Le serveur de passerelle Mirage s'exécute sur Linux. Vous devez protéger cet hôte contre les vulnérabilités normales du système d'exploitation.
Utilisez des filtres de logiciels espions, des systèmes de détection d'intrusion et les autres mesures de sécurité imposées par les stratégies de votre entreprise.
Vérifiez que toutes les mesures de sécurité sont à jour, y compris les correctifs du système d'exploitation.
Les codes de configuration de la protection s'exécutent au cours du déploiement du modèle OVA.
Tableau 1.
Configuration de protection pour le code MEG01
| Élément de configuration |
Description |
| Code |
MEG01 |
| Nom |
Maintient le système Mirage Gateway correctement corrigé. |
| Description |
En maintenant les correctifs de système d'exploitation à jour, les vulnérabilités du système d'exploitation sont atténuées. |
| Risque ou contrôle |
Si une personne malveillante parvient à accéder au système et réattribue les privilèges du système Mirage Gateway, cette personne peut accéder à tous les transferts CVD via le serveur de passerelle Mirage. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Utilise une application pour maintenir le système Mirage Gateway à jour à l'aide de correctifs, conformément aux recommandations standard du secteur ou aux directives internes, le cas échéant. |
Tableau 2.
Configuration de protection pour le code MEG02
| Élément de configuration |
Description |
| Code |
MEG02 |
| Nom |
Fournit une protection du système d'exploitation sur l'hôte du serveur de passerelle Mirage. |
| Description |
En fournissant une protection au niveau du système d'exploitation, les vulnérabilités du système d'exploitation sont atténuées. Cette protection comprend le logiciel anti-programme malveillant et d'autres mesures similaires. |
| Risque ou contrôle |
Si une personne malveillante parvient à accéder au système et réattribue les privilèges du système Mirage Gateway, cette personne peut accéder à tous les transferts CVD via le serveur de passerelle Mirage. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Fournit une protection du système d'exploitation, telle que le logiciel anti-programme malveillant, conformément aux recommandations standard du secteur ou aux directives internes, le cas échéant. |
Tableau 3.
Configuration de protection pour le code MEG03
| Élément de configuration |
Description |
| Code |
MEG03 |
| Nom |
Limitez la connexion d'utilisateur privilégié. |
| Description |
Le nombre d'utilisateurs privilégiés autorisés à se connecter au système Mirage Gateway en tant qu'administrateur doit être minimal. |
| Risque ou contrôle |
Si un utilisateur privilégié non autorisé accède au système Mirage Gateway, ce dernier devient plus vulnérable aux modifications non autorisées. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Créez des comptes avec des privilèges de connexion spécifiques pour des particuliers. Ces comptes doivent faire partie du groupe d'administrateurs locaux. Il ne doit pas exister de shell auquel le compte ne puisse pas se connecter. Indiquez un mot de passe non valide pour le compte. |
Tableau 4.
Configuration de protection pour le code MEG04
| Élément de configuration |
Description |
| Code |
MEG04 |
| Nom |
Implémentez une stratégie de mot de passe administrative. |
| Description |
Définissez une stratégie de mot de passe pour tous les systèmes Mirage Gateway. Le mot de passe doit inclure les paramètres suivants :
- Longueur minimale pour le mot de passe
- Types de caractères spéciaux obligatoires
- Modifications périodiques du mot de passe obligatoires
|
| Risque ou contrôle |
Si un utilisateur privilégié non autorisé accède au système Mirage Gateway, ce dernier devient plus vulnérable aux modifications non autorisées. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Définissez une stratégie de mot de passe pour chaque système Mirage Gateway. |
Tableau 5.
Configuration de protection pour le code MEG05
| Élément de configuration |
Description |
| Code |
MEG05 |
| Nom |
Supprimez le protocole réseau inutile. |
| Description |
Mirage Gateway utilise uniquement la communication IPv4. Vous devez supprimer les autres services, tels que le partage de fichiers et d'imprimantes, le système NFS, l'opération SendMail, la carte réseau ou BIND, etc. |
| Risque ou contrôle |
Si un utilisateur privilégié non autorisé accède au système Mirage Gateway, ce dernier devient plus vulnérable à des modifications non autorisées. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Exécutez yast sur le système d'exploitation Mirage Gateway Suse. Désactivez tous les protocoles réseau dans le paramètre de sécurité et des utilisateurs, ainsi que le paramètre de pare-feu. Conservez les trois ports suivants :
- Mirage Gateway : TCP 8000 par défaut
- Gestion : TCP 8080 par défaut
- SSH : TCP 22 par défaut
|
Tableau 6.
Configuration de protection pour le code MEG06
| Élément de configuration |
Description |
| Code |
MEG06 |
| Nom |
Désactivez les services inutiles. |
| Description |
Mirage Gateway nécessite un nombre minimal de services pour le système d'exploitation. Lorsque vous désactivez des services inutiles, vous améliorez la sécurité. Cela empêche les services de s'exécuter automatiquement au démarrage. |
| Risque ou contrôle |
Lorsque des services inutiles s'exécutent, le système Mirage Gateway est vulnérable aux attaques réseau. |
| Niveau recommandé |
Entreprise. |
| Condition ou étapes |
Désactivez tous les services qui ne sont pas nécessaires. Exécutez yast sur le système d'exploitation Mirage Gateway Suse. Désactivez tous les services réseau, à l'exception de ceux liés à SSHD et iSCSI qui se trouvent dans le menu déroulant Services réseau. |
Tableau 7.
Configuration de protection pour le code MEG07
| Élément de configuration |
Description |
| Code |
MEG07 |
| Nom |
Utiliser un pare-feu externe dans la zone DMZ à contrôler |
| Description |
Les serveurs de passerelle Mirage sont généralement déployés dans une zone DMZ. Vous devez contrôler quels protocoles et ports réseau sont autorisés, afin que la communication avec Mirage Gateway soit limitée au minimum requis. Mirage Gateway effectue automatiquement un transfert de connexion TCP vers les serveurs Mirage au sein d'un centre de données et vérifie que tous les trafics transférés proviennent directement d'utilisateurs authentifiés. |
| Risque ou contrôle |
L'autorisation de protocoles et de ports inutiles peut augmenter les risques d'une attaque d'un utilisateur malveillant, en particulier lorsqu'il s'agit de protocoles et de ports dédiés à la communication réseau depuis Internet. |
| Niveau recommandé |
Configurez un pare-feu sur un côté quelconque du serveur de passerelle Mirage, afin de limiter le nombre de protocoles et de ports réseau au minimum requis entre les clients Mirage et les serveurs de passerelle Mirage. Vous devez déployer le serveur de passerelle Mirage sur un réseau isolé pour limiter la portée des diffusions d'adresses de communication. Cette configuration permet d'empêcher un utilisateur malveillant sur le réseau interne de surveiller les communications entre les serveurs de passerelle Mirage et les instances de serveur Mirage. Vous souhaiterez peut-être utiliser des fonctionnalités de sécurité avancées sur votre commutateur réseau afin d'empêcher une surveillance malveillante des communications Mirage Gateway avec des serveurs Mirage et pour vous protéger contre des attaques de surveillance, telles que l'empoisonnement du cache ARP. |
| Configuration de paramètre ou d'objets |
Pour plus d'informations sur les règles du pare-feu nécessaires pour un déploiement DMZ, reportez-vous au Guide d'installation de VMware Mirage. |
Tableau 8.
Configuration de protection pour le code MEG08
| Élément de configuration |
Description |
| Code |
MEG08 |
| Nom |
Veuillez ne pas utiliser les certificats de serveur autosignés par défaut sur un serveur de passerelle Mirage. |
| Description |
Lorsque vous installez le serveur de passerelle Mirage pour la première fois, le serveur SSL ne peut pas fonctionner tant que les certificats signés ne sont pas préparés. Les serveurs de passerelle Mirage et SSL nécessitent des certificats de serveur SSL signés par une autorité de certification commerciale ou une autorité de certification organisationnelle. |
| Risque ou contrôle |
L'utilisation de certificats autosignés rend la connexion SSL plus vulnérable aux attaques d'intercepteurs. L'application de certificats d'autorité de certification de confiance atténue le potentiel de ces d'attaques. |
| Niveau recommandé |
Enterprise |
| Condition ou étapes |
Pour plus d'informations sur l'installation des certificats SSL Mirage Gateway, reportez-vous au Guide d'installation de VMware Mirage. |
| Test |
Utilisez l'outil d'analyse de vulnérabilité pour vous connecter à Mirage Gateway. Vérifiez c'est signé par l'autorité de certification appropriée. |
