Le informazioni sul significato dei codici del report di conformità sono disponibili nel report sullo stato di conformità.
| Per un elenco completo degli eventi, vedere il Catalogo degli eventi di NSX. |
| Codice | Descrizione | Origine dello stato della conformità | Correzione |
|---|---|---|---|
| 72001 | La crittografia è disattivata. | Segnala questo stato se la configurazione di un profilo IPSec VPN contiene NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256 in encryption_algorithms.Questo stato influisce sulle configurazioni delle sessioni VPN IPSec che utilizzano le configurazioni non conformi segnalate. |
Aggiungere un profilo IPSec VPN che utilizzi algoritmi di crittografia conformi e usare il profilo in tutte le configurazioni VPN. Vedere Aggiunta di profili IPSec. |
| 72011 | I messaggi BGP con router adiacente ignorano il controllo dell'integrità. Non è definita alcuna autenticazione per i messaggi. | Segnala questo stato se i router adiacenti BGP non hanno una password configurata. Questo stato influisce sulla configurazione del router adiacente BGP. |
Configurare una password nel router adiacente BGP e aggiornare la configurazione del gateway di livello 0 per utilizzare la password. Vedere Configurazione di BGP. |
| 72012 | La comunicazione con il router adiacente BGP utilizza un controllo dell'integrità debole. Per i messaggi viene utilizzata l'autenticazione MD5. | Segnala questo stato se per la password del router adiacente BGP viene utilizzata l'autenticazione MD5. Questo stato influisce sulla configurazione del router adiacente BGP. |
Non è disponibile alcuna correzione perché NSX supporta solo l'autenticazione MD5 per BGP. |
| 72021 | Per stabilire una connessione socket sicura, viene utilizzato SSL versione 3. È consigliabile eseguire TLSv 1.1 o versione successiva e disabilitare completamente SSLv3 che ha punti deboli del protocollo. | Segnala questo stato se SSL versione 3 è configurato nel profilo SSL del client di bilanciamento del carico, nel profilo SSL del server di bilanciamento del carico o nel monitoraggio HTTPS del bilanciamento del carico.
Questo stato influisce sulle seguenti configurazioni:
|
Configurare un profilo SSL in modo che utilizzi TLS 1.1 o versione successiva e usare questo profilo in tutte le configurazioni del bilanciamento del carico. Vedere Aggiunta di un profilo SSL. |
| 72022 | Per stabilire una connessione socket sicura, viene utilizzato TLS versione 1.0. Eseguire TLSv 1.1 o versione successiva e disabilitare completamente TLSv1.0 che ha punti deboli del protocollo. | Segnala questo stato se il profilo SSL del client di bilanciamento del carico, il profilo SSL del server di bilanciamento del carico o il monitoraggio HTTPS del bilanciamento del carico includono la configurazione TLSv1.0.
Questo stato influisce sulle seguenti configurazioni:
|
Configurare un profilo SSL in modo che utilizzi TLS 1.1 o versione successiva e usare questo profilo in tutte le configurazioni del bilanciamento del carico. Vedere Aggiunta di un profilo SSL. |
| 72023 | Viene utilizzato il gruppo Diffie-Hellman debole. | Segnala questo errore se la configurazione di un profilo IPSec VPN o di un profilo IKE VPN include i seguenti gruppi Diffie-Hellman: 2, 5, 14, 15 o 16. I gruppi 2 e 5 sono gruppi Diffie-Hellman deboli. I gruppi 14, 15 e 16 non sono gruppi deboli, ma non sono conformi con FIPS. Questo stato influisce sulle configurazioni delle sessioni VPN IPSec che utilizzano le configurazioni non conformi segnalate. |
Configurare i profili VPN in modo che utilizzino il gruppo Diffie-Hellman 19, 20 o 21. Vedere Aggiunta di profili. |
| 72024 | L'impostazione globale FIPS del bilanciamento del carico è disattivata. | Segnala questo errore se l'impostazione globale FIPS del bilanciamento del carico è disattivata. Questo stato influisce su tutti i servizi di bilanciamento del carico. |
Abilitare FIPS per il bilanciamento del carico. Vedere Configurazione della modalità di conformità FIPS globale per il bilanciamento del carico. |
| 72025 | QAT in esecuzione nel nodo dell'Edge non è conforme a FIPS. | Quick Assist Technologies (QAT) è un set di servizi con accelerazione hardware forniti da Intel per la crittografia e la compressione. | |
| 72026 | Il modulo FIPS Bouncy-Castle non è pronto. | Verificare che le applicazioni siano in esecuzione e controllare i registri. | |
| 72200 | L'entropia true disponibile è insufficiente. | Segnala questo stato se un generatore di numeri casuali speciale genera l'entropia anziché basarsi sull'entropia generata dall'hardware. Il nodo NSX Manager non utilizza l'entropia generata dall'hardware perché non dispone del supporto di accelerazione hardware necessario per creare una sufficiente vera entropia. |
Utilizzare hardware più recente per eseguire il nodo NSX Manager. L'hardware più recente supporta questa funzionalità.
Nota: Se l'infrastruttura sottostante è virtuale, non si ottiene l'entropia true.
|
| 72201 | L'origine dell'entropia è sconosciuta. | Segnala questo stato quando non è disponibile alcuno stato dell'entropia per il nodo indicato. | Si tratta di un errore di comunicazione interno che impedisce a NSX Manager di determinare l'origine dell'entropia. Aprire una richiesta di servizio presso VMware. |
| 72301 | Il certificato non è firmato dall'autorità di certificazione. | Segnala questo stato quando uno dei certificati di NSX Manager non è firmato dall'autorità di certificazione. NSX Manager utilizza i certificati seguenti:
|
Installare i certificati firmati dall'autorità di certificazione. Fare riferimento a Certificati. |
| 72302 | Nel certificato mancano le informazioni sull'utilizzo della chiave estesa. | Le estensioni di utilizzo chiavi esteso (EKU) presenti nella richiesta CSR devono essere presenti anche nei certificati del server. | L'utilizzo chiavi esteso (EKU) deve corrispondere all'utilizzo previsto. Ad esempio SERVER quando si connette a un server e CLIENT quando utilizzato come certificato client su un server. |
| 72303 | Il certificato è stato revocato. | La validità del certificato si trova nello stato terminale e non può essere ripristinata. | |
| 72304 | Il certificato non è RSA. | Assicurarsi che la chiave pubblica del certificato sia per un certificato RSA. | |
| 72305 | Il certificato non è Curva ellittica. | Segnala questo stato quando il certificato non è conforme a EAL4+. | Sostituire i certificati non conformi con certificati firmati dall'autorità di certificazione. Vedere Sostituzione di certificati. |
| 72306 | Nel certificato mancano vincoli di base. | Il certificato non sembra essere valido per lo scopo selezionato o potrebbe non avere i campi o i valori necessari. | |
| 72307 | Impossibile recuperare CRL. | ||
| 72308 | CRL non valido. | Verificare il CRL per determinare il motivo per cui è stato contrassegnato come non valido. | |
| 72309 | Il controllo della scadenza del certificato Corfu è stato disabilitato. | ||
| 72310 | Alcuni gestori delle risorse di elaborazione non dispongono del certificato RSA o la lunghezza della chiave del certificato è inferiore a 3072 bit. | Quando un gestore delle risorse di elaborazione (ad esempio vCenter) è connesso al NSX Manager, passa il proprio certificato a NSX Manager. Se il certificato non è di tipo RSA, oppure se il certificato è di tipo RSA ma le dimensioni della chiave RSA del certificato sono inferiori a 3072 bit, si attiva questo errore. | Eliminare il gestore risorse di elaborazione da NSX Manager. Sostituire il certificato del gestore delle risorse di elaborazione con un certificato RSA con dimensioni di chiave di almeno 3072 bit. |
| 72401 | L'ispezione TLS del gateway non è conforme a FIPS. | ||
| 72402 | Sistema non conforme a FIPS. | ||
| 72403 | Presenza dell'identità entità rilevata nel sistema. Rimuovere tutte le identità entità per la conformità EAL4. | ||
| 72404 | Presenza di endpoint OIDC rilevata nel sistema. Rimuovere tutti gli endpoint OIDC per la conformità EAL4. | ||
| 72501 | Le password degli utenti configurate non sono conformi. Gli utenti devono utilizzare password di alta qualità di almeno 16 caratteri. | Segnala quando le password degli utenti non sono conformi a EAL4+. | La password per gli utenti locali (ad eccezione dell'utente root) deve contenere almeno 16 caratteri. In altre parole, questo significa che la password dell'utente amministratore deve contenere almeno 16 caratteri. Questo si aggiunge al controllo di complessità della password necessario quando si modifica la password. |
| 72502 | Impossibile ottenere gli utenti sincronizzati. | ||
| 72503 | Il servizio SSH per l'appliance di gestione è in esecuzione. | ||
| 72504 | Sono stati rilevati account utente attivi non amministratori. | Quando un utente diverso dall'amministratore è attivo in NSX Manager. | Disattivare tutti gli altri utenti diversi dall'amministratore. |
| 73000 | Si è verificato un errore durante la raccolta dei dati di conformità della piattaforma. |
