Desde la versión 6.4.5 de NSX Data Center, puede especificar un paquete de conformidad para configurar diferentes parámetros en el perfil de seguridad de un sitio VPN IPSec.
Un paquete de conformidad de seguridad incluye un conjunto de valores predefinidos para diferentes parámetros de seguridad. Un paquete de conformidad se debe considerar como una plantilla predefinida que le ayuda a configurar automáticamente el perfil de seguridad de una sesión VPN IPSec de acuerdo con un estándar determinado. Por ejemplo, la Agencia de Seguridad Nacional del gobierno de Estados Unidos publica el paquete Algoritmo de seguridad nacional comercial (Commercial National Security Algorithm, CNSA) y este estándar se utiliza para las aplicaciones de seguridad nacional. Cuando selecciona un paquete de conformidad, el perfil de seguridad de un sitio VPN IPSec se configura automáticamente con los valores predefinidos y no podrá modificarlos. Al especificar un paquete de conformidad, evita la necesidad de configurar individualmente cada parámetro del perfil de seguridad.
NSX admite siete paquetes de conformidad de seguridad. La tabla siguiente muestra los valores predefinidos de los distintos parámetros de configuración incluidos en cada paquete de conformidad admitido.
| Parámetro de configuración | Paquete de conformidad | ||||||
|---|---|---|---|---|---|---|---|
| CNSA | Suite-B-GCM-128 | Suite-B-GCM-256 | Suite-B-GMAC-128 | Suite-B-GMAC-256 | Perfil principal | Perfil base | |
| Versión de IKE | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv1 |
| Algoritmo de resumen (Digest Algorithm) | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 256 |
| Algoritmo de cifrado (Encryption Algorithm) | AES 256 | AES 128 | AES 256 | AES 128 | AES 256 | AES GCM 128 | AES 128 |
| Cifrado de túnel (Tunnel Encryption) | AES 256 | AES GCM 128 | AES GCM 256 | AES GMAC 128 | AES GMAC 256 | AES GCM 128 | AES 128 |
| Algoritmo de resumen de túnel (Tunnel Digest Algorithm) | SHA 384 | NULO | NULO | NULO | NULO | NULO | SHA 256 |
| Autenticación |
|
Certificado ECDSA (curva P-256) |
Certificado ECDSA (curva P-384) |
Certificado ECDSA (curva P-256) |
Certificado ECDSA (curva P-384) |
Certificado ECDSA (curva P-256) |
Certificado RSA (clave de 2.048 bits y SHA-256) |
| Grupo Diffie-Hellman (DH Group) | DH15 y ECDH20 | ECDH19 | ECDH20 | ECDH19 | ECDH20 | ECDH19 | DH14 |
- Si el servicio VPN IPSec de una instancia de NSX Edge está configurado como iniciador, NSX solo envía ECDH20 para establecer una asociación de seguridad IKE con el sitio VPN IPSec remoto. NSX utiliza ECDH20 de forma predeterminada porque es un grupo más seguro que DH15. Si un sitio VPN IPSec respondedor de terceros se configura solo con DH15, el respondedor envía un mensaje de error de carga útil IKE y solicita al iniciador que utilice el grupo DH15. El iniciador reinicia una asociación de seguridad de IKE con el grupo DH15 y se establece un túnel entre los dos sitios VPN IPSec. Sin embargo, si la solución VPN IPSec de terceros no admite un error de carga útil IKE no válido, no se establecerá nunca el túnel entre los dos sitios.
- Si el servicio VPN IPSec de una instancia de NSX Edge se configura como respondedor, el túnel se establece siempre en función del grupo Diffie-Hellman que comparta el sitio VPN IPSec iniciador.
- Cuando los sitios VPN IPSec iniciador y respondedor utilizan una instancia de NSX Edge, el túnel se establece siempre con ECDH20.
