Das Federal Risk and Management Program (FedRAMP) ist ein Cybersicherheits-Risikoverwaltungsprogramm für die Verwendung von Cloud-Produkten und -Diensten, die von US-Bundesbehörden verwendet werden.

FedRAMP verwendet die Richtlinien und Verfahren des National Institute of Standards and Technology (NIST), um standardisierte Sicherheitsanforderungen für Cloud-Dienste bereitzustellen. Darüber hinaus nutzt FedRAMP die Special Publication [SP] 800-53 – Security and Privacy Controls for Federal Information Systems and Organizations series von NIST mit Baselines und Testfällen.

Voraussetzungen

  • Unified Access Gateway 2207 oder neueres FIPS-Build-Artefakt-Appliance-Image, das für die Bereitstellung verwendet wird.
  • Paketspiegelungs-Repository in FedRAMP-Begrenzung, um Photon OS-Pakete mit Sicherheitsupdates für die Anwendung regelmäßiger Sicherheitskorrekturen auf der Unified Access Gateway-Appliance zu speichern.
  • Syslog-Server zum Weiterleiten von Überwachungsereignissen von Unified Access Gateway.
  • NTP-Server zum Konfigurieren der Uhrzeitsynchronisierung auf Unified Access Gateway.
  • Einrichtung des Identitätsanbieters mit SAML-Authentifizierungsunterstützung.
  • VMware Horizon Cloud für Azure GovCloud.

Stellen Sie die FIPS-Version von Unified Access Gateway 2207 oder höher in Azure GovCloud mit den folgenden Konfigurationen bereit.

  1. Konfigurieren Sie die im DISA-STIG-BS-Compliance-Richtlinien für Unified Access Gateway angegebenen Einstellungen für die Betriebssystemsicherung.
  2. Konfigurieren Sie die folgenden Parameter basierend auf der Anforderung.
    Parameter Beschreibung
    sshKeyAccessEnabled Legen Sie diese Eigenschaft auf true fest, um den SSH-Zugriff mithilfe von Schlüsselpaar zu aktivieren.

    Der Standardwert lautet false.

    sshPublicKey1

    (sshPublicKey2,..)

    		 Konfigurieren Sie den öffentlichen SSH-Schlüssel, der für die SSH-Anmeldung verwendet wird, wenn der auf SSH-Schlüsseln basierende Zugriff aktiviert ist.
    osLoginUsername Geben Sie den Benutzernamen für den Nicht-Root-Benutzer mit umfassenden Berechtigungen ein, um sich bei der Unified Access Gateway-Betriebssystemkonsole anzumelden.

    Standardmäßig wird die Root-Anmeldung unterstützt.
    osMaxLoginLimit Geben Sie die maximal zulässige Anzahl gleichzeitiger Anmeldesitzungen eines Nicht-Root-Benutzers ein, falls konfiguriert.
  3. Konfigurieren Sie TLS-Serverzertifikate für Unified Access Gateway mit einer RSA-Schlüsselgröße von 2048 oder höher. Weitere Informationen finden Sie im Abschnitt [SSLCert] im INI-Beispiel Ausführen des PowerShell-Skripts zum Bereitstellen von Unified Access Gateway im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
  4. Konfigurieren Sie die Einstellungen für die automatisierte Paketaktualisierung, um die Sicherheitsupdates aus dem Paket-Repository, das innerhalb der FedRAMP-Begrenzung verwaltet wird, herunterzuladen und anzuwenden. Weitere Informationen finden Sie unter Konfigurieren von Unified Access Gateway zum automatischen Anwenden autorisierter Betriebssystem-Updates und im Abschnitt [PackageUpdates] im INI-Beispiel Verwenden von PowerShell zum Bereitstellen der Unified Access Gateway-Appliance im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.
  5. Konfigurieren Sie den Horizon Edge-Dienst mit den erforderlichen Authentifizierungsmethodeneinstellungen wie z.B. SAML. Weitere Informationen finden Sie unter Konfigurieren von Horizon für die Integration von Unified Access Gateway und externen Identitätsanbietern im Handbuch Bereitstellen und Konfigurieren von VMware Unified Access Gateway auf VMware Docs.