コンプライアンスの状態レポートのコードの意味について詳しく説明します。
| コード | 説明 | コンプライアンスの状態の送信元 | 修正方法 |
|---|---|---|---|
| 72001 | 暗号化が無効になっています。 | この状態は、VPN IPSec プロファイルの構成に NO_ENCRYPTION、NO_ENCRYPTION_AUTH_AES_GMAC_128、NO_ENCRYPTION_AUTH_AES_GMAC_192 または NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms が含まれている場合に報告されます。この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。 |
この状態を修正するには、準拠している暗号化アルゴリズムを含む VPN IPsec プロファイルを追加し、このプロファイルをすべての VPN 構成で使用します。「IPsec プロファイルの追加」を参照してください。 |
| 72011 | ネイバーのバイパス整合性チェックの BGP メッセージ。メッセージ認証が定義されていません。 | この状態は、BGP ネイバーにパスワードが構成されていない場合に報告されます。 この状態は、BGP ネイバーの構成に影響します。 |
この状態を修正するには、BGP ネイバーにパスワードを構成し、このパスワードを使用するよう Tier-0 ゲートウェイの構成を更新します。「BGP の構成」を参照してください。 |
| 72012 | BGP ネイバーとの通信で、脆弱な整合性チェックが使用されています。メッセージ認証に MD5 が使用されています。 | この状態は、BGP ネイバーのパスワードに MD5 認証が使用されている場合に報告されます。 この状態は、BGP ネイバーの構成に影響します。 |
NSX は BGP に MD5 認証のみをサポートしているため、この状態は修正できません。 |
| 72021 | セキュアなソケット接続の確立に SSL バージョン 3 が使用されています。TLS v 1.1 以降を実行し、プロトコルに脆弱性がある SSLv3 を完全に無効にすることをおすすめします。 | この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで SSL バージョン 3 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
|
この状態を修正するには、TLS 1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。 |
| 72022 | セキュアなソケット接続の確立に TLS バージョン 1.0 が使用されています。TLS v 1.1 以降を実行し、プロトコルに脆弱性がある TLS v1.0 を完全に無効にすることをおすすめします。 | この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで TLS v1.0 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
|
この状態を修正するには、TLS 1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。 |
| 72023 | 脆弱な Diffie-Hellman グループが使用されています。 | このエラーは、VPN IPSec プロファイルまたは VPN IKE プロファイルの構成に Diffie-Hellman グループ(2、5、14、15、16)が含まれている場合に報告されます。グループ 2 と 5 は、脆弱な Diffie-Hellman グループです。グループ 14、15、16 は脆弱なグループではありませんが、FIPS に準拠していません。 この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。 |
この状態を修正するには、Diffie-Hellman グループ 19、20 または 21 を使用するよう VPN プロファイルを構成します。「プロファイルの追加」を参照してください。 |
| 72024 | ロード バランサの FIPS グローバル設定が無効になっています。 | このエラーは、ロード バランサの FIPS グローバル設定が無効になっている場合に報告されます。 この状態は、すべてのロード バランサ サービスに影響します。 |
この状態を修正するには、ロード バランサの FIPS を有効にします。「ロード バランサのグローバル FIPS コンプライアンス モードの構成」を参照してください。 |
| 72025 | Edge ノードで実行されている Quick Assist Technologies (QAT) は FIPS に準拠していません。 | QAT は、Intel が暗号化と圧縮のために提供するハードウェア アクセラレーション サービスのセットです。 | QAT の使用を無効にするには、NSX CLI を使用します。詳細については、『NSX インストール ガイド』の「IPsec VPN 一括暗号化での Intel QAT のサポート」を参照してください。 |
| 72200 | エントロピが十分ではありません。 | この状態は、ハードウェアで生成されたエントロピではなく、擬似乱数ジェネレータで生成されたエントロピが使用されている場合に報告されます。 高度なエントロピの生成に必要なハードウェア アクセラレーションが NSX Manager ノードでサポートされていないため、ハードウェアによって生成されたエントロピが使用されていません。 |
この状態を修正するために、NSX Manager ノードを実行する新しいハードウェアが必要になる場合があります。最新のハードウェアでは、この機能がサポートされています。
注: 基盤となるインフラストラクチャが仮想の場合、真のエントロピは得られません。
|
| 72201 | エントロピ源が不明です。 | この状態は、指定されたノードでエントロピの状態が不明な場合に報告されます。 | この状態を修正するには、指定されたノードが正常に機能していることを確認します。 |
| 72301 | 証明書に認証局 (CA) の署名がありません。 | この状態は、NSX Manager 証明書のいずれかに CA の署名がない場合に報告されます。NSX Manager は次の証明書を使用します。
|
この状態を修正するには、CA 署名証明書をインストールします。「証明書」を参照してください。 |
