Passa al contenuto principale

Gestione della crittografia

La gestione crittografica è costituita da protocolli e modalità di comunicazione che regolano la modalità di gestione della comunicazione sicura tra Lenovo XClarity Administrator e i sistemi gestiti (come chassis, server e switch Flex).

Algoritmi di crittografia

XClarity Administrator supporta TLS 1.2 e algoritmi crittografici più avanzati per connessioni di rete sicure.

Per una maggiore sicurezza, sono supportate soltanto cifrature avanzate. I sistemi operativi del client e i browser Web devono supportare una delle suite di cifratura che seguono.
  • SSH-ED25519

  • SSH-ED25519-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP256

  • ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP384

  • ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP521

  • ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM

  • RSA-SHA2-512

  • RSA-SHA2-256

  • RSA-SHA2-384

Modalità crittografiche per il server di gestione

Questa impostazione determina la modalità da utilizzare per le comunicazioni sicure dal server di gestione.
  • Compatibilità. Questo è la modalità predefinita. È compatibile con le versioni firmware precedenti, i browser e gli altri client di rete che non implementano i rigorosi standard di sicurezza richiesti per la conformità NIST SP 800-131A.
  • NIST SP 800-131A. Questa modalità è progettata per rispettare lo standard di conformità NIST SP 800-131A. XClarity Administrator è progettato per utilizzare sempre la crittografia interna e le connessioni di rete con crittografia sicura, dove disponibile. Tuttavia, in questa modalità, le connessioni di rete che utilizzano la crittografia non approvata da NIST SP 800-131A non sono autorizzate; ad esempio, i certificati TLS (Transport Layer Security) con firma SHA-1 o hash più debole verranno respinti.

    Se si seleziona questa modalità:
    • Per tutte le porte diverse dalla porta 8443, tutte le cifrature CBC TLS e quelle che non supportano Perfect Forward Secrecy sono disabilitate.

    • Le notifiche eventi potrebbero non essere inviate correttamente ad alcune sottoscrizioni di dispositivi mobili (vedere Inoltro di eventi a dispositivi mobili ). Servizi esterni, come Android e iOS, presentano certificati firmati con SHA-1. Questo algoritmo non è conforme ai requisiti più rigorosi della modalità NIST SP 800-131A. Pertanto, tutte le connessioni a questi servizi potrebbero non riuscire con un'eccezione del certificato o un errore di handshake.

    Per ulteriori informazioni sulla NIST SP 800-131A conformità, vedere Implementazione della conformità NIST SP 800-131A.

Per ulteriori informazioni sull'impostazione delle modalità di sicurezza sul server di gestione, vedere Configurazione delle impostazioni di crittografia sul server di gestione.

Modalità di sicurezza per i server gestiti

Questa impostazione determina la modalità da utilizzare per le comunicazioni sicure dai server di gestione.
  • Sicurezza della compatibilità. Selezionare questa modalità quando i servizi e i client richiedono crittografia non conforme a CNSA/FIPS. Questa modalità supporta un'ampia gamma di algoritmi di crittografia e consente l'abilitazione di tutti i servizi.

  • NIST SP 800-131A. Selezionare questa modalità per garantire la compatibilità con lo standard NIST SP 800-131A. Ciò include la restrizione delle chiavi RSA a 2048 bit o superiori, la restrizione degli hash utilizzati per le firme digitali a SHA-256 o più e la garanzia che vengano utilizzati solo gli algoritmi di crittografia simmetrica approvati NIST. Questa modalità richiede l'impostazione della modalità SSL/TLS sul client del server TLS 1.2.

    Questa modalità non è supportata per i server con XCC2.

  • Sicurezza standard. Questa è la modalità di sicurezza predefinita per server con XCC2 (solo server con XCC2). Selezionare questa modalità per garantire la compatibilità con lo standard FIPS 140-3. Per il funzionamento di XCC in modalità convalidata FIPS 140-3, è possibile abilitare solo i servizi che supportano la crittografia di livello FIPS 140-3. I servizi che non supportano la crittografia di livello FIPS 140-2/140-3 sono disabilitati per impostazione predefinita, ma possono essere abilitati, se necessario. Se è abilitato un servizio che utilizza la crittografia non di livello FIPS 140-3, XCC non può funzionare in modalità convalidata FIPS 140-3. Questa modalità richiede certificati di livello FIP.

  • Sicurezza aziendale rigorosa. Questa è la modalità più sicura (solo server con XCC2). Selezionare questa modalità per garantire la compatibilità con lo standard CNSA. Sono consentiti solo i servizi che supportano la crittografia di livello CNSA. I servizi non sicuri sono disabilitati per impostazione predefinita e non possono essere abilitati. Questa modalità richiede certificati di livello CNSA.

    XClarity Administrator utilizza le firme del certificato RSA-3072/SHA-384 per i server in modalità Sicurezza aziendale rigorosa.

    Importante
    • Per utilizzare questa modalità, è necessario installare la chiave Feature On Demand di XCC2 per ogni elemento server con XCC2 selezionato.

    • In questa modalità, se XClarity Administrator utilizza un certificato autofirmato, XClarity Administrator deve utilizzare il certificato radice e il certificato server basati su RSA3072/SHA384. Se XClarity Administrator utilizza un certificato firmato esterno, XClarity Administrator deve generare una CSR basata su RSA3072/SHA384 e contattare la CA esterna per firmare un nuovo certificato server basato su RSA3072/SHA384.

    • Quando XClarity Administrator utilizza un certificato basato su RSA3072/SHA384, XClarity Administrator potrebbe scollegare i dispositivi diversi da: chassis e server Flex System (CMM), server ThinkSystem, server ThinkServer, server System x M4 e M5, switch Lenovo ThinkSystem serie DB, Lenovo RackSwitch, switch Flex System, switch Mellanox, dispositivi di storage ThinkSystem DE/DM, storage della libreria a nastro IBM e server ThinkSystem SR635/SR655 con firmware precedente alla versione 22C. Per continuare a gestire i dispositivi disconnessi, configurare un'altra istanza di XClarity Administrator con un certificato basato su RSA2048/SHA384.

Considerare le seguenti implicazioni che comporta la modifica della modalità crittografica.
  • La modifica dalla modalità Sicurezza della compatibilità o Sicurezza standard a Sicurezza aziendale rigorosa non è supportata.

  • Se si esegue l'aggiornamento dalla modalità Sicurezza della compatibilità alla modalità Sicurezza standard, se i certificati importati o le chiavi pubbliche SSH non sono conformi, verrà visualizzato un avviso ma sarà comunque possibile aggiornare alla modalità Sicurezza standard.

  • Se si esegue il downgrade dalla modalità Sicurezza aziendale rigorosa alla modalità Sicurezza della compatibilità o Sicurezza standard:

    • Il server viene automaticamente riavviato affinché la modalità di sicurezza sia resa effettiva.

    • Se la chiave FoD in modalità rigorosa manca o è scaduta su XCC2 e XCC2 utilizza un certificato TLS autofirmato, XCC2 rigenera il certificato TLS autofirmato basato sull'algoritmo conforme alla modalità Rigorosa standard. XClarity Administrator mostra un errore di connessione a causa di un errore del certificato. Per risolvere l'errore di certificato non attendibile, vedere Risoluzione di un certificato server non attendibile. Se XCC2 utilizza un certificato TLS personalizzato, XCC2 consente il downgrade e avverte l'utente della necessità di importare un certificato server basato sulla crittografia della modalità Sicurezza standard.

  • La modalità NIST SP 800-131A non è supportata per i server con XCC2.
  • Non è possibile utilizzare l'autenticazione gestita per gestire un server ThinkSystem o ThinkAgile quando la modalità di sicurezza di XCC è impostata su TLS v1.3.
  • Per un server ThinkSystem o ThinkAgile gestito mediante l'autenticazione gestita, la modifica della modalità di sicurezza di XCC in TLS v1.3 tramite XClarity Administrator o XCC farà sì che il server non sia in linea.
È possibile modificare i valori delle impostazioni di sicurezza per i seguenti dispositivi.
  • Server Lenovo ThinkSystem con processori Intel o AMD (ad eccezione di SR635/SR655)
  • Server Lenovo ThinkSystem V2
  • Server Lenovo ThinkSystem V3 con processori Intel o AMD
  • Server Lenovo ThinkEdge SE350/SE450
  • Server Lenovo System x

Per ulteriori informazioni sull'impostazione delle modalità di sicurezza sul server gestito, vedere Configurazione delle impostazioni di sicurezza per un server gestito.