NSX Data Center 6.4.5 以降では、コンプライアンス スイートを指定して、IPsec VPN サイトのセキュリティ プロファイルにさまざまなパラメータを設定できます。
セキュリティ コンプライアンス スイートでは、さまざまなセキュリティ パラメータに一連の値が事前に定義されています。コンプライアンス スイートを事前定義のテンプレートとして使用できます。これにより、定義された標準に従って IPsec VPN セッションのセキュリティ プロファイルを自動的に設定できます。たとえば、米国の国家安全保障局から公開されている CNSA スイートは、国家安全保障の用途で使用されています。コンプライアンス スイートを選択すると、IPsec VPN サイトのセキュリティ プロファイルが事前定義の値で自動的に設定されます。これらの値は編集できません。コンプライアンス スイートを指定すると、セキュリティ プロファイルのパラメータを個別に設定する必要がなくなります。
NSX は、7 つのセキュリティ コンプライアンス スイートをサポートしています。次の表に、サポートされているコンプライアンス スイートのさまざまな構成パラメータに事前に定義されている値を示します。
| 構成パラメータ | コンプライアンス スイート | ||||||
|---|---|---|---|---|---|---|---|
| [CNSA] | [Suite-B-GCM-128] | [Suite-B-GCM-256 ] | [Suite-B-GMAC-128 ] | [Suite-B-GMAC-256 ] | [Prime] | [Foundation] | |
| IKE バージョン | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv1 |
| ダイジェスト アルゴリズム | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 256 |
| 暗号化アルゴリズム | AES 256 | AES 128 | AES 256 | AES 128 | AES 256 | AES GCM 128 | AES 128 |
| トンネル暗号化 | AES 256 | AES GCM 128 | AES GCM 256 | AES GMAC 128 | AES GMAC 256 | AES GCM 128 | AES 128 |
| トンネル ダイジェスト アルゴリズム | SHA 384 | NULL | NULL | NULL | NULL | NULL | SHA 256 |
| 認証 |
|
ECDSA 証明書(P-256 曲線) |
ECDSA 証明書(P-384 曲線) |
ECDSA 証明書(P-256 曲線) |
ECDSA 証明書(P-384 曲線) |
ECDSA 証明書(P-256 曲線) |
RSA 証明書(2048 ビット キーと SHA-256) |
| DH グループ | DH15 と ECDH20 | ECDH19 | ECDH20 | ECDH19 | ECDH20 | ECDH19 | DH14 |
注意:
NSX 6.4.6 以降で、「Suite-B-GMAC-128」と「Suite-B-GMAC-256」のコンプライアンス スイートは廃止されます。
NSX 6.4.5 で、廃止されるこれらのコンプライアンス スイートを使用して IPsec VPN サイトを構成した場合でも、Edge を 6.4.6 にアップグレードできます。ただし、IPsec VPN サイトが脆弱なコンプライアンス スイートを使用していることを通知する警告メッセージが表示されます。
注目: Prime または Foundation コンプライアンス スイートを使用して IPsec VPN サイトを設定する場合、
ikelifetime と
salifetime サイトのエクステンションは設定できません。これらのサイトのエクステンションは、標準に基づいて事前に設定されています。
「CNSA」コンプライアンス スイートを選択すると、DH15 と ECDH20 の両方の DH グループが
NSX Edge の内部で設定されます。このコンプライアンス スイートを選択する場合には、次の点に注意してください。
- NSX Edge の IPsec VPN サービスがイニシエータとして設定されている場合、NSX は ECDH20 のみを送信し、リモートの IPsec VPN サイトと IKE Security Association を確立します。DH15 より安全であるため、NSX はデフォルトで ECDH20 を使用します。サードパーティ レスポンダの IPsec VPN サイトが DH15 のみで設定されている場合、レスポンダは「無効な IKE ペイロード」エラー メッセージを送信し、イニシエータに DH15 グループの使用を要求します。イニシエータが DH15 グループで IKE SA を再開し、両方の IPsec VPN サイト間でトンネルが確立します。サードパーティの IPsec VPN ソリューションが「無効な IKE ペイロード」エラーをサポートしていない場合、両方のサイト間でトンネルが確立されません。
- NSX Edge の IPsec VPN サービスがレスポンダとして設定されている場合は、イニシエータの IPsec VPN サイトで共有される DH グループに応じてトンネルが確立されます。
- イニシエータとレスポンダの両方の IPsec VPN サイトが NSX Edge を使用する場合、トンネルは常に ECDH20 で確立されます。
