適用於 Unified Access Gateway 的 FedRAMP 準則

「聯邦風險與管理計劃 (FedRAMP)」是一項網路安全風險管理計劃，用來管理美國聯邦機構所使用的雲端產品和服務的使用方式。

FedRAMP 使用「美國國家標準與技術研究院 (NIST)」的準則和程序，為雲端服務提供標準化安全需求。此外，FedRAMP 還會利用 NIST 的特別出版物 [SP] 800-53 - 「聯邦資訊系統與組織的安全與隱私控制」系列：基線和測試案例。

先決條件

Unified Access Gateway 2207 或更新的 FIPS 組建編號構件應用裝置映像，以用於部署。
FedRAMP 界限內的套件鏡像存放庫，用來保留具有安全性更新的 Photon OS 套件，以便在 Unified Access Gateway 應用裝置上套用定期安全性修正。
Syslog 伺服器，用來從 Unified Access Gateway 轉送稽核事件。
NTP 伺服器，用來在 Unified Access Gateway 上設定時間同步。
可支援 SAML 驗證的身分識別提供者設定。
VMware Horizon Cloud for Azure GovCloud。

使用以下組態在 Azure GovCloud 上部署 FIPS 版本的 Unified Access Gateway 2207 或更新版本。

根據需求設定下列參數。


參數	說明
sshKeyAccessEnabled	設定為 `true`，以使用金鑰配對來啟用 SSH 存取。預設值為 `false`。
sshPublicKey1 (sshPublicKey2、...)	如果啟用了 SSH 金鑰型存取，請設定用於 SSH 登入的 SSH 公開金鑰。
osLoginUsername	輸入高權限非根使用者名稱，以登入 Unified Access Gateway 作業系統主控台。依預設，支援根使用者登入。
osMaxLoginLimit	輸入非根使用者允許的並行登入工作階段數上限 (如果已設定的話)。

使用 RSA 金鑰 (大小至少有 2048)，來設定 Unified Access Gateway 的 TLS 伺服器憑證。請參閱 VMware Docs 上《部署及設定 VMware Unified Access Gateway 指南》中的 INI 範例執行 PowerShell 指令碼以部署 Unified Access Gateway 的 [SSLCert] 一節。
設定自動套件更新設定，以便從 FedRAMP 界限內所維護的套件存放庫，下載並套用安全性更新。請參閱 VMware Docs 上《部署及設定 VMware Unified Access Gateway 指南》中的設定 Unified Access Gateway 以自動套用授權的作業系統更新以及 INI 範例使用 PowerShell 來部署 Unified Access Gateway 應用裝置的 [PackageUpdates] 一節。
使用必要的驗證方法設定 (例如 SAML) 來設定 Horizon Edge 服務。如需詳細資訊，請參閱 VMware Docs 上《部署及設定 VMware Unified Access Gateway 指南》中的為 Unified Access Gateway 和第三方身分識別提供者整合設定 Horizon。