Esta sección abarca los ajustes de seguridad configurados para Unified Access Gateway.
En la siguiente tabla se muestra la configuración de TLS para el puerto HTTP 443 de Unified Access Gateway en Unified Access Gateway estándar (no FIPS). La versión FIPS de Unified Access Gateway utiliza un conjunto más limitado de cifrados y versiones de TLS. La configuración de TLS se establece en Configuración del sistema y se aplica al servicio de Horizon Edge y al servicio de proxy inverso de web de Edge.
Versiones de TLS | Cifrados TLS | Curvas elípticas/grupos con nombre de TLS | Certificados de servidor TLS |
---|---|---|---|
Unified Access Gateway admite las siguientes versiones de TLS en la interfaz HTTPS 443.
El valor predeterminado es solo para admitir |
Unified Access Gateway admite los siguientes cifrados TLS predeterminados en la interfaz HTTPS 443. La lista de cifrados se puede configurar. TLS 1.3
TLS 1.2
|
P-256 (secp256r1) (256 bits)
X25519 (253 bits) |
De forma predeterminada, Unified Access Gateway generará certificados de servidor SSL autofirmados. VMware recomienda reemplazarlos por certificados firmados por una entidad de certificación (CA) de confianza adecuados para el entorno de producción. Los certificados firmados por una CA de confianza se pueden especificar durante la implementación de Unified Access Gateway. |
SSH
De forma predeterminada, el acceso de consola raíz a Unified Access Gateway mediante el protocolo SSH está desactivado. Puede activar el acceso SSH mediante el acceso de contraseña, claves SSH, o ambos. Si es necesario, puede limitarse al acceso en NIC individuales.
Al restringir el acceso SSH a NIC específicas, también es posible utilizar un Jumpbox y garantizar un acceso limitado a ese Jumpbox.
Conformidad
Guías de implementación técnica de seguridad (STIG)
Unified Access Gateway admite las opciones de configuración para permitir que Unified Access Gateway esté conforme con la STIG de DISA de Photon 3. Para esta conformidad, se debe utilizar la versión FIPS de Unified Access Gateway y se deben aplicar ajustes de configuración específicos en el momento de la implementación.
Directrices de NIAP CSfC para Unified Access Gateway cuando se utiliza con Horizon
La agencia de seguridad nacional de EE. UU. (NSA) ha desarrollado, aprobado y publicado especificaciones de nivel de solución denominadas paquetes de capacidad (Capability Packages, CP). Además de los CP, la agencia de seguridad nacional y la asociación de aseguramiento de la información nacional (NIAP) trabajan con comunidades técnicas de diferentes sectores, organizaciones gubernamentales y el mundo académico para desarrollar, mantener y publicar requisitos de seguridad a nivel de producto denominados perfiles de protección (PP).
El programa de soluciones comerciales para clasificados (CSfC) de NSA/CSS (Central Security Service) se estableció para permitir el uso de productos comerciales en soluciones en capas que protegen los datos de NSS (sistemas de seguridad nacional) clasificados.
Unified Access Gateway con Horizon es compatible con NIAP/CSfC y utiliza las selecciones de CSfC para servidores protegidos de seguridad de la capa de transporte (TLS). Esta validación requiere una configuración específica en el dispositivo de Unified Access Gateway que es necesaria para la operación de NIAP/CSfC.
Conformidad con FedRAMP
El programa federal de riesgos y administración (FedRAMP, Federal Risk and Management Program) es un programa de administración de riesgos de seguridad cibernética para el uso de productos y servicios de nube utilizados por agencias federales de EE. UU. FedRAMP utiliza las directrices y procedimientos del instituto nacional de estándares y tecnología (NIST, National Institute of Standards and Technology) para proporcionar requisitos de seguridad estandarizados para los servicios de nube. Específicamente, FedRAMP sigue los contenidos de la serie de publicación especial del NIST [SP] 800-53: Controles de seguridad y privacidad para sistemas de información y organización federal, las líneas base y los casos de prueba.