Le programme FedRAMP (Federal Risk and Management Program) est un programme de gestion des risques de cybersécurité pour l'utilisation de produits et de services cloud utilisés par des agences fédérales américaines.

FedRAMP utilise les directives et procédures du NIST (National Institute of Standards and Technology) pour fournir des exigences de sécurité normalisées pour les services cloud. En outre, FedRAMP exploite la publication spéciale du NIST [SP] 800-53 - Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations fédérales, les lignes de base et les cas de test.

VMware recherche la conformité FedRAMP et la certification d'Unified Access Gateway avec Horizon on Azure GovCloud. Cela nécessite une configuration spécifique.

Conditions préalables

  • Image de dispositif d'artefact de build FIPS d'Unified Access Gateway 2207 ou version ultérieure.
  • Référentiel du miroir de modules dans la limite FedRAMP pour contenir des modules Photon OS avec des mises à jour de sécurité pour l'application de correctifs de sécurité périodiques sur le dispositif Unified Access Gateway.
  • Serveur Syslog pour transférer les événements d'audit d'Unified Access Gateway.
  • Serveurs NTP pour configurer la synchronisation de l'heure sur Unified Access Gateway.
  • Configuration du fournisseur d'identité avec prise en charge de l'authentification SAML.
  • VMware Horizon Cloud pour Azure GovCloud.

Déployez la version FIPS d'Unified Access Gateway 2207 ou version ultérieure sur Azure GovCloud avec les configurations suivantes.

  1. Configurez les paramètres de renforcement du SE spécifiés dans la section Directives de conformité du SE STIG DISA pour Unified Access Gateway.
  2. Configurez les paramètres suivants en fonction de la configuration requise.
    Paramètre Description
    sshKeyAccessEnabled Définissez ce paramètre sur true pour activer l'accès SSH à l'aide de la paire de clés.

    La valeur par défaut est false.

    sshPublicKey1

    (sshPublicKey2, ...)

    Configurez la clé publique SSH utilisée pour la connexion SSH si l'accès basé sur la clé SSH est activé.
    osLoginUsername Entrez le nom d'utilisateur non racine avec privilèges élevés pour vous connecter à la console du SE Unified Access Gateway.

    Par défaut, la connexion racine est prise en charge.

    osMaxLoginLimit Entrez le nombre maximal autorisé de sessions de connexion simultanées d'un utilisateur non racine, s'il est configuré.
  3. Configurez des certificats de serveur TLS pour Unified Access Gateway avec une taille de clé RSA égale ou supérieure à 2 048. Reportez-vous à la section [SSLCert] de l'exemple INI dans Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
  4. Configurez les paramètres de mise à jour automatique des modules pour télécharger et appliquer les mises à jour de sécurité à partir du référentiel de modules conservé dans la limite de FedRAMP. Reportez-vous aux sections Configurer Unified Access Gateway pour appliquer automatiquement les mises à jour du système d'exploitation autorisées et [PackageUpdates] de l'exemple INI dans Utilisation de PowerShell pour déployer le dispositif Unified Access Gateway.
  5. Configurez le service Horizon Edge avec les paramètres de méthode d'authentification nécessaires, tels que SAML. Pour plus d'informations, reportez-vous à la section Configuration d'Horizon pour l'intégration d'Unified Access Gateway et du fournisseur d'identité tiers.