コンプライアンスの状態レポートのコードの意味について詳しく説明します。

表 1. コンプライアンス レポートのコード
コード 説明 コンプライアンスの状態の送信元 修正方法
72001 暗号化が無効になっています。 この状態は、VPN IPSec プロファイルの構成に NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192 または NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms が含まれている場合に報告されます。

この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。

この状態を修正するには、準拠している暗号化アルゴリズムを含む VPN IPsec プロファイルを追加し、このプロファイルをすべての VPN 構成で使用します。「IPsec プロファイルの追加」を参照してください。
72011 ネイバーのバイパス整合性チェックの BGP メッセージ。メッセージ認証が定義されていません。 この状態は、BGP ネイバーにパスワードが構成されていない場合に報告されます。

この状態は、BGP ネイバーの構成に影響します。

この状態を修正するには、BGP ネイバーにパスワードを構成し、このパスワードを使用するよう Tier-0 ゲートウェイの構成を更新します。「BGP の構成」を参照してください。
72012 BGP ネイバーとの通信で、脆弱な整合性チェックが使用されています。メッセージ認証に MD5 が使用されています。 この状態は、BGP ネイバーのパスワードに MD5 認証が使用されている場合に報告されます。

この状態は、BGP ネイバーの構成に影響します。

NSX は BGP に MD5 認証のみをサポートしているため、この状態は修正できません。
72021 セキュアなソケット接続の確立に SSL バージョン 3 が使用されています。TLS v 1.1 以降を実行し、プロトコルに脆弱性がある SSLv3 を完全に無効にすることをおすすめします。 この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで SSL バージョン 3 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
  • ロード バランサ プールが HTTPS モニターに関連付けられている場合。
  • ロード バランサの仮想サーバが、ロード バランサのクライアント SSL プロファイルまたはサーバ SSL プロファイルに関連付けられている場合。
この状態を修正するには、TLS 1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。
72022 セキュアなソケット接続の確立に TLS バージョン 1.0 が使用されています。TLS v 1.1 以降を実行し、プロトコルに脆弱性がある TLS v1.0 を完全に無効にすることをおすすめします。 この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで TLS v1.0 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
  • ロード バランサ プールが HTTPS モニターに関連付けられている場合。
  • ロード バランサの仮想サーバが、ロード バランサのクライアント SSL プロファイルまたはサーバ SSL プロファイルに関連付けられている場合。
この状態を修正するには、TLS 1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。
72023 脆弱な Diffie-Hellman グループが使用されています。 このエラーは、VPN IPSec プロファイルまたは VPN IKE プロファイルの構成に Diffie-Hellman グループ(2、5、14、15、16)が含まれている場合に報告されます。グループ 2 と 5 は、脆弱な Diffie-Hellman グループです。グループ 14、15、16 は脆弱なグループではありませんが、FIPS に準拠していません。

この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。

この状態を修正するには、Diffie-Hellman グループ 19、20 または 21 を使用するよう VPN プロファイルを構成します。「プロファイルの追加」を参照してください。
72024 ロード バランサの FIPS グローバル設定が無効になっています。 このエラーは、ロード バランサの FIPS グローバル設定が無効になっている場合に報告されます。

この状態は、すべてのロード バランサ サービスに影響します。

この状態を修正するには、ロード バランサの FIPS を有効にします。「ロード バランサのグローバル FIPS コンプライアンス モードの構成」を参照してください。
72025 Edge ノードで実行されている Quick Assist Technologies (QAT) は FIPS に準拠していません。 QAT は、Intel が暗号化と圧縮のために提供するハードウェア アクセラレーション サービスのセットです。 QAT の使用を無効にするには、NSX CLI を使用します。詳細については、『NSX インストール ガイド』の「IPsec VPN 一括暗号化での Intel QAT のサポート」を参照してください。
72200 エントロピが十分ではありません。 この状態は、ハードウェアで生成されたエントロピではなく、擬似乱数ジェネレータで生成されたエントロピが使用されている場合に報告されます。

高度なエントロピの生成に必要なハードウェア アクセラレーションが NSX Manager ノードでサポートされていないため、ハードウェアによって生成されたエントロピが使用されていません。

この状態を修正するために、NSX Manager ノードを実行する新しいハードウェアが必要になる場合があります。最新のハードウェアでは、この機能がサポートされています。
注: 基盤となるインフラストラクチャが仮想の場合、真のエントロピは得られません。
72201 エントロピ源が不明です。 この状態は、指定されたノードでエントロピの状態が不明な場合に報告されます。 この状態を修正するには、指定されたノードが正常に機能していることを確認します。
72301 証明書に認証局 (CA) の署名がありません。 この状態は、NSX Manager 証明書のいずれかに CA の署名がない場合に報告されます。NSX Manager は次の証明書を使用します。
  • Syslog 証明書。
  • 個別の NSX Manager ノードの API 証明書。
  • NSX Manager VIP。
この状態を修正するには、CA 署名証明書をインストールします。「証明書」を参照してください。