本節介紹設定給 Unified Access Gateway 的安全性設定。
下表列出標準 (非 FIPS) Unified Access Gateway 上主要 Unified Access Gateway HTTP 連接埠 443 的 TLS 組態。FIPS 版本的 Unified Access Gateway 使用更有限的一組加密和 TLS 版本。TLS 設定是在 [系統設定] 中設定,適用於 Horizon Edge 服務和 Web 反向 Proxy Edge 服務。
| TLS 版本 | TLS 加密 | TLS 橢圓曲線/具名群組 | TLS 伺服器憑證 |
|---|---|---|---|
| Unified Access Gateway 在 HTTPS 443 介面上支援以下 TLS 版本。
預設值是僅支援 |
Unified Access Gateway 在 HTTPS 443 介面上支援下列預設 TLS 加密。加密清單可供設定。 TLS 1.3
TLS 1.2
|
P-256 (secp256r1) (256 位元)
X25519 (253 位元) |
依預設,Unified Access Gateway 會產生自我簽署 SSL 伺服器憑證。VMware 強烈建議替換成適用於生產環境的受信任「憑證授權機構 (CA)」簽署憑證。可在 Unified Access Gateway 部署期間指定受信任的 CA 簽署憑證。 |
SSH
依預設,會停用透過 SSH 通訊協定對 Unified Access Gateway 進行根主控台存取。您可以採用密碼存取和/或 SSH 金鑰,來啟用 SSH 存取。必要時,可限制成在個別 NIC 上進行存取。
藉由將 SSH 存取侷限在特定的 NIC,還可以使用 jumpbox,確保對該 jumpbox 的存取受到限制。
符合性
《安全技術實施指南》(STIG)
Unified Access Gateway 支援組態設定,以允許 Unified Access Gateway 符合 Photon 3 DISA STIG。為了達成此符合性,必須使用 FIPS 版本的 Unified Access Gateway,並在部署時套用特定的組態設定。
與 Horizon 搭配使用時適用於 Unified Access Gateway 的 NIAP CSfC 準則
美國國家安全局 (US National Security Agency, NSA) 制定、核准並發佈了解決方案層級規範,稱為「功能套件」(Capability Packages, CP)。除了 CP 之外,美國國家安全局和美國國家資訊安全保證聯盟 (National Information Assurance Partnership, NIAP) 還與來自跨產業的技術社群、政府和學術界合作,共同制定、維護並發佈了產品層級的安全性需求,稱為「保護設定檔」(Protection Profiles, PP)。
NSA/CSS (中央安全局) 的「機密商業解決方案 (Commercial Solutions for Classified, CSfC) 計劃」旨在使商業產品能夠用於可保護機密國家安全性系統 (NSS) 資料的多層解決方案。
與 Horizon 搭配使用的 Unified Access Gateway 符合 NIAP/CSfC,且為受傳輸層安全性 (TLS) 所保護的伺服器使用 CSfC 選項。此驗證要求在 Unified Access Gateway 應用裝置中進行 NIAP/CSfC 作業所需特定的組態設定。
FedRAMP 符合性
「聯邦風險與管理計劃 (FedRAMP)」是一項網路安全風險管理計劃,用來管理美國聯邦機構所使用的雲端產品和服務的使用方式。FedRAMP 使用「美國國家標準與技術研究院 (NIST)」的準則和程序,為雲端服務提供標準化安全需求。具體而言,FedRAMP 會利用 NIST 的特別出版物 [SP] 800-53 - 「聯邦資訊系統與組織的安全與隱私控制」系列:基線和測試案例。
