Cette section couvre les questions et réponses liées à la sécurité pour VMware Unified Access Gateway.

Puis-je installer des agents tiers et/ou un logiciel antivirus sur Unified Access Gateway ?

Non. Le logiciel antivirus ou les agents tiers ne sont pas requis sur un dispositif Unified Access Gateway. L'utilisation de ce logiciel n'est alors pas prise en charge et s'applique à tous les dispositifs virtuels de marque VMware. Pour plus d'informations, reportez-vous aux sites https://kb.vmware.com/s/article/80767 et https://kb.vmware.com/s/article/2090839.

Est-ce qu'Unified Access Gateway est affecté par CVE-XXX-XXXX ?

Unified Access Gateway exploite les outils principaux d'analyse de code, d'analyse de composition logicielle et d'analyse de vulnérabilité, et surveille les flux sectoriels pour détecter les vulnérabilités potentielles récemment identifiées. Si des vulnérabilités sont détectées, elles sont traitées conformément à la Procédure de résolution des problèmes de sécurité VMware.

Si nécessaire, les clients peuvent être avertis en fonction des pratiques de divulgation responsables via un Avis de sécurité VMware (VMSA, VMware Security Advisory). Vous pouvez vous abonner pour être informé des avis récemment publiés sur https://www.vmware.com/security/advisories.html. Vous êtes encouragé à appliquer régulièrement des mises à jour du produit pour bénéficier des dernières améliorations en matière de sécurité, de fiabilité et de fonctionnalités.

Pour plus d'informations sur les versions d'Unified Access Gateway, reportez-vous à la section #GUID-0E29BCFB-2FB5-426E-BA24-C540392B36A8.

Il est inévitable qu'après le lancement des dispositifs virtuels VMware tels qu'Unified Access Gateway par VMware, des mises à jour de sécurité Photon soient disponibles entre les dates de publication. La gravité de ces mises à jour de sécurité est générique et n'affecte pas principalement la sécurité d'Unified Access Gateway elle-même. Cela peut être dû au fait qu'Unified Access Gateway n'utilise pas le composant affecté, ou que la vulnérabilité se trouve dans une fonction du composant non pris en charge par Unified Access Gateway. Les mises à jour non autorisées dynamiques de ces composants Photon risquent de déstabiliser le dispositif et d'ajouter une nouvelle vulnérabilité qui ne peut pas être détectée lors des tests antérieurs à la version.

Tous les dispositifs VMware sont soigneusement testés et qualifiés en fonction des composants et des versions inclus dans la version d'origine. La mise à jour ou la modification de composants sur un dispositif virtuel risque donc d'entraîner un comportement inattendu du système. Les mises à jour non autorisées ne sont alors pas prises en charge.

Conformément aux autres dispositifs virtuels de marque VMware, celui-ci ne prend pas en charge les modifications ou les personnalisations du système d'exploitation sous-jacent et des modules inclus dans un dispositif virtuel de marque VMware. Cela inclut l'ajout, la mise à jour ou la suppression de modules et l'utilisation de scripts personnalisés dans le système d'exploitation du dispositif. Pour plus d'informations sur la stratégie de VMware pour les dispositifs virtuels, reportez-vous au site https://kb.vmware.com/s/article/2090839.

Si une vulnérabilité de sécurité est identifiée par VMware, par un client ou par toute autre personne, une stratégie est définie pour signaler cette situation et pour la réponse de VMware en fonction de la gravité telle qu'elle s'applique au produit particulier. Pour plus d'informations, reportez-vous à la section Procédure de résolution des problèmes de sécurité.

Une vulnérabilité de sécurité critique d'un composant Photon qui n'est pas utilisé par Unified Access Gateway ou qui ne s'applique à aucune fonctionnalité d'Unified Access Gateway n'est pas liée à la sécurité et n'est donc pas critique dans le contexte d'Unified Access Gateway.

Si une vulnérabilité de sécurité critique est déterminée pour affecter Unified Access Gateway, VMware peut publier une version corrigée du dispositif en plus de la mise à jour dans la prochaine version trimestrielle. Cela peut s'appliquer à un problème critique qui ne concerne pas Unified Access Gateway pour lequel il n'existe aucune solution. VMware publie parfois des avis de sécurité afin de communiquer ces vulnérabilités.

À quelle fréquence VMware publie-t-il de nouvelles versions d'Unified Access Gateway ?

Pour plus d'informations, reportez-vous à la section #GUID-0E29BCFB-2FB5-426E-BA24-C540392B36A8.

Quand les mises à jour de modules Photon sont-elles appliquées à Unified Access Gateway ?

Chaque version planifiée d'Unified Access Gateway contient des versions de Photon et de Java à jour déterminées lors de la création du dispositif virtuel. Cela a lieu environ 2 semaines avant la date de disponibilité générale (GA, General Availability) pour permettre à l'équipe interfonctionnelle finale et à la qualification de sécurité de s'assurer que les combinaisons de versions de modules fonctionnent correctement ensemble. Les modules Photon sont mis à jour, même si la mise à jour consistait à résoudre une vulnérabilité qui ne s'applique pas à Unified Access Gateway.

Existe-t-il un mécanisme avec Unified Access Gateway pour télécharger automatiquement et appliquer les mises à jour critiques de vulnérabilité Photon ?

Oui. Cette fonctionnalité a été ajoutée avec la version 2009. Occasionnellement, VMware peut autoriser la mise à jour d'un ou de plusieurs modules du SE pour corriger une vulnérabilité critique qui affecte une version spécifique d'Unified Access Gateway et pour laquelle aucune solution viable n'est disponible. À partir de Unified Access Gateway version 2009, une nouvelle fonctionnalité est disponible pour que l'administrateur configure une vérification automatique des mises à jour autorisées des modules. Pour plus d'informations, reportez-vous à la section Configurer la vérification automatique dans #GUID-0E29BCFB-2FB5-426E-BA24-C540392B36A8.

Si un scanner signale un module Photon obsolète, cela signifie-t-il qu'Unified Access Gateway est vulnérable ?

Un rapport d'analyse peut parfois indiquer une vulnérabilité. Toutefois, la plupart du temps, un rapport sur une version plus récente du module disponible ne s'applique pas à Unified Access Gateway. Cela peut être dû au fait que la mesure corrective visant à atténuer la vulnérabilité a déjà été appliquée, ou que la vulnérabilité se trouve dans un composant non utilisé ou activé par Unified Access Gateway. Les scanners de vulnérabilité peuvent être sujets à de faux positifs même s'ils sont correctement configurés et mis à jour.

S'il existe un rapport d'analyse de vulnérabilité de « faux positifs », l'application de la mise à jour pour ce module rendrait-elle Unified Access Gateway plus sécurisé ?

L'application de la mise à jour du module dans ces cas-là ne fait aucune différence, car Unified Access Gateway n'est quand même pas vulnérable avec de « faux positifs ». VMware ne prend pas en charge l'application de mises à jour de modules aux dispositifs virtuels de marque VMware. La mise à jour ou la modification d'un composant peut entraîner un comportement inattendu du système.

Pourquoi VMware ne prend-il pas en charge la modification/mise à jour des modules Photon par le client sur des dispositifs virtuels de marque VMware ?

  • Cela peut entraîner un comportement inattendu du système en raison d'incompatibilités avec d'autres logiciels sur le dispositif et de problèmes de rétrocompatibilité avec la configuration.
  • La mise à jour d'un module peut ajouter une nouvelle vulnérabilité de sécurité qui ne serait pas détectée lors des tests de sécurité antérieurs à la version d'origine du dispositif.
  • Pour les « faux positifs », l'application d'une mise à jour de la version du module n'améliore pas la sécurité.

Les tests effectués par VMware se trouvent sur l'ensemble des composants qui constituent l'image du dispositif virtuel selon la publication initiale précisément.

Si je suis concerné par un rapport de vulnérabilité du scanner, puis-je demander des informations à ce sujet à VMware ?

La plupart des scanners fonctionnent en identifiant le produit et la version qui s'exécute sur le réseau et en comparant ces informations avec une liste de vulnérabilités connues publiquement. Les scanners de vulnérabilité peuvent être sujets à de faux positifs même s'ils sont correctement configurés et mis à jour. Une demande de support peut être déposée par un client et le support VMware ainsi que le centre de résolution des problèmes de sécurité VMware (vSRC, VMware Security Response Center) répondront et expliqueront pourquoi la mise à jour ne s'applique pas au dispositif particulier.

VMware exécute-t-il régulièrement en interne des analyses sur les dispositifs Unified Access Gateway ?

Oui. Le cycle de vie du développement de la sécurité VMware inclut des analyses régulières et automatiques des dispositifs afin que VMware puisse effectuer une analyse précoce.

À quelle fréquence les versions de modules Photon sont-elles mises à jour ?

Plusieurs mises à jour du noyau et du module Photon sont publiées chaque mois. Dans la plupart des cas, elles ne sont pas publiées pour Unified Access Gateway et sont regroupées pour être publiées dans la prochaine version prévue d'Unified Access Gateway.

Un module Photon critique ou une vulnérabilité de sécurité logicielle Unified Access Gateway est identifié et affecte Unified Access Gateway. Comment puis-je en savoir plus ?

Les clients peuvent s'abonner aux avis de sécurité VMware publiés pour informer les clients des mesures à prendre pour protéger les produits contre les vulnérabilités connues qui affectent les produits VMware.

Quelle est la réponse de VMware si une vulnérabilité critique Unified Access Gateway est identifiée ? Puis-je attendre la prochaine version planifiée ?

VMware publie la stratégie de réponse de sécurité qui définit les temps de réponse pour les vulnérabilités de sécurité identifiées. Le temps de réponse est basé sur la gravité telle qu'elle s'applique à un produit particulier. Par exemple, une vulnérabilité de sécurité critique détectée dans Unified Access Gateway exige que VMware commence à travailler sur un correctif ou une mesure corrective immédiatement. VMware fournira le correctif ou une mesure corrective aux clients dans le délai acceptable le plus court possible d'un point de vue commercial. Un correctif est livré sous la forme d'une version d'image de correctif. Le client doit alors effectuer la mise à niveau vers cette version dès que possible. N'attendez pas la prochaine version prévue d'Unified Access Gateway. Dans ce cas, VMware publie également un avis de sécurité et peut également rendre la mise à jour disponible sous la forme d'une mise à jour automatique. Reportez-vous à la section Procédure de résolution des problèmes de sécurité.