Mirage 閘道伺服器在 Linux 上執行。您必須保護此主機,以免出現一般作業系統漏洞。
使用間諜軟體過濾器、入侵偵測系統以及您企業原則規定的其他安全措施。
確保所有安全性措施均是最新的,包括作業系統修補程式。
保護組態程式碼會在部署 OVA 範本期間執行。
表 1.
程式碼 MEG01 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG01 |
| 名稱 |
確保正確修補 Mirage 閘道系統。 |
| 描述 |
透過維持最新的作業系統修補程式,可減少作業系統漏洞。 |
| 風險或控制 |
如果攻擊者取得對系統的存取權並在 Mirage 閘道系統上重新指派權限,則該攻擊者可存取透過 Mirage 閘道伺服器傳輸的所有 CVD。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
按照業界標準準則或內部準則 (如果適用),採用可使 Mirage 閘道系統透過修補程式維持最新的系統。 |
表 2.
程式碼 MEG02 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG02 |
| 名稱 |
在 Mirage 閘道伺服器主機上提供作業系統保護。 |
| 描述 |
透過提供作業系統層級保護,可減少作業系統漏洞。此保護包括反惡意程式碼和其他類似措施。 |
| 風險或控制 |
如果攻擊者取得對系統的存取權並在 Mirage 閘道系統上重新指派權限,則該攻擊者可存取透過 Mirage 閘道伺服器傳輸的所有 CVD。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
按照業界標準準則或內部準則 (如果適用),提供作業系統保護,如反惡意程式碼。 |
表 3.
程式碼 MEG03 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG03 |
| 名稱 |
限制權限使用者登入。 |
| 描述 |
有權以管理員身分登入 Mirage 閘道系統的權限使用者人數應該是最少的。 |
| 風險或控制 |
如果未經授權的權限使用者取得對 Mirage 閘道系統的存取權,則系統容易遭受未經授權的修改。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
為個人建立特定權限登入帳戶。這些帳戶應該屬於本機管理員群組。系統中不應當存在帳戶無法登入的帳戶殼層,並且不應當為帳戶提供無效密碼。 |
表 4.
程式碼 MEG04 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG04 |
| 名稱 |
實作管理密碼原則。 |
| 描述 |
為所有 Mirage 閘道系統設定密碼原則。密碼應包含下列參數:
|
| 風險或控制 |
如果未經授權的權限使用者取得對 Mirage 閘道系統的存取權,則系統容易遭受未經授權的修改。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
在每個 Mirage 閘道系統上設定密碼原則。 |
表 5.
程式碼 MEG05 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG05 |
| 名稱 |
移除不必要的網路通訊協定。 |
| 描述 |
Mirage 閘道僅使用 IPv4 通訊。您應該移除其他服務,如篩選器和印表機共用、NFS、傳送郵件、繫結或 NIC 等等。 |
| 風險或控制 |
如果未經授權的權限使用者取得對 Mirage 閘道系統的存取權,則系統會更容易遭受未經授權的修改。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
在 Mirage 閘道 Suse 作業系統上執行 yast。停用 [安全性和使用者] 設定和 [防火牆] 設定下的所有網路通訊協定。保留下列三個連接埠:
- Mirage 閘道 - 預設 TCP 8000
- Management - 預設 TCP 8080
- SSH - 預設 TCP 22
|
表 6.
程式碼 MEG06 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG06 |
| 名稱 |
停用不必要的服務。 |
| 描述 |
Mirage 閘道要求最少數量的作業系統服務。停用不必要的服務可以增強安全性。還可避免服務在開機時自動啟動。 |
| 風險或控制 |
如果有不必要的服務正在執行,則 Mirage 閘道系統更容易受到網路攻擊。 |
| 建議層級 |
企業。 |
| 條件或步驟 |
停用所有不必要的服務。在 Mirage 閘道 Suse 作業系統上執行 yast。停用網路服務下拉式功能表下除與 SSHD 和 iSCSI 相關服務之外的所有網路服務。 |
表 7.
程式碼 MEG07 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG07 |
| 名稱 |
在 DMZ 中使用外部防火牆進行控制 |
| 描述 |
Mirage 閘道伺服器通常部署在 DMZ 中。您必須控制允許哪些通訊協定和網路連接埠,以便將與 Mirage 閘道的通訊限制為所需最小量。Mirage 閘道自動執行指向資料中心內 Mirage 伺服器的 TCP 轉寄,並確保所有轉寄的流量均是從通過驗證的使用者導出的。 |
| 風險或控制 |
允許不必要的通訊協定和連接埠可能會增加惡意使用者攻擊的可能性,尤其是允許用於來自網際網路的網路通訊的通訊協定和連接埠。 |
| 建議層級 |
在 Mirage 閘道伺服器的任一端設定防火牆,以將 Mirage 用戶端和 Mirage 閘道伺服器之間的通訊協定和網路連接埠限制為所需最小集。 您應該在隔離的網路上部署 Mirage 閘道伺服器,以限制框架廣播的範圍。此組態有助於防止內部網路上的惡意使用者監控 Mirage 閘道伺服器與 Mirage 伺服器執行個體之間的通訊。 您可能想要使用網路交換器上的進階安全性功能,以防止惡意監控 Mirage 閘道與 Mirage 伺服器間的通訊,並遏止監控攻擊,例如 ARP 快取毒害。 |
| 參數或物件組態 |
如需 DMZ 部署所需之防火牆規則的詳細資訊,請參閱《VMware Mirage 安裝指南》。 |
表 8.
程式碼 MEG08 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MEG08 |
| 名稱 |
請勿在 Mirage 閘道伺服器上使用預設的自我簽署伺服器憑證。 |
| 描述 |
首次安裝 Mirage 閘道伺服器時,只有準備好簽署的憑證,SSL 伺服器才能運作。Mirage 閘道伺服器和 SSL 伺服器需要商業憑證授權機構 (CA) 或組織 CA 簽署的 SSL 伺服器憑證。 |
| 風險或控制 |
使用自我簽署的憑證會讓 SSL 連線更容易遭受攔截式攻擊。將憑證套用至受信任的 CA 簽署的憑證可減少這類攻擊。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
如需有關設定 Mirage 閘道 SSL 憑證的詳細資訊,請參閱《VMware Mirage 安裝指南》。 |
| 測試 |
使用漏洞掃描工具連線至 Mirage 閘道。確認憑證已由適當的 CA 簽署。 |
