Weitere Informationen zur Bedeutung des Compliance-Statusberichts finden Sie hier.

Tabelle 1. Codes für Compliance-Berichte
Code Beschreibung Compliance-Statusquelle Wartung
72001 Verschlüsselung ist deaktiviert. Dieser Status wird gemeldet, wenn eine VPN-IPSec-Profilkonfiguration NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 oder NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms enthält.

Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden.

Um diesen Status zu standardisieren, fügen Sie ein VPN-IPSec-Profil hinzu, das kompatible Verschlüsselungsalgorithmen verwendet, und nutzen Sie das Profil in allen VPN-Konfigurationen. Siehe Hinzufügen von IPSec-Profilen.
72011 BGP-Meldungen mit Nachbarn umgehen die Integritätsprüfung. Keine Nachrichtenauthentifizierung definiert. Dieser Status wird gemeldet, wenn für BGP-Nachbarn kein Kennwort konfiguriert ist.

Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus.

Um diesen Status zu standardisieren, konfigurieren Sie ein Kennwort für den BGP-Nachbarn und aktualisieren Sie die Tier-0-Gateway-Konfiguration für Verwendung des Kennworts. Siehe Konfigurieren des BGP-Protokolls.
72012 Die Kommunikation mit dem BGP-Nachbarn verwendet eine schwache Integritätsprüfung. MD5 wird für die Nachrichtenauthentifizierung verwendet. Dieser Status wird gemeldet, wenn die MD5-Authentifizierung für das BGP-Nachbarkennwort verwendet wird.

Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus.

Keine Wartung verfügbar, da NSX nur die MD5-Authentifizierung für BGP unterstützt.
72021 SSL-Version 3 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Es wird empfohlen, TLS v1.1 oder höher auszuführen und SSLv3 mit Protokollschwächen vollständig zu deaktivieren. Dieser Status wird gemeldet, wenn SSL-Version 3 im Client-SSL-Profil des Load Balancers im Server-SSL-Profil des Load Balancers oder im HTTPS-Monitor des Load Balancers konfiguriert ist.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
  • Load Balancer-Pools, die mit HTTPS-Monitoren verknüpft sind.
  • Virtuelle Load Balancer-Server, die mit Client-SSL-Profilen oder Server-SSL-Profilen von Lastausgleichsdiensten verknüpft sind.
Um diesen Status zu standardisieren, konfigurieren Sie ein SSL-Profil für die Verwendung von TLS 1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils.
72022 TLS-Version 1.0 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Es wird empfohlen, TLS v1.1 oder höher auszuführen und TLS v1.0 vollständig zu deaktivieren, da diese Version Protokollschwächen aufweist. Dieser Status wird gemeldet, wenn TLS v1.0 im SSL-Profil des Clients des Load Balancers, im SSL-Profil des Servers des Load Balancers oder im HTTPS-Monitor des Load Balancers konfiguriert ist.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
  • Load Balancer-Pools, die mit HTTPS-Monitoren verknüpft sind.
  • Virtuelle Load Balancer-Server, die mit Client-SSL-Profilen oder Server-SSL-Profilen von Lastausgleichsdiensten verknüpft sind.
Um diesen Status zu standardisieren, konfigurieren Sie ein SSL-Profil für die Verwendung von TLS 1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils.
72023 Es wird eine schwache Diffie-Hellman Group verwendet. Dieser Fehler wird gemeldet, wenn ein VPN-IPSec-Profil oder eine VPN-IKE-Profilkonfiguration die folgenden Diffie-Hellman Groups enthält: 2, 5, 14, 15 oder 16. Die Gruppen 2 und 5 sind schwache Diffie-Hellman Groups. Die Gruppen 14, 15 und 16 sind keine schwachen Gruppen, aber nicht FIPS-kompatibel.

Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden.

Um diesen Status zu standardisieren, konfigurieren Sie die VPN-Profile für die Verwendung der Diffie-Hellman Group 19, 20 oder 21. Siehe Hinzufügen von Profilen.
72024 Die globale FIPS-Einstellung für den Load Balancer ist deaktiviert. Dieser Fehler wird gemeldet, wenn die globale FIPS-Einstellung für den Load Balancer deaktiviert ist.

Dieser Status wirkt sich auf alle Load Balancer-Dienste aus.

Um diesen Status zu standardisieren, aktivieren Sie FIPS für den Load Balancer. Siehe Konfigurieren des globalen FIPS-Übereinstimmungsmodus für den Load Balancer.
72025 Das Ausführen von QAT (Quick Assist Technologies) auf einem Edge-Knoten ist nicht FIPS-konform. QAT ist ein Satz Hardware-beschleunigter Dienste, die Intel für Kryptografie und Komprimierung bereitstellt. Verwenden Sie die NSX CLI, um die QAT-Nutzung zu deaktivieren. Weitere Informationen finden Sie unter „Intel QAT-Unterstützung für IPSec-VPN-Massenkryptografie“ im Installationshandbuch für NSX.
72200 Unzureichende wahre Entropie verfügbar. Dieser Status wird gemeldet, wenn ein Pseudo-Zufallszahlen-Generator zum Generieren von Entropie verwendet wird, anstatt sich auf eine hardwaregenerierte Entropie zu verlassen.

Hardwaregenerierte Entropie wird nicht verwendet, da der NSX Manager-Knoten nicht über die erforderliche Hardware-Beschleunigungsunterstützung verfügt, um eine ausreichende wahre Entropie zu erstellen.

Um diesen Status zu standardisieren, müssen Sie möglicherweise neuere Hardware verwenden, um den NSX Manager-Knoten auszuführen. Die neueste Hardware unterstützt diese Funktion.
Hinweis: Wenn die zugrunde liegende Infrastruktur virtuell ist, erhalten Sie keine wahre Entropie.
72201 Entropiequelle unbekannt. Dieser Status wird gemeldet, wenn für den angegebenen Knoten kein Entropiestatus verfügbar ist. Um diesen Status zu standardisieren, stellen Sie sicher, dass der angegebene Knoten ordnungsgemäß funktioniert.
72301 Zertifikat ist nicht von der Zertifizierungsstelle signiert. Dieser Status wird gemeldet, wenn eines der NSX Manager-Zertifikate nicht von der Zertifizierungsstelle signiert ist. NSX Manager verwendet die folgenden Zertifikate:
  • Syslog-Zertifikat.
  • API-Zertifikate für die einzelnen NSX Manager-Knoten.
  • NSX Manager-VIP.
Um diesen Status zu standardisieren, installieren Sie von der Zertifizierungsstelle signierte Zertifikate. Siehe Zertifikate.