NSX Manager 是一个受限制的系统,其功能旨在确保系统的完整性和安全性。
NSX Manager 安全功能的详细信息:
NSX Manager 支持会话超时和用户注销。NSX Manager 不支持会话锁定。启动会话锁定可能是用于访问 NSX Manager 的工作站操作系统的一个功能。
在 NSX 3.1 中, NSX Manager 具有两个本地帐户:admin 和 audit。您无法停用本地帐户或创建本地帐户。
从 NSX 3.1.1 开始,引入了两个新的来宾用户帐户。在企业环境中,可以使用 guestuser1 和 guestuser2 用户帐户。在 NSX Cloud 环境中,可以使用 cloud_admin 和 cloud_audit 用户帐户。对于 3.1.1 和更高版本,audit 和来宾用户的本地帐户默认处于非活动状态,但您可以将其激活或停用。您无法停用 admin 帐户或创建新的本地帐户。
根据信息流量控制策略,NSX Manager 实施批准的授权以控制网络设备中的管理信息流量。
NSX Manager 在启动时启动会话审核。
NSX Manager 使用其内部系统时钟以生成审核记录的时间戳。
NSX Manager 用户界面包含一个用户帐户,该帐户具有所有资源的访问权限,但无权访问操作系统以安装软件和硬件。NSX 升级文件是唯一允许安装的文件。您不能编辑此用户的权限或删除此用户。
系统中的所有密码(数据库、配置文件、日志文件等)。使用加入 salt 的强大单向哈希算法加密。在身份验证期间,当用户输入密码时,会对密码进行模糊处理。从 NSX 4.0 开始,可以使用 UI、API 和 CLI 配置密码复杂性。此版本还提供了将节点身份验证策略和密码复杂性配置重置回其默认系统设置的功能。
FIPS 合规性
NSX Manager 使用 FIPS 140-2 批准的算法在加密模块中进行身份验证。
NSX Manager 使用 FIPS 140-2 批准的随机数生成器生成唯一的会话标识符。
NSX Manager 使用 FIPS 140-2 批准的加密算法保护远程维护和诊断会话的机密性。
NSX Manager 使用 FIPS 验证的密钥-哈希消息身份验证代码 (Hash Message Authentication Code, HMAC) 对 SNMP 消息进行验证。
NSX Manager 仅识别系统生成的会话标识符,并在管理员注销或其他会话终止后使会话标识符失效。
对于登录、注销和资源访问等事件,将生成审核日志。每个审核日志包含事件时间戳、源、结果和描述。有关详细信息,请参见 日志消息和错误代码。