本節介紹 VMware Unified Access Gateway 安全性的相關問題和回答。
是否可以在 Unified Access Gateway 上安裝第三方代理及/或防毒軟體?
否。Unified Access Gateway 應用裝置上不需要防毒軟體或第三方代理,不支援使用此類軟體,這適用於所有 VMware 品牌虛擬應用裝置。如需詳細資訊,請參閱 https://kb.vmware.com/s/article/80767 和 https://kb.vmware.com/s/article/2090839。
Unified Access Gateway 是否受 CVE-XXX-XXXX 影響?
Unified Access Gateway 利用業界領先的程式碼掃描、軟體組合分析和弱點掃描工具,並監控業界摘要,以瞭解新識別的潛在弱點。一旦檢測到弱點,會根據 VMware 安全性回應原則進行處理。
必要時,可透過「VMware 安全性公告 (VMSA)」根據負責任的揭露做法來通知客戶。您可以訂閱,以便在 https://www.vmware.com/security/advisories.html 中收到通知取得新發佈的公告。建議您定期套用產品更新,以利用最新的安全性、可靠性和功能獲得改進。
如需 Unified Access Gateway 版本的詳細資訊,請參閱產品更新。
VMware 發行 VMware 虛擬應用裝置 (如 Unified Access Gateway) 後,照例會在下次發佈日期之前,提供 Photon 安全性更新。這些安全性更新的嚴重性為一般,通常不會影響 Unified Access Gateway 自身的安全性。這可能是因為 Unified Access Gateway 不使用受影響的元件,或者弱點存在於 Unified Access Gateway 不支援的元件的功能中。對這些 Photon 元件執行未經授權的動態更新,可能會使應用裝置不穩定,並且可能引入一個在發行前的測試中無法偵測到的新弱點。
所有 VMware 應用裝置都是以原始版本中包含的元件和版本為基礎,來進行全面測試及評鑑。因此,如果更新或變更虛擬應用裝置上的任何元件,可能導致系統出現非預期的行為,因此不支援未經授權的更新。
與其他 VMware 品牌虛擬應用裝置一樣,VMware 不支援對 VMware 品牌虛擬裝置中包含的基礎作業系統和套件進行任何修改或自訂。這包括新增、更新或移除套件,以及在應用裝置的作業系統中使用自訂指令碼。如需關於 VMware 虛擬應用裝置原則的詳細資訊,請參閱 https://kb.vmware.com/s/article/2090839。
如果 VMware、客戶或其他任何人發現了安全性弱點,可使用已定義的原則來報告此弱點,VMware 會根據適用於特定產品的嚴重性做出回應。如需詳細資訊,請參閱 安全性回應原則。
對於 Unified Access Gateway 未使用或不適用於 Unified Access Gateway 任何功能的 Photon 元件,它的嚴重安全弱點沒有安全意義,因此在 Unified Access Gateway 環境中並不嚴重。
如果確定有一個嚴重安全性弱點會影響 Unified Access Gateway,那麼除了會在下一季發行中提供更新外,VMware 還可能會發行該應用裝置的修補版本。這可能針對的是適用於 Unified Access Gateway 且尚無因應措施的嚴重問題。VMware 會不時發佈安全性公告,以通報此類弱點。
VMware 多久發行一次新的 Unified Access Gateway 版本?
如需詳細資訊,請參閱產品更新。
何時將 Photon 套件更新套用至 Unified Access Gateway?
Unified Access Gateway 每一次規劃的發行都包含最新的 Photon 和 Java 版本,這些版本在建置此虛擬應用裝置時已確定。通常是在公開發行 (GA) 日期之前的 2 週左右,以便最終的跨職能團隊和安全評鑑有機會確保套件版本組合能正確地合作運作。即使更新旨在處理不適用於 Unified Access Gateway 的弱點,也會更新 Photon 套件。
Unified Access Gateway 是否具備自動下載並套用嚴重 Photon 弱點更新的機制?
是。此功能在 2009 版本中已新增。有時,VMware 可能會授權一或多個作業系統套件的更新,以修正影響特定 Unified Access Gateway 版本的嚴重弱點,以及用於無可行因應措施的情況。從 Unified Access Gateway 2009 版本開始,管理員可以使用新功能,來設定自動檢查任何授權套件的更新。如需詳細資訊,請參閱 產品更新 中的設定自動檢查一節。
如果掃描器報告存在過期的 Photon 套件,這是否意味著 Unified Access Gateway 容易受到攻擊?
掃描報告有時可能指出存在弱點,但大多數情況下,指出有較新套件版本可用的報告不適用於 Unified Access Gateway。這可能是因為已套用緩解弱點的修正動作,或者弱點存在於 Unified Access Gateway 未使用或未啟動的元件中。即使弱點掃描器設定正確並保持最新,也很容易出現誤報。
如果存在「誤報」弱點掃描報告,對該套件套用此套件更新能否提高 Unified Access Gateway 的安全性?
在這些情況下,套用套件更新並不會有任何差異,因為無論如何 Unified Access Gateway 都不會受到「誤報」影響。VMware 不支援將套件更新套用至 VMware 品牌虛擬應用裝置。更新或變更任何元件可能導致系統出現非預期的行為。
為什麼 VMware 不支援客戶修改/更新 VMware 品牌虛擬應用裝置上的 Photon 套件?
- 由於與應用裝置上的其他軟體不相容,以及組態的回溯相容性問題,這可能導致系統出現非預期行為。
- 更新套件可能引入新的安全性弱點,而這些弱點在原始應用裝置發行之前的安全測試期間將偵測不到。
- 對於「誤報」,套用套件版本更新,並不會提高安全性。
VMware 所執行的測試是針對構成虛擬應用裝置映像的元件集,與最初發行的完全一樣。
如果我在意掃描器弱點報告,是否可以要求 VMware 提供有關該報告的資訊?
大多數掃描器的運作方式是:識別在網路中執行的產品和版本,並將這些資訊與眾所周知的弱點清單進行比較。即使弱點掃描器設定正確並保持最新,也很容易出現誤報。客戶可以提出支援請求,VMware 支援以及「VMware 安全性回應中心 (vSRC)」將做出回應,並解釋為何更新不適用於特定的應用裝置。
VMware 是否會定期在內部對 Unified Access Gateway 應用裝置執行掃描?
是。「VMware 安全性開發生命週期」包括定期自動掃描應用裝置,這樣 VMware 就能進行早期分析。
Photon 套件版本多久更新一次?
每月都會發行幾個 Photon 核心和套件更新。在大多數情況下,這些不是針對 Unified Access Gateway 發行的,而是在下一個規劃的 Unified Access Gateway 版本中分批發行的。
如果發現一個嚴重的 Photon 套件或 Unified Access Gateway 軟體安全性弱點,且影響了 Unified Access Gateway,我如何取得有關此弱點的資訊?
客戶可以訂閱已發佈的 VMware 安全性公告,以獲悉他們必須採取的動作,從而保護產品不遭到一些會影響 VMware 產品之已知弱點的攻擊。
如果發現一個 Unified Access Gateway 嚴重弱點,VMware 會如何回應?我是否應該等下一個規劃的版本發行再說?
VMware 會發佈安全性回應原則,該原則定義了針對所發現安全性弱點的回應時間。回應時間取決於適用於特定產品的嚴重性。例如,在 Unified Access Gateway 中偵測到嚴重安全性弱點時,會要求 VMware 立即開始修正或採取更正動作。VMware 會在商業上最短的合理時間內,為客戶提供修正或更正動作。修正會以修補映像版本形式提供,且客戶必須儘快升級至該版本。不要等待到下一個規劃的 Unified Access Gateway 版本。在這種情況下,VMware 還會發佈安全性公告,也可能會以自動更新形式提供更新。請參閱安全性回應原則。