Beginnend mit NSX Data Center 6.4.5 können Sie eine Compliance-Suite angeben, um die diversen Parameter im Sicherheitsprofil einer IPSec-VPN-Site zu konfigurieren.

Eine Sicherheits-Compliance-Suite verfügt über einen vordefinierten Satz an Werten für verschiedene Sicherheitsparameter. Stellen Sie sich eine Compliance-Suite als vordefinierte Vorlage vor, mit der Sie das Sicherheitsprofil einer IPSec VPN-Sitzung automatisch nach einem definierten Standard konfigurieren können. So veröffentlicht beispielsweise die National Security Agency der US-Regierung die CNSA-Suite. Dieser Standard wird für nationale Sicherheitsanwendungen verwendet. Wenn Sie eine Compliance-Suite auswählen, wird das Sicherheitsprofil einer IPSec VPN-Site automatisch mit vordefinierten Werten konfiguriert, die Sie nicht bearbeiten können. Durch die Angabe einer Compliance-Suite müssen Sie nicht jeden Parameter im Sicherheitsprofil individuell konfigurieren.

NSX unterstützt sieben Sicherheits-Compliance-Suites. Die folgende Tabelle enthält die vordefinierten Werte für verschiedene Konfigurationsparameter in jeder unterstützten Compliance-Suite.

Tabelle 1. Compliance-Suites: Vordefinierte Konfigurationsparameterwerte
Konfigurationsparameter Compliance-Suite
CNSA Suite-B-GCM-128 Suite-B-GCM-256 Suite-B-GMAC-128 Suite-B-GMAC-256 Prime Foundation
IKE-Version IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv1
Digest-Algorithmus SHA 384 SHA 256 SHA 384 SHA 256 SHA 384 SHA 256 SHA 256
Verschlüsselungsalgorithmus AES 256 AES 128 AES 256 AES 128 AES 256 AES GCM 128 AES 128
Tunnel-Verschlüsselung AES 256 AES GCM 128 AES GCM 256 AES GMAC 128 AES GMAC 256 AES GCM 128 AES 128
Tunnel-Digest-Algorithmus SHA 384 NULL NULL NULL NULL NULL SHA 256
Authentifizierung
  • RSA-Zertifikat (3072-Bit-Schlüssel)
  • ECDSA-Zertifikat (P-384-Kurve)

ECDSA-Zertifikat (P-256-Kurve)

ECDSA-Zertifikat (P-384-Kurve)

ECDSA-Zertifikat (P-256-Kurve)

ECDSA-Zertifikat (P-384-Kurve)

ECDSA-Zertifikat (P-256-Kurve)

RSA-Zertifikat (2048-Bit-Schlüssel und SHA-256)

DH Group DH15 und ECDH20 ECDH19 ECDH20 ECDH19 ECDH20 ECDH19 DH14
Vorsicht: Ab NSX 6.4.6 sind die Compliance-Suites „Suite-B-GMAC-128“ und „Suite-B-GMAC-256“ veraltet. Wenn Sie IPSec-VPN-Sites in NSX 6.4.5 mit einer dieser beiden veralteten Compliance-Suites konfiguriert haben, können Sie die Edges weiterhin auf Version 6.4.6 aktualisieren. Es wird jedoch eine Warnmeldung angezeigt, die Sie darüber informiert, dass die IPSec-VPN-Sites eine verwundbare Compliance-Suite verwenden.
Achtung: Wenn Sie eine IPSec-VPN-Site mithilfe der Prime- und Foundation-Compliance-Suites konfigurieren, können Sie ikelifetime- und salifetime-Site-Erweiterungen nicht konfigurieren. Diese Site-Erweiterungen sind je nach Standard vorkonfiguriert.
Wenn Sie die „CNSA“-Compliance-Suite auswählen, werden sowohl die DH15 als auch die ECDH20 DH Groups intern auf dem NSX Edge konfiguriert. Allerdings bestehen die folgenden Einschränkungen bei Auswahl dieser Compliance-Suite:
  • Wenn der IPSec-VPN-Dienst auf einem NSX Edge als Initiator konfiguriert ist, sendet NSX nur ECDH20, um eine IKE-Sicherheitszuordnung mit der Remote-IPSec-VPN-Site herzustellen. Standardmäßig verwendet NSX ECDH20, da es sicherer als DH15 ist. Wenn ein IPSec-VPN-Site mit Drittanbieter-Antwortdienst nur mit DH15 konfiguriert ist, sendet der Antwortdienst eine ungültige IKE-Nutzlast-Fehlermeldung und der Initiator wird aufgefordert, die DH15 Group zu verwenden. Der Initiator initiiert IKE-SA erneut mit der DH15 Group und es wird ein Tunnel zwischen den beiden IPSec-VPN-Sites eingerichtet. Unterstützt die Drittanbieter-IPSec-VPN-Lösung jedoch keinen ungültigen IKE-Nutzlast-Fehler, wird der Tunnel nie zwischen den beiden Sites hergestellt.
  • Wenn der IPSec-VPN-Dienst auf einem NSX Edge als Antwortdienst konfiguriert ist, wird abhängig von der DH Group, die von der Initiator IPSec-VPN-Site gemeinsam genutzt wird, der Tunnel immer eingerichtet.
  • Wenn sowohl Initiator- als auch Antwortdienst-IPSec-VPN-Sites ein NSX Edge verwenden, wird der Tunnel immer mit ECDH20 eingerichtet.