NSX Data Center 6.4.5부터 IPSec VPN 사이트의 보안 프로파일에서 다양한 매개 변수를 구성하기 위해 규정 준수 제품군을 지정할 수 있습니다.
보안 규정 준수 제품군에는 다양한 보안 매개 변수 값 집합이 미리 정의되어 있습니다. 규정 준수 제품군을 미리 정의된 템플릿으로 생각하여 정의된 표준에 따라 IPSec VPN 세션의 보안 프로파일을 자동으로 구성할 수 있습니다. 예를 들어, 미국 정부의 국가 안보국(National Security Agency)은 CNSA 제품군을 게시하며, 이 표준이 국가 보안 애플리케이션에 사용됩니다. 규정 준수 제품군을 선택하면 IPSec VPN 사이트의 보안 프로파일이 미리 정의된 값으로 자동으로 구성되며, 이 값은 편집할 수 없습니다. 규정 준수 제품군을 지정하면 보안 프로파일에서 각 매개 변수를 개별적으로 구성할 필요가 없습니다.
NSX에서는 7개의 보안 규정 준수 제품군을 지원합니다. 다음 테이블에는 지원되는 각 규정 준수 제품군의 다양한 구성 매개 변수에 대한 미리 정의된 값이 나열되어 있습니다.
| 구성 매개 변수 | 규정 준수 제품군 | ||||||
|---|---|---|---|---|---|---|---|
| CNSA | Suite-B-GCM-128 | Suite-B-GCM-256 | Suite-B-GMAC-128 | Suite-B-GMAC-256 | Prime | Foundation | |
| IKE 버전 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv2 | IKEv1 |
| 다이제스트 알고리즘 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 384 | SHA 256 | SHA 256 |
| 암호화 알고리즘 | AES 256 | AES 128 | AES 256 | AES 128 | AES 256 | AES GCM 128 | AES 128 |
| 터널 암호화 | AES 256 | AES GCM 128 | AES GCM 256 | AES GMAC 128 | AES GMAC 256 | AES GCM 128 | AES 128 |
| 터널 다이제스트 알고리즘 | SHA 384 | NULL | NULL | NULL | NULL | NULL | SHA 256 |
| 인증 |
|
ECDSA 인증서(P-256 곡선) |
ECDSA 인증서(P-384 곡선) |
ECDSA 인증서(P-256 곡선) |
ECDSA 인증서(P-384 곡선) |
ECDSA 인증서(P-256 곡선) |
RSA 인증서(2048비트 키 및 SHA-256) |
| DH 그룹 | DH15 및 ECDH20 | ECDH19 | ECDH20 | ECDH19 | ECDH20 | ECDH19 | DH14 |
경고:
NSX 6.4.6부터는 "Suite-B-GMAC-128" 및 "제품군-B-GMAC-256" 규정 준수 제품군이 더 이상 사용되지 않습니다. 더 이상 사용되지 않는 이러한 두 가지 규정 준수 제품군을 사용하여
NSX 6.4.5에서 IPSec VPN 사이트를 구성한 경우에도 Edge를 6.4.6로 업그레이드할 수 있지만 IPSec VPN 사이트에서 취약한 규정 준수 제품군을 사용하고 있음을 알리는 주의 메시지가 표시됩니다.
주의: Prime 및 Foundation 규정 준수 제품군을 사용하여 IPSec VPN 사이트를 구성하는 경우
ikelifetime 및
salifetime 사이트 확장을 구성할 수 없습니다. 이러한 사이트 확장은 표준에 따라 미리 구성됩니다.
CNSA 규정 준수 제품군을 선택하는 경우 DH15 및 ECDH20 DH 그룹 둘 다
NSX Edge에서 내부적으로 구성됩니다. 하지만 이 규정 준수 제품군을 선택하면 다음과 같은 문제가 표시됩니다.
- NSX Edge의 IPSec VPN 서비스가 이니시에이터로 구성되면 NSX는 원격 IPSec VPN 사이트와의 IKE 보안 연결을 설정하기 위해 ECDH20만 전송합니다. 기본적으로 NSX에서는 DH15보다 좀 더 안전한 ECDH20을 사용합니다. 타사 응답자 IPSec VPN 사이트가 DH15만으로 구성되면 응답자는 잘못된 IKE 페이로드 오류 메시지를 보내고 이니시에이터에 DH15 그룹을 사용하도록 요청합니다. 이니시에이터는 DH15 그룹으로 IKE SA를 다시 시작하고, IPSec VPN 사이트 둘 사이의 터널이 설정됩니다. 하지만 타사 IPSec VPN 솔루션이 잘못된 IKE 페이로드 오류를 지원하지 않으면 사이트 둘 사이의 터널이 설정되지 않습니다.
- NSX Edge의 IPSec VPN 서비스가 응답자로 구성되면 이니시에이터 IPSec VPN 사이트와 공유되는 DH 그룹에 따라 터널이 항상 설정됩니다.
- 이니시에이터 및 응답자 IPSec VPN 사이트 둘 다 NSX Edge를 사용하면 항상 ECDH20과의 터널이 설정됩니다.
