Unterstützte Compliance-Suites

Beginnend mit NSX Data Center 6.4.5 können Sie eine Compliance-Suite angeben, um die diversen Parameter im Sicherheitsprofil einer IPSec-VPN-Site zu konfigurieren.

Eine Sicherheits-Compliance-Suite verfügt über einen vordefinierten Satz an Werten für verschiedene Sicherheitsparameter. Stellen Sie sich eine Compliance-Suite als vordefinierte Vorlage vor, mit der Sie das Sicherheitsprofil einer IPSec VPN-Sitzung automatisch nach einem definierten Standard konfigurieren können. So veröffentlicht beispielsweise die National Security Agency der US-Regierung die CNSA-Suite. Dieser Standard wird für nationale Sicherheitsanwendungen verwendet. Wenn Sie eine Compliance-Suite auswählen, wird das Sicherheitsprofil einer IPSec VPN-Site automatisch mit vordefinierten Werten konfiguriert, die Sie nicht bearbeiten können. Durch die Angabe einer Compliance-Suite müssen Sie nicht jeden Parameter im Sicherheitsprofil individuell konfigurieren.

NSX unterstützt sieben Sicherheits-Compliance-Suites. Die folgende Tabelle enthält die vordefinierten Werte für verschiedene Konfigurationsparameter in jeder unterstützten Compliance-Suite.

Tabelle 1. Compliance-Suites: Vordefinierte Konfigurationsparameterwerte
Konfigurationsparameter	Compliance-Suite
	CNSA	Suite-B-GCM-128	Suite-B-GCM-256	Suite-B-GMAC-128	Suite-B-GMAC-256	Prime	Foundation
IKE-Version	IKEv2	IKEv2	IKEv2	IKEv2	IKEv2	IKEv2	IKEv1
Digest-Algorithmus	SHA 384	SHA 256	SHA 384	SHA 256	SHA 384	SHA 256	SHA 256
Verschlüsselungsalgorithmus	AES 256	AES 128	AES 256	AES 128	AES 256	AES GCM 128	AES 128
Tunnel-Verschlüsselung	AES 256	AES GCM 128	AES GCM 256	AES GMAC 128	AES GMAC 256	AES GCM 128	AES 128
Tunnel-Digest-Algorithmus	SHA 384	NULL	NULL	NULL	NULL	NULL	SHA 256
Authentifizierung	RSA-Zertifikat (3072-Bit-Schlüssel) ECDSA-Zertifikat (P-384-Kurve)	ECDSA-Zertifikat (P-256-Kurve)	ECDSA-Zertifikat (P-384-Kurve)	ECDSA-Zertifikat (P-256-Kurve)	ECDSA-Zertifikat (P-384-Kurve)	ECDSA-Zertifikat (P-256-Kurve)	RSA-Zertifikat (2048-Bit-Schlüssel und SHA-256)
DH Group	DH15 und ECDH20	ECDH19	ECDH20	ECDH19	ECDH20	ECDH19	DH14

Vorsicht: Ab NSX 6.4.6 sind die Compliance-Suites „Suite-B-GMAC-128“ und „Suite-B-GMAC-256“ veraltet. Wenn Sie IPSec-VPN-Sites in NSX 6.4.5 mit einer dieser beiden veralteten Compliance-Suites konfiguriert haben, können Sie die Edges weiterhin auf Version 6.4.6 aktualisieren. Es wird jedoch eine Warnmeldung angezeigt, die Sie darüber informiert, dass die IPSec-VPN-Sites eine verwundbare Compliance-Suite verwenden.

Achtung: Wenn Sie eine IPSec-VPN-Site mithilfe der Prime- und Foundation-Compliance-Suites konfigurieren, können Sie ikelifetime- und salifetime-Site-Erweiterungen nicht konfigurieren. Diese Site-Erweiterungen sind je nach Standard vorkonfiguriert.

Wenn Sie die „CNSA“-Compliance-Suite auswählen, werden sowohl die DH15 als auch die ECDH20 DH Groups intern auf dem NSX Edge konfiguriert. Allerdings bestehen die folgenden Einschränkungen bei Auswahl dieser Compliance-Suite:

Wenn der IPSec-VPN-Dienst auf einem NSX Edge als Initiator konfiguriert ist, sendet NSX nur ECDH20, um eine IKE-Sicherheitszuordnung mit der Remote-IPSec-VPN-Site herzustellen. Standardmäßig verwendet NSX ECDH20, da es sicherer als DH15 ist. Wenn ein IPSec-VPN-Site mit Drittanbieter-Antwortdienst nur mit DH15 konfiguriert ist, sendet der Antwortdienst eine ungültige IKE-Nutzlast-Fehlermeldung und der Initiator wird aufgefordert, die DH15 Group zu verwenden. Der Initiator initiiert IKE-SA erneut mit der DH15 Group und es wird ein Tunnel zwischen den beiden IPSec-VPN-Sites eingerichtet. Unterstützt die Drittanbieter-IPSec-VPN-Lösung jedoch keinen ungültigen IKE-Nutzlast-Fehler, wird der Tunnel nie zwischen den beiden Sites hergestellt.
Wenn der IPSec-VPN-Dienst auf einem NSX Edge als Antwortdienst konfiguriert ist, wird abhängig von der DH Group, die von der Initiator IPSec-VPN-Site gemeinsam genutzt wird, der Tunnel immer eingerichtet.
Wenn sowohl Initiator- als auch Antwortdienst-IPSec-VPN-Sites ein NSX Edge verwenden, wird der Tunnel immer mit ECDH20 eingerichtet.