Gestión criptográfica
La gestión criptográfica se compone de modos y protocolos de comunicación que controlan la forma en la que se manejan comunicaciones seguras entre Lenovo XClarity Administrator y los dispositivos gestionados (tales como chasis, servidores y conmutadores Flex).
Algoritmos criptográficos
XClarity Administrator admite TLS 1.2 y algoritmos criptográficos más seguros para conexiones de red seguras.
SSH-ED25519
SSH-ED25519-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP256
ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP384
ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP521
ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM
RSA-SHA2-512
RSA-SHA2-256
RSA-SHA2-384
Modos criptográficos para el servidor de gestión
- Compatibilidad. Este es el modo predeterminado. Es compatible con versiones de firmware más antiguas, navegadores y otros clientes de red que no implementan los estrictos estándares de seguridad que se necesitan para la conformidad con NIST SP 800-131A.
NIST SP 800-131A. Este modo está diseñado para cumplir con el estándar NIST SP 800-131A. XClarity Administrator está diseñado para utilizar siempre una criptografía compleja internamente y, donde proceda, utilizar conexiones de red basadas en criptografías complejas. Sin embargo, con este modo, no se permiten las conexiones de red que utilizan una criptografía que no está aprobada por NIST SP 800-131A, incluido el rechazo de certificados de seguridad de la capa de transporte (TLS) firmados con un hash SHA-1 o más débil.
Si selecciona este modo:Para todos los puertos que no sean el puerto 8443, se desactivan todos los cifrados TLS CBC y todos los cifrados que no admiten Perfect Forward Secrecy.
Las notificaciones de sucesos no se pueden enviar correctamente a algunas suscripciones de dispositivos móviles (consulte Reenviar sucesos a dispositivos móviles). Los servicios externos, tales como Android e iOS, presentan certificados que están firmados con SHA-1, que es un algoritmo que no se ajusta a los requisitos más estrictos del modo NIST SP 800-131A. Como resultado, cualquier conexión a estos servicios puede fallar con una excepción del certificado o una falla del protocolo de enlace.
Para obtener más información sobre cómo configurar los modos de seguridad en el servidor de gestión, consulte Configuración de valores de criptografía en el servidor de gestión.
Modos de seguridad para los servidores gestionados
Seguridad de compatibilidad. Seleccione este modo cuando los servicios y los clientes requieran una criptografía que no sea compatible con CNSA/FIPS. Este modo admite una amplia gama de algoritmos criptográficos y permite habilitar todos los servicios.
NIST SP 800-131A. Seleccione este modo para garantizar el cumplimiento del estándar NIST SP 800-131A. Esto incluye restringir las claves RSA a 2048 bits o más, restringir los hash utilizados para las firmas digitales a SHA-256 o superior, y garantizar que solo se utilicen algoritmos de cifrado simétricos aprobados por NIST. Este modo requiere configurar el modo SSL/TLS en Servidor y cliente de TLS 1.2.
Este modo no es compatible con servidores con XCC2.
Seguridad estándar. (Únicamente servidores con XCC2) Este es el modo de seguridad predeterminado para servidores con XCC2. Seleccione este modo para garantizar el cumplimiento del estándar FIPS 140-3. Para que XCC funcione en el modo validado con FIPS 140-3, solo se pueden habilitar los servicios que admiten la criptografía de nivel FIPS 140-3. Los servicios que no admiten la criptografía de nivel FIPS 140-2/140-3 están deshabilitados de manera predeterminada, pero se pueden habilitar si es necesario. Si se habilita cualquier servicio que utilice criptografía de nivel FIPS 140-3, XCC no puede operar en el modo validado con FIPS 140-3. Este modo requiere certificados de nivel FIP.
Seguridad estricta empresarial. (solo servidores con XCC2) Este es el modo más seguro. Seleccione este modo para garantizar el cumplimiento del estándar CNSA. Solo se permiten los servicios que admiten criptografía de nivel CNSA. Los servicios no seguros están deshabilitados de forma predeterminada y no se pueden habilitar. Este modo requiere certificados de nivel CNSA.
XClarity Administrator utiliza firmas del certificado RSA-3072/SHA-384 para servidores en el modo de Seguridad estricta empresarial.
ImportanteLa clave de característica bajo demanda de XCC2 se debe instalar en cada uno de los servidores con XCC2 seleccionados para utilizar este modo.
En este modo, si XClarity Administrator utiliza un certificado autofirmado, XClarity Administrator debe utilizar un certificado raíz y un certificado de servidor basados en RSA3072/SHA384. Si XClarity Administrator utiliza un certificado externo firmado, XClarity Administrator debe generar una CSR basada en RSA3072/SHA384 y ponerse en contacto con la CA externa para firmar un nuevo certificado de servidor basado en RSA3072/SHA384.
Cuando XClarity Administrator utiliza un certificado basado en RSA3072/SHA384, XClarity Administrator puede desconectar dispositivos que no sean servidores y chasis de Flex System (CMMS), servidores ThinkSystem, servidores ThinkServer, servidores System x M4 y M5, conmutadores de la serie Lenovo ThinkSystem DB, Lenovo RackSwitch, conmutadores Flex System, conmutadores Mellanox, dispositivos de almacenamiento ThinkSystem DE/DM, almacenamiento de biblioteca de cintas de IBM y servidores ThinkSystem SR635/SR655 actualizados con firmware anterior a 22C. Para continuar gestionando los dispositivos desconectados, configure otra instancia de XClarity Administrator con un certificado basado en RSA2048/SHA384.
No se admite el cambio de los modos de Seguridad de compatibilidad o Seguridad estándar al modo de Seguridad estricta empresarial.
Si se actualiza del modo de Seguridad de compatibilidad al modo de Seguridad estándar, recibirá una advertencia si los certificados importados o las claves públicas SSH son no conformes. Sin embargo, aún podrá realizar la actualización al modo de Seguridad estándar.
Si se realiza una degradación del modo de Seguridad estricta empresarial al modo de Seguridad de compatibilidad o Seguridad estándar:
El servidor se reinicia automáticamente para que entre en vigor el modo de seguridad.
Si falta o caduca la clave FoD del modo estricto en el XCC2, y si XCC2 utiliza un certificado TLS autofirmado, XCC2 vuelve a generar el certificado TLS autofirmado en función del algoritmo de cumplimiento estricto estándar. XClarity Administrator muestra un error de conexión debido a un error de certificado. Para resolver el error de certificado no fiable, consulte Resolución de un certificado de servidor no fiable. Si XCC2 utiliza un certificado TLS personalizado, XCC2 permite la degradación y le advierte que debe importar un certificado de servidor basado en la criptografía del modo de Seguridad estándar.
El modo NIST SP 800-131A no es compatible con servidores con XCC2.
Si el modo criptográfico para XClarity Administrator está establecido en TLS v1.2, y si un servidor gestionado que usa autenticación gestionada tiene un modo de seguridad establecido en TLS v1.2, cambiar el modo de seguridad del servidor a TLS v1.3 mediante XClarity Administrator o XCC hará que el servidor esté fuera de línea de forma permanente.
Si el modo criptográfico para XClarity Administrator está establecido en TLS v1.2 y se intenta gestionar un servidor con XCC cuyo modo de seguridad está establecido en TLS v1.3, el servidor no se podrá gestionar mediante la autenticación gestionada.
Servidores Lenovo ThinkSystem con procesadores Intel o AMD (excepto SR635/SR655)
Servidores Lenovo ThinkSystem V2
Servidores Lenovo ThinkSystem V3 con procesadores Intel o AMD
Servidores Lenovo ThinkEdge SE350/SE450
Servidores Lenovo System x
Para obtener más información sobre cómo configurar los modos de seguridad en el servidor gestionado, consulte Configuración de los valores de seguridad para un servidor gestionado.