Mirage 게이트웨이 서버는 Linux에서 실행됩니다. 일반 OS 취약성으로부터 이 호스트를 보호해야 합니다.
스파이웨어 필터, 침입 감지 시스템 및 기업 정책에 규정된 기타 보안 조치를 사용하십시오.
OS 패치를 포함한 모든 보안 조치가 최신 상태인지 확인합니다.
보호 구성 코드는 OVA 템플릿 배포 중에 실행됩니다.
표 1.
코드 MEG01에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG01 |
| 이름 |
Mirage Gateway 시스템에 적절한 패치를 적용하여 유지합니다. |
| 설명 |
OS 패치를 최신 상태로 유지하면 OS 취약성이 완화됩니다. |
| 위험 또는 제어 |
시스템에 대한 액세스 권한을 얻은 공격자가 Mirage Gateway 시스템에서 권한을 다시 할당할 경우, 공격자는 Mirage 게이트웨이 서버를 통해 전송되는 모든 CVD에 액세스할 수 있습니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
업계 표준 지침이나 내부 지침에 따라 패치를 통해 Mirage Gateway 시스템을 최신 상태로 유지해주는 시스템을 사용합니다. |
표 2.
코드 MEG02에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG02 |
| 이름 |
Mirage 게이트웨이 서버 호스트에서 OS 보호를 제공합니다. |
| 설명 |
OS 수준의 보호를 제공하면 OS에 대한 취약성이 완화됩니다. 이 보호에는 맬웨어 방지 및 기타 유사한 조치가 포함됩니다. |
| 위험 또는 제어 |
시스템에 대한 액세스 권한을 얻은 공격자가 Mirage Gateway 시스템에서 권한을 다시 할당할 경우, 공격자는 Mirage 게이트웨이 서버를 통해 전송되는 모든 CVD에 액세스할 수 있습니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
해당 업계 표준 지침이나 내부 지침에 따라 맬웨어 방지 같은 OS 보호를 제공합니다. |
표 3.
코드 MEG03에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG03 |
| 이름 |
권한이 있는 사용자 로그인을 제한합니다. |
| 설명 |
관리자로 Mirage Gateway 시스템에 로그인할 수 있는 권한을 가진 사용자 수는 최소로 유지해야 합니다. |
| 위험 또는 제어 |
권한이 있는 무단 사용자가 Mirage Gateway 시스템에 대한 액세스 권한을 얻으면 시스템이 무단 수정에 취약하게 됩니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
개인별로 특정 권한이 있는 로그인 계정을 생성합니다. 해당 계정은 로컬 관리자 그룹의 일부여야 합니다. 계정이 로그인할 수 없고, 계정에 대해 유효하지 않은 암호를 제공하는 셸이 없어야 합니다. |
표 4.
코드 MEG04에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG04 |
| 이름 |
관리 암호 정책을 구현합니다. |
| 설명 |
모든 Mirage Gateway 시스템에 대한 암호 정책을 설정합니다. 암호에는 다음 매개 변수가 포함되어야 합니다.
- 최소 암호 길이
- 특수 문자 유형 필요
- 암호의 주기적인 변경 필요
|
| 위험 또는 제어 |
권한이 있는 무단 사용자가 Mirage Gateway 시스템에 대한 액세스 권한을 얻으면 시스템이 무단 수정에 취약하게 됩니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
각 Mirage Gateway 시스템에 대해 암호 정책을 설정합니다. |
표 5.
코드 MEG05에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG05 |
| 이름 |
불필요한 네트워크 프로토콜을 제거합니다. |
| 설명 |
Mirage Gateway는 IPv4 통신만 사용합니다. 파일 및 프린터 공유, NFS, 메일 보내기, 바인드, NIC 등과 같은 기타 서비스를 제거해야 합니다. |
| 위험 또는 제어 |
권한이 있는 무단 사용자가 Mirage Gateway 시스템에 대한 액세스 권한을 얻으면 시스템이 무단 수정에 더 취약하게 됩니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
Mirage Gateway Suse OS에서 yast를 실행합니다. [보안] 및 [사용자] 설정과 [방화벽] 설정에서 모든 네트워크 프로토콜을 사용하지 않도록 설정합니다. 다음 세 개 포트를 유지합니다.
- Mirage Gateway - 기본 TCP 8000
- 관리 - 기본 TCP 8080
- SSH - 기본 TCP 22
|
표 6.
코드 MEG06에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG06 |
| 이름 |
불필요한 서비스를 사용하지 않도록 설정합니다. |
| 설명 |
Mirage Gateway에는 최소한의 OS용 서비스가 필요합니다. 불필요한 서비스를 사용하지 않도록 설정할 경우 보안이 개선됩니다. 이 경우 서비스가 부팅 시 자동으로 시작되는 것을 방지할 수 있습니다. |
| 위험 또는 제어 |
불필요한 서비스가 실행될 경우 Mirage Gateway 시스템이 네트워크 공격에 더 취약해집니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
필요하지 않은 모든 서비스를 사용하지 않도록 설정합니다. Mirage Gateway Suse OS에서 yast를 실행합니다. 네트워크 서비스 드롭다운 메뉴에서 SSHD 및 iSCSI와 관련된 서비스를 제외한 모든 네트워크 서비스를 사용하지 않도록 설정합니다. |
표 7.
코드 MEG07에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG07 |
| 이름 |
관리할 DMZ에서 외부 방화벽 사용 |
| 설명 |
Mirage 게이트웨이 서버는 대개 DMZ에 배포됩니다. 허용되는 프로토콜 및 네트워크 포트를 제어하여 Mirage Gateway와의 통신을 필요한 최소 통신으로 제한해야 합니다. Mirage Gateway는 데이터 센터 내 Mirage 서버로 TCP 전달을 자동으로 수행하고, 모든 전달된 트래픽이 인증된 사용자로부터 전달되는지 확인합니다. |
| 위험 또는 제어 |
불필요한 프로토콜과 포트를 허용하면 악의적인 사용자의 공격 가능성이 증가할 수 있습니다. 특히 인터넷의 네트워크 통신을 위한 프로토콜 및 포트의 경우에 더 그렇습니다. |
| 권장 수준 |
Mirage 게이트웨이 서버에서 어느 방향으로든 프로토콜과 네트워크 포트를 Mirage 클라이언트와 Mirage 게이트웨이 서버 간에 필요한 최소 집합으로 제한하는 방화벽을 구성합니다. Mirage 게이트웨이 서버를 분리된 네트워크에 배포하여 프레임 브로드캐스트 범위를 제한해야 합니다. 이 구성은 내부 네트워크의 악의적인 사용자가 Mirage 게이트웨이 서버와 Mirage 서버 인스턴스 간의 통신을 모니터링하는 것을 방지하는 데 도움이 될 수 있습니다. Mirage Gateway와 Mirage 서버와의 통신을 악의적으로 모니터링하지 못하게 하는 고급 보안 기능을 네트워크 스위치에서 사용하고, ARP 캐시 포이즈닝 같은 모니터링 공격으로부터 보호할 수도 있습니다. |
| 매개 변수 또는 개체 구성 |
DMZ 배포에 필요한 방화벽 규칙에 대한 자세한 내용은 "VMware Mirage 설치 가이드" 를 참조하십시오. |
표 8.
코드 MEG08에 대한 보호 구성
| 구성 요소 |
설명 |
| 코드 |
MEG08 |
| 이름 |
Mirage 게이트웨이 서버에서 자체 서명된 기본 서버 인증서를 사용하지 마십시오. |
| 설명 |
Mirage 게이트웨이 서버를 처음 설치할 경우 서명된 인증서가 준비될 때까지 SSL 서버가 작동하지 않습니다. Mirage 게이트웨이 서버 및 SSL 서버에는 상용 CA(인증 기관) 또는 조직 CA에서 서명한 SSL 서버 인증서가 필요합니다. |
| 위험 또는 제어 |
자체 서명된 인증서를 사용할 경우 SSL 연결이 메시지 가로채기 공격에 더 취약해집니다. 신뢰할 수 있는 CA 서명 인증서에 인증서를 적용하면 이런 공격 가능성이 줄어듭니다. |
| 권장 수준 |
Enterprise |
| 조건 또는 단계 |
Mirage Gateway SSL 인증서 설정에 대한 자세한 내용은 "VMware Mirage 설치 가이드" 를 참조하십시오. |
| 테스트 |
취약성 검사 도구를 사용하여 Mirage Gateway를 연결합니다. 적절한 CA에서 서명했는지 확인합니다. |
