À partir de NSX Data Center 6.4.5, vous pouvez spécifier une suite de conformité pour configurer les différents paramètres dans le profil de sécurité d'un site VPN IPSec.
Une suite de conformité de sécurité dispose d'un ensemble prédéfini de valeurs pour divers paramètres de sécurité. Considérez une suite de conformité comme un modèle prédéfini qui vous aide à configurer automatiquement le profil de sécurité d'une session VPN IPSec selon un norme définie. Par exemple, l'Agence nationale de la sécurité du gouvernement des États-Unis publie la suite CNSA, et cette norme est utilisée pour les applications de sécurité nationales. Lorsque vous sélectionnez une suite de conformité, le profil de sécurité d'un site VPN IPSec est automatiquement configuré avec des valeurs prédéfinies, et vous ne pouvez pas modifier ces valeurs. En spécifiant une suite de conformité, vous vous évitez la configuration individuelle de chaque paramètre dans le profil de sécurité.
NSX prend en charge sept suites de conformité de sécurité. Le tableau suivant répertorie les valeurs prédéfinies pour divers paramètres de configuration dans chaque suite de conformité prise en charge.
| Paramètre de configuration | Suite de conformité | ||||||
|---|---|---|---|---|---|---|---|
| CNSA | Suite-B-GCM-128 | Suite-B-GCM-256 | Suite-B-GMAC-128 | Suite-B-GMAC-256 | Prime | Foundation | |
| Version d'IKE | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv1 |
| Algorithme Digest | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 256 |
| Algorithme de chiffrement | AES 256 | AES 128 | AES 256 | AES 128 | AES 256 | AES GCM 128 | AES 128 |
| Chiffrement de tunnel | AES 256 | AES GCM 128 | AES GCM 256 | AES GMAC 128 | AES GMAC 256 | AES GCM 128 | AES 128 |
| Algorithme Digest de tunnel | SHA 384 | NULL | NULL | NULL | NULL | NULL | SHA 256 |
| Authentification |
|
Certificat ECDSA (courbe P-256) |
Certificat ECDSA (courbe P-384) |
Certificat ECDSA (courbe P-256) |
Certificat ECDSA (courbe P-384) |
Certificat ECDSA (courbe P-256) |
Certificat RSA (clé 2 048 bits et SHA-256) |
| Groupe DH | DH15 et ECDH20 | ECDH19 | ECDH20 | ECDH19 | ECDH20 | ECDH19 | DH14 |
- Si le service VPN IPSec sur un dispositif NSX Edge est configuré en tant qu'initiateur, NSX envoie uniquement ECDH20 afin d'établir une association de sécurité IKE avec le site VPN IPSec distant. Par défaut, NSX utilise ECDH20, car il est plus sûr que DH15. Si un site VPN IPSec de répondeur tiers est configuré avec DH15 uniquement, le répondeur envoie un message d'erreur de charge utile IKE non valide et demande à l'initiateur d'utiliser le groupe DH15. L'initiateur réinitialise SA IKE avec le groupe DH15 et un tunnel est établi entre les deux sites VPN IPSec. Toutefois, si la solution de VPN IPSec tiers ne prend pas en charge une erreur de charge utile IKE non valide, le tunnel n'est jamais établi entre les deux sites.
- Si le service VPN IPSec sur un dispositif NSX Edge est configuré en tant que répondeur, le tunnel est toujours établi selon le groupe DH qui est partagé par le site VPN IPSec initiateur.
- Lorsque les sites VPN IPSec initiateur et répondeur utilisent un dispositif NSX Edge, le tunnel est toujours établi avec ECDH20.
