网络设备连接保护配置文件

网络设备连接保护配置文件 (Network Device connection Protection Profile, NDcPP) 是一项政府标准，可确保 TOE（评估目标）（也称为控制器和 Se）与外部组件（包括 NSX Advanced Load Balancer REST API 使用者）之间的安全通信。

事件

出于审核目的，需要记录并保留所有与外部通信相关的身份验证失败。为了保留事件，您可以在现有的警示基础架构上回复，以将其导出到外部实体。您可以最大程度地减少需要保留的事件类型。您只能使用 AUDIT_COMPLIANCE_EVENT 记录身份验证失败。

在本练习中，只需要 SSH 和 TLS 协议（可以忽略所有其他协议）。需要在事件中包含特定信息才能确定身份验证失败。

审核记录失败

SAML

以下是 SAML 的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：以下是此任务中正在解决的与 SAML 相关的新错误：

  • CertificateError

  • IncorrectlySigned

  • UnsolicitedResponse

  • VerificationError

  • SigverError

• 无法对客户端进行身份验证：NA

• 无法建立 SSH 会话：将记录这些失败事件的身份验证失败。

• 识别可信通道建立尝试失败的启动器和目标：NA

ViMgr (vCenter)

以下是针对 Syslog、SNMP 和 ViMgr (vCenter) 记录的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：NA

• 无法对客户端进行身份验证：NA

• 无法建立 SSH 会话：NA

• 识别可信通道建立尝试失败的启动器和目标：NA

事件、Syslog 和 Splunk（SE 和控制器）

以下是针对事件 Syslog、Splunk（SE 和控制器）记录的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：NA

• 无法对客户端进行身份验证：NA（RPC/GRPC 中没有身份验证）

• 无法建立 SSH 会话：NA

• 识别可信通道建立尝试失败的启动器和目标：ObjectDoesNotExist（SSL 证书不存在）

控制器 - SE

以下是针对控制器服务引擎记录的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：NA

• 无法对客户端进行身份验证：NA

• 无法建立 SSH 会话：NA

• 识别可信通道建立尝试失败的启动器和目标：NA

云

以下是针对云记录的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：NA

• 无法对客户端进行身份验证：NA

• 无法建立 SSH 会话：NA

• 识别可信通道建立尝试失败的启动器和目标：NA

Syslog 和 SNMP

以下是针对 Syslog 和 SNMP 记录的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：NA

• 无法对客户端进行身份验证：NA

• 无法建立 SSH 会话：NA

• 识别可信通道建立尝试失败的启动器和目标：NA

Pulse

以下是针对 Pulse 记录的审核记录失败：

• 启动可信通道：NA

• 终止可信通道：NA

• 可信通道功能失败：NA

• 尝试验证证书失败：NA

• 无法对客户端进行身份验证：NA

• 无法建立 SSH 会话：NA

• 识别可信通道建立尝试失败的启动器和目标：NA