In diesem Abschnitt werden die für Unified Access Gateway konfigurierten Sicherheitseinstellungen erläutert.

In der folgenden Tabelle ist die TLS-Konfiguration für den Haupt-Unified Access Gateway-HTTP-Port 443 auf dem Standard-Unified Access Gateway (nicht FIPS) aufgeführt. Die FIPS-Version von Unified Access Gateway verwendet einen begrenzteren Satz an Verschlüsselungen und TLS-Versionen. Die TLS-Einstellungen sind in den Systemeinstellungen konfiguriert und gelten für den Horizon Edge-Dienst und den Web-Reverse-Proxy-Edge-Dienst.

Hinweis: TLS-Einstellungen für VMware Tunnel-, Content Gateway- und Secure Email Gateway Edge-Dienste werden separat in Workspace ONE UEM Console konfiguriert.
Tabelle 1. TLS-Konfiguration für Unified Access Gateway HTTP-Port 443
TLS-Versionen TLS-Verschlüsselungen TLS-Auslassungspunkte/Benannte TLS-Gruppen TLS-Serverzertifikate

Unified Access Gateway unterstützt die folgenden TLS-Versionen auf der HTTPS 443-Schnittstelle.

  • TLS 1.3
  • TLS 1.2
  • TLS 1.1
  • TLS 1.0

Standardmäßig werden nur TLS 1.3 und TLS 1.2 unterstützt. VMware empfiehlt, andere Versionen nur bei Bedarf zu aktivieren.

Unified Access Gateway unterstützt die folgenden standardmäßigen TLS-Verschlüsselungen auf der HTTPS 443-Schnittstelle. Die Verschlüsselungsliste ist konfigurierbar.

TLS 1.3

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
P-256 (secp256r1) (256 Bit)

P-384 (secp384r1) (384 Bit)

P-521 (secp521r1) (521 Bit)

X25519 (253 Bit)
Standardmäßig generiert Unified Access Gateway selbstsignierte SSL-Serverzertifikate. VMware empfiehlt dringend, diese durch vertrauenswürdige, von einer Zertifizierungsstelle (CA) signierte Zertifikate zu ersetzen, die für die Produktionsumgebung geeignet sind. Die von einer vertrauenswürdigen Zertifizierungsstelle signierten Zertifikate können während der Bereitstellung von Unified Access Gateway angegeben werden.

SSH

Standardmäßig ist der Zugriff der Root-Konsole auf Unified Access Gateway mithilfe des SSH-Protokolls deaktiviert. Sie können den SSH-Zugriff über den Kennwortzugriff oder die SSH-Schlüssel oder beides aktivieren. Bei Bedarf kann der Zugriff auf einzelne Netzwerkkarten beschränkt werden.

Durch die Einschränkung des SSH-Zugriffs auf bestimmte Netzwerkkarten ist es auch möglich, eine Jumpbox zu verwenden und einen begrenzten Zugriff auf diese Jumpbox zu gewährleisten.

Compliance

Security Technical Implementation Guides (STIGs)

Unified Access Gateway unterstützt Konfigurationseinstellungen, damit Unified Access Gateway mit dem Photon 3 DISA STIG konform ist. Für diese Compliance muss die FIPS-Version von Unified Access Gateway verwendet werden, und bestimmte Konfigurationseinstellungen werden zum Zeitpunkt der Bereitstellung angewendet.

NIAP-CSfC-Richtlinien für Unified Access Gateway bei Verwendung mit Horizon

Die US-amerikanische National Security Agency (NSA) hat Spezifikationen auf Lösungsebene namens „Capability Packages“ (CPs) entwickelt, genehmigt und veröffentlicht. Zusätzlich zu den CPs arbeiten die National Security Agency und die National Information Assurance Partnership (NIAP) mit technischen Communitys aus verschiedenen Branchen, Behörden und Hochschulen zusammen, um Sicherheitsanforderungen auf Produktebene, die so genannten „Protection Profiles“ (PPs), zu entwickeln, zu verwalten und zu veröffentlichen.

Das Commercial Solutions for Classified (CSfC)-Programm der bzw. des NSA/CSS (Central Security Service) wurde entwickelt, um die Verwendung kommerzieller Produkte in mehrschichtigen Lösungen zum Schutz von als geheim eingestuften NSS-Daten (National Security Systems) zu ermöglichen.

Unified Access Gateway mit Horizon ist NIAP/CSfC-konform und verwendet die CSfC-Auswahl für geschützte TLS-Server (Transport Layer Security). Diese Validierung erfordert eine bestimmte Konfiguration in der Unified Access Gateway-Appliance, die für den NIAP/CSfC-Vorgang erforderlich ist.

FedRAMP-Compliance

Das Federal Risk and Management Program (FedRAMP) ist ein Cybersicherheits-Risikoverwaltungsprogramm für die Verwendung von Cloud-Produkten und -Diensten, die von US-Bundesbehörden verwendet werden. FedRAMP verwendet die Richtlinien und Verfahren des National Institute of Standards and Technology (NIST), um standardisierte Sicherheitsanforderungen für Cloud-Dienste bereitzustellen. FedRAMP stützt sich insbesondere auf die Special Publication [SP] 800-53 – Security and Privacy Controls for Federal Information Systems and Organizations series von NIST mit Baselines und Testfällen.