Paketaktualisierung, um die Sicherheitsupdates aus dem Paket-Repository, das innerhalb der FedRAMP-Begrenzung verwaltet wird, herunterzuladen und anzuwenden. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Unified Access Gateway für das automatische Anwenden von autorisierten Betriebssystemaktualisierungen und im Abschnitt [PackageUpdates] im INI-Beispiel unter Verwenden von PowerShell zum Bereitstellen der Unified Access Gateway-Appliance.
  5. Konfigurieren Sie den Horizon Edge-Dienst mit den erforderlichen Authentifizierungsmethodeneinstellungen wie z.B. SAML. Weitere Informationen finden Sie unter Konfigurieren von Horizon für die Integration von Unified Access Gateway und externen Identitätsanbietern.