Cette section couvre les paramètres de sécurité configurés pour Unified Access Gateway.
Le tableau suivant répertorie la configuration TLS pour le port HTTP 443 Unified Access Gateway principal sur l'instance d'Unified Access Gateway standard (non-FIPS). La version FIPS d'Unified Access Gateway utilise un ensemble plus limité de chiffrements et de versions TLS. Les paramètres TLS sont configurés dans Paramètres système et s'appliquent au service Horizon Edge et au service Edge du proxy inverse Web.
Versions TLS | Chiffrements TLS | Groupes nommés/de courbes elliptiques TLS | Certificats de serveur TLS |
---|---|---|---|
Unified Access Gateway prend en charge les versions TLS suivantes sur l'interface HTTPS 443.
La valeur par défaut concerne la prise en charge de |
Unified Access Gateway prend en charge les chiffrements TLS par défaut suivants sur l'interface HTTPS 443. La liste de chiffrements est configurable. TLS 1.3
TLS 1.2
|
P-256 (secp256r1) (256 bits)
X25519 (253 bits) |
Par défaut, Unified Access Gateway générera des certificats de serveurs SSL auto-signés. VMware recommande vivement de les remplacer par des certificats signés par une autorité de certification approuvée et adaptés à l'environnement de production. Les certificats signés par une autorité de certification approuvée peuvent être spécifiés lors du déploiement d'Unified Access Gateway. |
SSH
Par défaut, l'accès de la console racine à Unified Access Gateway à l'aide du protocole SSH est désactivé. Vous pouvez activer l'accès SSH à l'aide de l'accès par mot de passe ou des clés SSH, ou les deux. Si nécessaire, il peut être limité à l'accès sur des cartes réseau individuelles.
En limitant l'accès SSH à des cartes réseau spécifiques, il est également possible d'utiliser une JumpBox et de garantir un accès limité à cette dernière.
Conformité
Guides de mise en œuvre technique de la sécurité (STIG)
Unified Access Gateway prend en charge les paramètres de configuration pour permettre à Unified Access Gateway de se conformer au STIG DISA Photon 3. Pour cette conformité, la version FIPS d'Unified Access Gateway doit être utilisée. Des paramètres de configuration spécifiques sont alors appliqués au moment du déploiement.
Directives du programme CSfC NIAP pour Unified Access Gateway en cas d'utilisation avec Horizon
La National Security Agency (NSA) des États-Unis a développé, approuvé et publié des spécifications au niveau des solutions appelées modules de capacité. En plus des modules de capacité (CP), la National Security Agency et le National Information Assurance Partnership (NIAP) collaborent avec les communautés techniques des différents secteurs d'activité, des gouvernements et du milieu universitaire pour développer, tenir à jour et publier des exigences de sécurité au niveau des produits appelées profils de protection (PP).
Le programme CSfC (Commercial Solutions for Classified) par la NSA/le CSS (Central Security Service) est établi pour permettre l'utilisation de produits commerciaux dans des solutions en couches protégeant les données NSS (National Security Systems) classifiées.
Unified Access Gateway avec Horizon est conforme à NIAP/CSfC et utilise les sélections CSfC pour les serveurs protégés TLS (Transport Layer Security). Cette validation nécessite une configuration spécifique dans le dispositif Unified Access Gateway, ce qui est nécessaire pour l'opération NIAP/CSfC.
Conformité FedRAMP
Le programme FedRAMP (Federal Risk and Management Program) est un programme de gestion des risques de cybersécurité pour l'utilisation de produits et de services cloud utilisés par des agences fédérales américaines. FedRAMP utilise les directives et procédures du NIST (National Institute of Standards and Technology) pour fournir des exigences de sécurité normalisées pour les services cloud. En particulier, FedRAMP exploite la publication spéciale de NIST [SP] 800-53 - Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations fédérales, les lignes de base et les cas de test.