Aller au contenu principal

Implémentation d'un environnement sécurisé

Il est important que vous évaluiez les exigences de sécurité dans votre environnement, que vous compreniez tous les risques liés à la sécurité, et que vous réduisiez ces risques. Lenovo XClarity Administrator inclut plusieurs fonctions qui peuvent vous aider à sécuriser votre environnement. Utilisez les informations suivantes pour implémenter le plan de sécurité de votre environnement.

À propos de cette tâche

Important
Vous êtes responsable de l'évaluation, de la sélection et de l'implémentation des fonctions de sécurité, des procédures d'administration et des commandes appropriées pour votre environnement système. L'implémentation des fonctions de sécurité décrites dans la présente section ne sécurise pas votre environnement intégralement.
Tenez compte des informations suivantes lorsque vous évaluez les exigences de sécurité pour votre environnement :
  • La sécurité physique de votre environnement est importante. Limitez l'accès aux salles et aux armoires dans lesquelles se trouve le matériel de gestion des systèmes.
  • Utilisez un pare-feu basé sur un logiciel pour protéger votre matériel réseau et vos données des menaces à la sécurité connues et émergentes telles que des virus et des accès non autorisés.
  • Ne modifiez pas les paramètres de sécurité par défaut des commutateurs réseau et des modules passe-système. Les paramètres par défaut définis à l'usine pour ces composants désactivent l'utilisation de protocoles non sécurisés et activent l'obligation de mises à jour du microprogramme signées.
  • Les applications de gestion des modules CMM, contrôleurs de gestion de la carte mère, FSP et des commutateurs autorisent uniquement les modules de mise à jour du microprogramme signés pour ces composants afin de garantir que seul le microprogramme sécurisé est installé.
  • Seuls les utilisateurs autorisés à mettre à jour des composants du microprogramme doivent avoir des droits de mise à jour du microprogramme.
  • Vérifiez au moins que les mises à jour du microprogramme critiques sont installées. Après avoir apporté des modifications, sauvegardez toujours la configuration.
  • Assurez-vous que toutes les mises à jour relatives à la sécurité des serveurs DNS sont installées rapidement et maintenues à jour.
  • Informez vos utilisateurs de ne pas accepter de certificats non sécurisés. Pour plus d'informations, voir Utilisation de certificats de sécurité.
  • Des options anti-fraude sont disponibles pour le matériel Flex System. Si le matériel est installé dans une armoire non verrouillée ou située dans une zone ouverte, installez les options anti-fraude pour dissuader et identifier les intrusions. Pour plus d'informations sur les options anti-fraude, consultez la documentation livrée avec vos produits Flex System.
  • Lorsque cela est possible et réalisable, placez le matériel de gestion des systèmes sur un sous-réseau distinct. Généralement, seuls les administrateurs doivent avoir accès au matériel de gestion des systèmes ; aucun utilisateur de base ne doit y avoir accès.
  • Lorsque vous choisissez des mots de passe, n'utilisez pas d'expressions faciles à deviner du type «  mot de passe  » ou le nom de votre entreprise. Conservez les mots de passe dans un endroit sécurisé et assurez-vous que leur accès est restreint. Mettez en place une politique de mot de passe pour votre entreprise.
    Important
    Changez toujours le nom d'utilisateur et le mot de passe par défaut. Des règles de mot de passe strictes doivent être obligatoires pour tous les utilisateurs.
  • Instaurez des mots de passe à la mise sous tension pour les utilisateurs afin de contrôler l'accès aux données et aux programmes de configuration sur les serveurs. Pour plus d'informations sur les mots de passe à la mise sous tension, consultez la documentation livrée avec vos serveurs.
  • Utilisez les divers niveaux d'autorisation disponibles pour les différents utilisateurs de votre environnement. N'autorisez pas tous les utilisateurs à travailler avec le même ID utilisateur de superviseur.
  • Vérifiez que votre environnement répond aux critères suivants de la norme NIST 800-131A pour la prise en charge des communications sécurisées :
    • Utilisation de SSL (Secure Sockets Layer) avec le protocole TLS v1.2.
    • Utilisation de SHA-256 ou de fonctions de hachage plus fortes pour les signatures numériques et de SHA-1 ou de fonctions de hachage plus fortes pour les autres applications.
    • Utilisation de RSA-2048 ou niveau supérieur ou de courbes elliptiques conformes à NIST de 224 bits ou plus.
    • Utilisation d'un chiffrement symétrique conforme à NIST avec des clés d'au moins 128 bits de longueur.
    • Utilisation de générateurs de nombres aléatoires conformes à NIST.
    • Lorsque cela est possible, prise en charge de mécanismes d'échange de clés Diffie-Hellman ou Elliptic Curve Diffie-Hellman.

    Pour plus d'informations sur les paramètres de cryptographie, voir Configuration des paramètres cryptographiques sur le serveur de gestion. Pour plus d'informations sur les paramètres NIST, voir Implémentation de la conformité avec la norme NIST SP 800-131A.

  • Modification des paramètres de sécurité d'un compte utilisateur
    Les paramètres de sécurité d'un compte utilisateur contrôlent la complexité du mot de passe, le verrouillage du compte, ainsi que le délai d'attente d'inactivité de session Web. Vous pouvez modifier les valeurs des paramètres.
  • Configuration des paramètres cryptographiques sur le serveur de gestion
    Vous pouvez configurer la version et le paramètre de chiffrement SSL/TLS pour le serveur de gestion.
  • Configuration des paramètres de sécurité pour un serveur géré
    Vous pouvez configurer la version et le paramètre de chiffrement SSL/TLS pour les serveurs gérés.
  • Utilisation de certificats de sécurité
    Lenovo XClarity Administrator utilise des certificats SSL pour établir des communications sécurisées et approuvées entre XClarity Administrator et ses appareils gérés (tels que des châssis et des processeurs de maintenance sur les serveurs System x), ainsi que des communications avec XClarity Administrator par les utilisateurs ou avec différents services. Par défaut, XClarity Administrator, les modules CMM et les contrôleurs de gestion de la carte mère utilisent des certificats générés par XClarity Administrator qui sont autosignés et émis par une autorité de certification interne.
  • Activation de l'encapsulage
    Lorsque vous gérez les châssis et les serveurs Lenovo dans Lenovo XClarity Administrator, vous pouvez configurer Lenovo XClarity Administrator pour modifier les règles de pare-feu des appareils afin que les demandes entrantes soient acceptées uniquement à partir de Lenovo XClarity Administrator. Cette procédure est appelée encapsulage. Vous pouvez également activer ou désactiver l'encapsulage sur les châssis et les serveurs qui sont déjà gérés par Lenovo XClarity Administrator.
  • Implémentation de la conformité avec la norme NIST SP 800-131A
    Si vous devez respecter la norme NIST SP 800-131A, vous pouvez commencer par mettre en place un environnement intégralement conforme à l'aide de Lenovo XClarity Administrator.