이 섹션에서는 Unified Access Gateway에 대해 구성된 보안 설정을 소개합니다.

다음 표에는 표준(비 FIPS) Unified Access Gateway의 기본 Unified Access Gateway HTTP 포트 443에 대한 TLS 구성이 나와 있습니다. FIPS 버전의 Unified Access Gateway에서는 좀 더 제한된 암호 및 TLS 버전 집합을 사용합니다. TLS 설정은 [시스템 설정]에서 구성되며 Horizon Edge 서비스 및 Web Reverse Proxy Edge 서비스에 적용됩니다.

참고: VMware Tunnel, Content GatewaySecure Email Gateway Edge 서비스에 대한 TLS 설정은 Workspace ONE UEM Console에서 별도로 구성됩니다.
표 1. Unified Access Gateway HTTP 포트 443에 대한 TLS 구성
TLS 버전 TLS 암호 TLS Elliptic Curve/명명된 그룹 TLS 서버 인증서

Unified Access Gateway는 HTTPS 443 인터페이스에서 다음 TLS 버전을 지원합니다.

  • TLS 1.3
  • TLS 1.2
  • TLS 1.1
  • TLS 1.0

기본적으로는 TLS 1.3TLS 1.2만 지원됩니다. 다른 버전은 필요한 경우에만 활성화하는 것이 좋습니다.

Unified Access Gateway는 HTTPS 443 인터페이스에서 다음과 같은 기본 TLS 암호를 지원합니다. 암호 목록은 구성할 수 있습니다.

TLS 1.3

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
 P-256 (secp256r1)(256비트)

P-384 (secp384r1) (384비트)

P-521 (secp521r1)(521비트)

X25519(253비트)		 기본적으로 Unified Access Gateway는 자체 서명된 SSL 서버 인증서를 생성합니다. VMware 운영 환경에 적합한 신뢰할 수 있는 CA(인증 기관) 서명 인증서로 교체할 것을 강력히 권장합니다. 신뢰할 수 있는 CA 서명 인증서는 Unified Access Gateway 배포 중에 지정할 수 있습니다.

SSH

기본적으로 SSH 프로토콜을 사용하여 Unified Access Gateway에 대한 루트 콘솔 액세스가 비활성화되었습니다. 암호 액세스나 SSH 키 또는 둘 다를 사용하여 SSH 액세스를 활성화할 수 있습니다. 필요한 경우 개별 NIC의 액세스로 제한될 수 있습니다.

SSH 액세스를 특정 NIC로 제한하면 jumpbox를 사용하고 해당 jumpbox에 대한 액세스를 제한할 수도 있습니다.

규정 준수

STIG(Security Technical Implementation Guide)

Unified Access GatewayUnified Access Gateway에서 Photon 3 DISA STIG를 준수할 수 있도록 하는 구성 설정을 지원합니다. 이 규정 준수를 위해 FIPS 버전의 Unified Access Gateway를 사용해야 하며 배포 시에 특정 구성 설정이 적용됩니다.

Horizon에서 사용할 경우 Unified Access Gateway에 대한 NIAP CSfC 지침

미국 NSA(National Security Agency)는 CP(기능 패키지)라는 솔루션 수준 규격을 개발, 승인 및 발표했습니다. CP와 더불어, 국가 보안국 및 NIAP(국가 정보 보증 파트너십)는 산업, 정부 및 교육 분야의 기술 커뮤니티와 협력하여 PP(보호 프로파일)라는 제품 수준 보안 요구 사항을 개발, 유지 보수 및 게시합니다.

분류된 NSS(국가 보안 시스템) 데이터를 보호하는 계층화된 솔루션에서 상용 제품을 사용할 수 있도록 하기 위해 NSA/CSS(중앙 보안 서비스) CSfC(Commercial Solutions for Classified) 프로그램이 설정되었습니다.

Horizon이 포함된 Unified Access Gateway는 NIAP/CSfC를 준수하며 TLS(전송 계층 보안) 보호 서버에 대한 CSfC 선택 항목을 사용합니다. 이 유효성 검사를 수행하려면 NIAP/CSfC 작업에 필요한 Unified Access Gateway 장치에 특정 구성이 필요합니다.

FedRAMP 규정 준수

FedRAMP(Federal Risk and Management Program)는 미국 연방 기관에서 사용하는 클라우드 제품 및 서비스를 사용하기 위한 사이버 보안 리스크 관리 프로그램입니다. FedRAMP는 NIST(National Institute of Standards and Technology)의 지침 및 절차를 사용하여 클라우드 서비스에 대한 표준화된 보안 요구 사항을 제공합니다. 특히, FedRAMP는 NIST의 [SP(Special Publication)] 800-53 - 연방 정보 시스템 및 조직을 위한 보안 및 개인 정보 보호 제어 시리즈, 기준 및 테스트 사례를 활용합니다.