FedRAMP (Federal Risk and Management Program) は、米国連邦政府機関が使用するクラウド製品とサービスを使用するためのサイバー セキュリティ リスク管理プログラムです。

FedRAMP は、NIST (National Institute of Standards and Technology) のガイドラインと手順を使用して、クラウド サービスの標準化されたセキュリティ要件を提供します。さらに、FedRAMP は、NIST の Special Publication [SP] 800-53 - 連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策シリーズ、ベースライン、およびテスト ケースを利用しています。

VMware は、Horizon on Azure GovCloud に Unified Access Gateway の FedRAMP コンプライアンスと認定を求めています。これには特定の構成が必要です。

前提条件

  • Unified Access Gateway 2207 以降の FIPS は、デプロイに使用されるアーティファクト アプライアンス イメージを構築します。
  • Unified Access Gateway アプライアンスに定期的なセキュリティ修正を適用するためのセキュリティ アップデートを適用して、Photon OS パッケージを保持する FedRAMP 境界のパッケージ ミラー リポジトリ。
  • Unified Access Gateway から監査イベントを転送する Syslog サーバ。
  • Unified Access Gateway で時刻同期を構成する NTP サーバ。
  • SAML 認証をサポートする ID プロバイダのセットアップ。
  • VMware Horizon Cloud for Azure GovCloud。

次の構成を使用して、Unified Access Gateway 2207 以降の FIPS バージョンを Azure GovCloud にデプロイします。

  1. Unified Access Gateway の DISA STIG OS コンプライアンス ガイドラインで指定された OS セキュリティ強化設定を構成します。
  2. 要件に基づいて、次のパラメータを構成します。
    パラメータ 説明
    sshKeyAccessEnabled キーペアを使用した SSH アクセスを有効にするには、true に設定します。

    デフォルト値は false です。

    sshPublicKey1

    (sshPublicKey2、..)

    SSH キー ベースのアクセスが有効になっている場合は、SSH ログインに使用する SSH パブリック キーを構成します。
    osLoginUsername Unified Access Gateway OS コンソールにログインするための、権限の高い root 以外のユーザー名を入力します。

    デフォルトでは、root ログインがサポートされています。

    osMaxLoginLimit root 以外のユーザー(構成されている場合)の最大同時ログイン セッション数を入力します。
  3. RSA キー サイズが 2048 以上の Unified Access Gateway の TLS サーバ証明書を構成します。INI の例 (PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ) の [SSLCert] セクションを参照してください。
  4. FedRAMP 境界内で維持されているパッケージ リポジトリからセキュリティ アップデートをダウンロードして適用するように、パッケージの自動更新設定を構成します。INI の例 (PowerShell を使用した Unified Access Gateway アプライアンスのデプロイ) の認証済みの OS の更新を自動的に適用するように Unified Access Gateway を構成するおよび [PackageUpdates] セクションを参照してください。
  5. SAML などの必要な認証方法を使用して Horizon Edge サービスを構成します。詳細については、Unified Access Gateway およびサードパーティの ID プロバイダ統合のための Horizon 設定を参照してください。