규정 준수 상태 보고서의 의미에 대한 자세한 정보를 확인할 수 있습니다.
코드 | 설명 | 규정 준수 상태 소스 | 수정 |
---|---|---|---|
72001 | 암호화가 비활성화됩니다. | 이 상태는 VPN IPSec 프로파일 구성에 NO_ENCRYPTION , NO_ENCRYPTION_AUTH_AES_GMAC_128 , NO_ENCRYPTION_AUTH_AES_GMAC_192 또는 NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms가 포함된 경우에 보고됩니다.이 상태는 보고된 규정 미준수 구성을 사용하는 IPSec VPN 세션 구성에 영향을 미칩니다. |
이 상태를 업데이트하려면 준수 암호화 알고리즘을 사용하는 VPN IPSec 프로파일을 추가하고 모든 VPN 구성에서 해당 프로파일을 사용하십시오. IPSec 프로파일 추가 항목을 참조하십시오. |
72011 | 인접 네트워크가 있는 BGP 메시지가 무결성 검사를 우회합니다. 메시지 인증이 정의되지 않았습니다. | 이 상태는 BGP 인접 네트워크에 대해 암호가 구성되지 않은 경우에 보고됩니다. 이 상태는 BGP 인접 네트워크 구성에 영향을 줍니다. |
이 상태를 업데이트하려면 BGP 인접 네트워크에서 암호를 구성하고 해당 암호를 사용하도록 Tier-0 게이트웨이 구성을 업데이트하십시오. BGP 구성 항목을 참조하십시오. |
72012 | BGP 인접 네트워크와의 통신에 약한 무결성 검사가 사용됩니다. MD5가 메시지 인증에 사용됩니다. | 이 상태는 BGP 인접 네트워크 암호에 MD5 인증이 사용되는 경우에 보고됩니다. 이 상태는 BGP 인접 네트워크 구성에 영향을 줍니다. |
NSX에서는 BGP에 대해 MD5 인증만 지원하므로 사용할 수 있는 업데이트 방법이 없습니다. |
72021 | 보안 소켓 연결을 설정하는 데 SSLv3가 사용됩니다. TLS v 1.1 이상을 실행하고 프로토콜 약점이 있는 SSLv3를 완전히 비활성화하는 것이 좋습니다. | 이 상태는 SSLv3가 로드 밸런서 클라이언트 SSL 프로파일, 로드 밸런서 서버 SSL 프로파일 또는 로드 밸런서 HTTPS 모니터에 구성된 경우에 보고됩니다.
이 상태는 다음 구성에 영향을 줍니다.
|
이 상태를 업데이트하려면 TLS 1.1 이상을 사용하도록 SSL 프로파일을 구성하고 모든 로드 밸런서 구성에서 이 프로파일을 사용하십시오. SSL 프로파일 추가 항목을 참조하십시오. |
72022 | 보안 소켓 연결을 설정하는 데 TLSv 1.0가 사용됩니다. TLS v 1.1 이상을 실행하고 프로토콜 약점이 있는 TLS v1.0을 완전히 비활성화하는 것이 좋습니다. | 이 상태는 TLS v1.0이 로드 밸런서 클라이언트 SSL 프로파일, 로드 밸런서 서버 SSL 프로파일 또는 로드 밸런서 HTTPS 모니터에 구성된 경우에 보고됩니다.
이 상태는 다음 구성에 영향을 줍니다.
|
이 상태를 업데이트하려면 TLS 1.1 이상을 사용하도록 SSL 프로파일을 구성하고 모든 로드 밸런서 구성에서 이 프로파일을 사용하십시오. SSL 프로파일 추가 항목을 참조하십시오. |
72023 | 취약한 Diffie-Hellman 그룹이 사용됩니다. | 이 오류는 VPN IPSec 프로파일 또는 VPN IKE 프로파일 구성에 다음과 같은 Diffie-Hellman 그룹(2, 5, 14, 15 또는 16)이 포함된 경우에 보고됩니다. 그룹 2와 5는 약한 Diffie-Hellman 그룹입니다. 그룹 14, 15 및 16은 약한 그룹이 아니지만 FIPS 규격이 아닙니다. 이 상태는 보고된 규정 미준수 구성을 사용하는 IPSec VPN 세션 구성에 영향을 미칩니다. |
이 상태를 업데이트하려면 Diffie-Hellman 그룹 19, 20 또는 21을 사용하도록 VPN 프로파일을 구성하십시오. 프로파일 추가 항목을 참조하십시오. |
72024 | 로드 밸런서 FIPS 글로벌 설정이 비활성화되어 있습니다. | 이 오류는 로드 밸런서 FIPS 글로벌 설정이 비활성화된 경우에 보고됩니다. 이 상태는 모든 로드 밸런서 서비스에 영향을 미칩니다. |
이 상태를 업데이트하려면 로드 밸런서에 FIPS를 사용하도록 설정하십시오. 로드 밸런서에 대한 글로벌 FIPS 규정 준수 모드 구성 항목을 참조하십시오. |
72025 | Edge 노드에서 실행 중인 QAT(Quick Assist Technologies)는 FIPS 규격이 아닙니다. | QAT는 Intel에서 암호화 및 압축을 위해 제공하는 하드웨어 가속 서비스 집합입니다. | QAT 사용을 해제하려면 NSX CLI를 사용합니다. 자세한 내용은 "NSX 설치 가이드" 의 "IPSec VPN 대량 암호화에 대한 Intel QAT 지원"을 참조하십시오. |
72200 | 실제 엔트로피가 충분하지 않습니다. | 이 상태는 의사 난수 생성기가 하드웨어 생성 엔트로피에 의존하는 것이 아니라 엔트로피를 생성하는 데 사용될 때 보고됩니다. NSX Manager 노드에 충분한 실제 엔트로피를 생성하는 데 필요한 하드웨어 가속화 지원이 없기 때문에 하드웨어 생성 엔트로피가 사용되지 않습니다. |
이 상태를 업데이트하려면 최신 하드웨어를 사용하여 NSX Manager 노드를 실행해야 할 수 있습니다. 대부분의 최신 하드웨어는 이 기능을 지원합니다.
참고: 기본 인프라가 가상인 경우 실제 엔트로피를 얻을 수 없습니다.
|
72201 | 엔트로피 소스를 알 수 없습니다. | 이 상태는 표시된 노드에 사용할 수 있는 엔트로피 상태가 없을 때 보고됩니다. | 이 상태를 업데이트하려면 표시된 노드가 제대로 작동하고 있는지 확인하십시오. |
72301 | CA가 서명한 인증서가 아닙니다. | 이 상태는 NSX Manager 인증서 중 하나가 CA 서명 인증서가 아닐 때 보고됩니다. NSX Manager는 다음과 같은 인증서를 사용합니다.
|
이 상태를 업데이트하려면 CA 서명 인증서를 설치하십시오. 인증서 항목을 참조하십시오. |