Dieser Abschnitt behandelt sicherheitsbezogene Fragen und Antworten für VMware Unified Access Gateway.
Kann ich Agents von Drittanbietern und/oder Antivirensoftware auf Unified Access Gateway installieren?
Nein. Antivirensoftware oder Agents von Drittanbietern sind auf einer Unified Access Gateway-Appliance nicht erforderlich, und die Verwendung dieser Software wird nicht unterstützt und gilt für alle virtuelle VMware-Appliances. Weitere Informationen finden Sie unter https://kb.vmware.com/s/article/80767 und https://kb.vmware.com/s/article/2090839.
Ist Unified Access Gateway von CVE-XXX-XXXX betroffen?
Unified Access Gateway nutzt branchenführende Tools für Codesuche, Softwarezusammensetzungsanalyse und Schwachstellensuche und überwacht branchenübliche Feeds auf neu identifizierte potenzielle Schwachstellen. Bei Erkennung von Schwachstellen werden diese gemäß der VMware-Sicherheitsrichtlinie behoben.
Falls erforderlich, können Kunden gemäß der verantwortungsvollen Offenlegungspraxis durch ein VMware Security Advisory (VMSA) informiert werden. Sie können sich unter folgender Adresse anmelden, um über neu veröffentlichte Hinweise informiert zu werden: https://www.vmware.com/security/advisories.html. Es wird empfohlen, regelmäßig Produktaktualisierungen anzuwenden, um von den neuesten Sicherheits-, Zuverlässigkeits- und Funktionsverbesserungen zu profitieren.
Weitere Informationen zu Unified Access Gateway-Versionen finden Sie unter #GUID-0E29BCFB-2FB5-426E-BA24-C540392B36A8.
Nach der Veröffentlichung von virtuellen VMware-Appliances wie Unified Access Gateway durch VMware werden zwangsläufig auch Photon-Sicherheitsupdates zwischen den Veröffentlichungsterminen verfügbar sein. Der Schweregrad dieser Sicherheitsupdates ist allgemein und wirkt sich meistens nicht auf die Sicherheit von Unified Access Gateway selbst aus. Dies könnte daran liegen, dass Unified Access Gateway die betroffene Komponente nicht verwendet oder dass die Sicherheitslücke in einer Funktion der Komponente liegt, die Unified Access Gateway nicht unterstützt. Die Durchführung dynamischer, nicht autorisierter Updates dieser Photon-Komponenten könnte die Appliance destabilisieren und eine neue Schwachstelle verursachen, die bei den Tests vor der Veröffentlichung nicht entdeckt werden kann.
Alle VMware-Appliances werden auf der Grundlage der in der ursprünglichen Version enthaltenen Komponenten und Versionen umfassend getestet und qualifiziert. Das Aktualisieren oder Ändern von Komponenten auf einer virtuellen Appliance kann daher zu unerwartetem Verhalten des Systems führen, weshalb nicht autorisierte Updates nicht unterstützt werden.
In Übereinstimmung mit anderen virtuellen Appliances der Marke VMware unterstützt VMware keine Änderungen oder Anpassungen des zugrunde liegenden Betriebssystems und der Pakete, die in einer virtuellen Appliance der Marke VMware enthalten sind. Dazu gehören das Hinzufügen, Aktualisieren oder Entfernen von Paketen und die Verwendung benutzerdefinierter Skripte innerhalb des Betriebssystems der Appliance. Weitere Informationen zur VMware-Richtlinie für virtuelle Appliances finden Sie unter https://kb.vmware.com/s/article/2090839.
Für den Fall, dass eine Sicherheitslücke von VMware, einem Kunden oder einer anderen Person identifiziert wird, gibt es eine definierte Richtlinie für die Meldung dieser Schwachstelle und für die Reaktion von VMware auf der Grundlage des Schweregrads, der für das jeweilige Produkt gilt. Weitere Informationen finden Sie unter Sicherheitsrichtlinie.
Eine kritische Sicherheitslücke in einer Photon-Komponente, die nicht von Unified Access Gateway verwendet wird oder nicht auf Funktionen von Unified Access Gateway angewendet wird, hat keine Sicherheitsrelevanz und ist daher im Kontext von Unified Access Gateway nicht kritisch.
Wenn eine kritische Sicherheitslücke Unified Access Gateway betrifft, kann VMware zusätzlich zur Bereitstellung des Updates in der nächsten vierteljährlichen Version eine gepatchte Version der Appliance freigeben. Dabei kann es sich um ein kritisches Problem handeln, das auf Unified Access Gateway zutrifft und für das es keine Problemumgehung gibt. VMware veröffentlichen Sicherheitsempfehlungen, um solche Schwachstellen zu kommunizieren.
Wie häufig veröffentlicht VMware neue Unified Access Gateway-Versionen?
Weitere Informationen finden Sie unter #GUID-0E29BCFB-2FB5-426E-BA24-C540392B36A8.
Wann werden Photon-Paketaktualisierungen auf Unified Access Gateway angewendet?
Jede geplante Version von Unified Access Gateway enthält aktuelle Photon- und Java-Versionen, die zum Zeitpunkt der Erstellung der virtuellen Appliance festgelegt wurden. Dies geschieht in der Regel etwa 2 Wochen vor dem Datum der allgemeinen Verfügbarkeit (General Availability, GA), damit das Team und das Sicherheitsteam die Möglichkeit haben, sich abschließend zu qualifizieren, um sicherzustellen, dass die Kombinationen der Paketversionen korrekt zusammenarbeiten. Die Photon-Pakete werden auch dann aktualisiert, wenn das Update eine Schwachstelle beheben sollte, die nicht für Unified Access Gateway gilt.
Gibt es einen Mechanismus mit Unified Access Gateway, um Updates mit kritischen Photon-Schwachstellen automatisch herunterzuladen und anzuwenden?
Ja. Diese Funktion wurde mit Version 2009 hinzugefügt. Gelegentlich autorisiert VMware möglicherweise die Aktualisierung von einem oder mehreren Betriebssystempaketen, um eine wichtige Schwachstelle zu korrigieren, die sich auf eine bestimmte Version von Unified Access Gateway auswirkt und für die keine praktikable Problemumgehung verfügbar ist. Ab Unified Access Gateway Version 2009 steht Administratoren eine neue Funktion zur Verfügung, um eine automatische Prüfung auf autorisierte Paketaktualisierungen zu konfigurieren. Weitere Informationen finden Sie im Abschnitt Automatische Prüfung konfigurieren in #GUID-0E29BCFB-2FB5-426E-BA24-C540392B36A8.
Wenn ein Scanner ein veraltetes Photon-Paket meldet, bedeutet dies, dass Unified Access Gateway anfällig ist?
Ein Prüfbericht kann manchmal auf eine Schwachstelle hindeuten, aber in den meisten Fällen ist ein Bericht über eine neuere Version des verfügbaren Pakets nicht auf Unified Access Gateway anwendbar. Dies kann daran liegen, dass die Korrekturmaßnahme zur Behebung der Schwachstelle bereits durchgeführt wurde oder dass sich die Schwachstelle in einer Komponente befindet, die von Unified Access Gateway nicht verwendet oder aktiviert wird. Schwachstellen-Scanner können selbst dann zu Fehlalarmen führen, wenn sie richtig konfiguriert sind und auf dem neuesten Stand gehalten werden.
Wenn es einen „falsch-positiv“-Bericht zur Schwachstellenprüfung vorhanden gibt, würde die Anwendung der Paketaktualisierung für dieses Paket Unified Access Gateway sicherer machen?
Die Anwendung der Paketaktualisierung in diesen Fällen würde keinen Unterschied machen, da Unified Access Gateway ohnehin nicht für „falsch-positiv“ anfällig ist. VMware unterstützt nicht die Anwendung von Paketaktualisierungen auf virtuelle VMware-Appliances. Das Aktualisieren oder Ändern von Komponenten kann zu einem unerwarteten Verhalten des Systems führen.
Warum unterstützt VMware keine Kundenänderung/Aktualisierung von Photon-Paketen auf virtuellen VMware-Appliances?
- Dies könnte zu unerwartetem Verhalten des Systems führen, da es zu Inkompatibilitäten mit anderer Software auf dem Gerät und zu Abwärtskompatibilitätsproblemen bei der Konfiguration kommt.
- Durch das Aktualisieren eines Pakets könnte eine neue Sicherheitslücke eingeführt werden, die bei Sicherheitstests vor der ursprünglichen Appliance-Version nicht erkannt wurde.
- Für die „falsch-positiv“-Ergebnisse führt die Aktualisierung der Paketversion zu keiner Verbesserung der Sicherheit.
Die von VMware durchgeführten Tests befinden sich auf dem Satz von Komponenten, aus denen das Image der virtuellen Appliance genau wie ursprünglich veröffentlicht besteht.
Wenn ich mich um einen Bericht über Scanner-Schwachstellen kümmern möchte, kann ich Informationen zu diesem Bericht von VMware anfordern?
Die meisten Scanner identifizieren, welches Produkt und welche Version im Netzwerk ausgeführt werden, und vergleichen diese Informationen mit einer Liste öffentlich bekannter Schwachstellen. Schwachstellen-Scanner können selbst dann zu Fehlalarmen führen, wenn sie richtig konfiguriert sind und auf dem neuesten Stand gehalten werden. Eine Support-Anfrage kann von einem Kunden gestellt werden, und VMware Support zusammen mit VMware Security Response Center (vSRC) antwortet und erläutert, warum das Update nicht für die jeweilige Appliance gilt.
Führt VMware regelmäßig Prüfungen für Unified Access Gateway-Appliances intern aus?
Ja. Der VMware Security Development Lifecycle umfasst regelmäßige und automatische Scans der Appliances, so dass VMware eine frühzeitige Analyse durchführen kann.
Wie oft werden Photon-Paketversionen aktualisiert?
Mehrere Photon-Kernel- und Paketaktualisierungen werden jeden Monat veröffentlicht. In den meisten Fällen werden diese nicht für Unified Access Gateway freigegeben, sondern in der nächsten geplanten Unified Access Gateway-Version.
Wenn eine kritische Photon Paket- oder Unified Access Gateway Softwaresicherheitsschwachstelle erkannt wird, die Unified Access Gateway betrifft, wie kann ich mich darüber informieren?
Kunden können VMware-Sicherheitshinweise abonnieren, die veröffentlicht werden, um Kunden über Maßnahmen zu informieren, die sie ergreifen müssen, um Produkte vor bekannten Schwachstellen zu schützen, die VMware-Produkte betreffen.
Was ist die Antwort von VMware, wenn eine kritische Unified Access Gateway-Schwachstelle identifiziert wird? Soll ich auf die nächste geplante Version warten?
VMware veröffentlicht die Sicherheitsrichtlinie, die die Antwortzeiten für identifizierte Sicherheitsschwachstellen definiert. Die Antwortzeit basiert auf dem Schweregrad, der für ein bestimmtes Produkt gilt. Wenn zum Beispiel eine kritische Sicherheitslücke in Unified Access Gateway entdeckt wird, muss VMware sofort mit der Arbeit an einer Lösung oder Korrekturmaßnahme beginnen. VMware stellt Kunden den Fix oder die Korrekturmaßnahme in der kürzesten betriebswirtschaftlich angemessenen Zeit zur Verfügung. Ein Fix wird als Patch-Image-Version bereitgestellt und der Kunde muss so schnell wie möglich ein Upgrade auf diese Version durchführen. Warten Sie nicht auf die nächste geplante Version von Unified Access Gateway. In diesem Fall veröffentlicht VMware auch eine Sicherheitsempfehlung und stellt das Update möglicherweise auch als automatisches Update zur Verfügung. Weitere Informationen finden Sie unter Sicherheitsrichtlinie.