コンプライアンスの状態レポートのコードの意味について詳しく説明します。

表 1. コンプライアンス レポートのコード
コード 説明 コンプライアンスの状態の送信元 修正方法
72001 暗号化が無効になっています。 この状態は、VPN IPSec プロファイルの設定に NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192 または NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms が含まれている場合に報告されます。

この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの設定に影響します。

この状態を修正するには、準拠している暗号化アルゴリズムを含む VPN IPsec プロファイルを追加し、このプロファイルをすべての VPN 構成で使用します。IPsec プロファイルの追加 を参照してください。
72011 ネイバーのバイパス整合性チェックの BGP メッセージ。メッセージ認証が定義されていません。 この状態は、BGP ネイバーにパスワードが設定されていない場合に報告されます。

この状態は、BGP ネイバーの設定に影響します。

この状態を修正するには、BGP ネイバーにパスワードを設定し、このパスワードを使用するよう Tier-0 ゲートウェイの設定を更新します。BGP の構成 を参照してください。
72012 BGP ネイバーとの通信で、脆弱な整合性チェックが使用されています。メッセージ認証に MD5 が使用されています。 この状態は、BGP ネイバーのパスワードに MD5 認証が使用されている場合に報告されます。

この状態は、BGP ネイバーの設定に影響します。

NSX-T Data Center は BGP に MD5 認証のみをサポートしているため、この状態は修正できません。
72021 セキュアなソケット接続の確立に SSL バージョン 3 が使用されています。TLS バージョン 1.1 以降を実行し、プロトコルに脆弱性がある SSL バージョン 3 を完全に無効にすることをおすすめします。 この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで SSL バージョン 3 が設定されている場合に報告されます。
この状態は、次の構成に影響します。
  • ロード バランサ プールが HTTPS モニターに関連付けられている場合。
  • ロード バランサの仮想サーバが、ロード バランサのクライアント SSL プロファイルまたはサーバ SSL プロファイルに関連付けられている場合。
この状態を修正するには、TLS 1.1 以降を使用するように SSL プロファイルを設定し、このプロファイルをすべてのロード バランサで使用します。SSL プロファイルの追加 を参照してください。
72022 セキュアなソケット接続の確立に TLS バージョン 1.0 が使用されています。TLS バージョン 1.1 以降を実行し、プロトコルに脆弱性がある TLS バージョン 1.0 を完全に無効にすることをおすすめします。 この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで TLS バージョン 1.0 が設定されている場合に報告されます。
この状態は、次の構成に影響します。
  • ロード バランサ プールが HTTPS モニターに関連付けられている場合。
  • ロード バランサの仮想サーバが、ロード バランサのクライアント SSL プロファイルまたはサーバ SSL プロファイルに関連付けられている場合。
この状態を修正するには、TLS 1.1 以降を使用するように SSL プロファイルを設定し、このプロファイルをすべてのロード バランサで使用します。SSL プロファイルの追加 を参照してください。
72023 脆弱な Diffie-Hellman グループが使用されています。 このエラーは、VPN IPSec プロファイルまたは VPN IKE プロファイルの設定に Diffie-Hellman グループ(2、5、14、15、16)が含まれている場合に報告されます。グループ 2 と 5 は、脆弱な Diffie-Hellman グループです。グループ 14、15、16 は脆弱なグループではありませんが、FIPS に準拠していません。

この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの設定に影響します。

この状態を修正するには、Diffie-Hellman グループ 19、20 または 21 を使用するよう VPN プロファイルを設定します。プロファイルの追加 を参照してください。
72024 ロード バランサの FIPS グローバル設定が無効になっています。 このエラーは、ロード バランサの FIPS グローバル設定が無効になっている場合に報告されます。

この状態は、すべてのロード バランサ サービスに影響します。

この状態を修正するには、ロード バランサの FIPS を有効にします。ロード バランサのグローバル FIPS コンプライアンス モードの設定 を参照してください。
72200 エントロピが十分ではありません。 この状態は、ハードウェアで生成されたエントロピではなく、擬似乱数ジェネレータで生成されたエントロピが使用されている場合に報告されます。

高度なエントロピの生成に必要なハードウェア アクセラレーションが NSX Manager ノードでサポートされていないため、ハードウェアによって生成されたエントロピが使用されていません。

この状態を修正するために、NSX Manager ノードを実行する新しいハードウェアが必要になる場合があります。最新のハードウェアでは、この機能がサポートされています。
注: 基盤となるインフラストラクチャが仮想の場合、真のエントロピは得られません。
72201 エントロピ源が不明です。 この状態は、指定されたノードでエントロピの状態が不明な場合に報告されます。 この状態を修正するには、指定されたノードが正常に機能していることを確認します。
72301 証明書に認証局 (CA) の署名がありません。 この状態は、NSX Manager 証明書のいずれかに CA の署名がない場合に報告されます。NSX Manager は次の証明書を使用します。
  • Syslog 証明書。
  • 個別の NSX Manager ノードの API 証明書。
  • NSX Manager VIP に使用されるクラスタ証明書。
この状態を修正するには、CA 署名証明書をインストールします。証明書の設定 を参照してください。