암호화 관리
암호 관리는 Lenovo XClarity Administrator와 관리 장치(예, 섀시, 서버 및 Flex 스위치) 간에 보안 통신이 처리되는 방식을 제어하는 통신 모드와 프로토콜로 구성됩니다.
암호화 알고리즘
XClarity Administrator는 안전한 네트워크 연결을 위해 TLS 1.2 및 강력한 암호화 알고리즘을 지원합니다.
SSH-ED25519
SSH-ED25519-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP256
ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP384
ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP521
ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM
RSA-SHA2-512
RSA-SHA2-256
RSA-SHA2-384
관리 서버의 암호화 모드
- 호환성. 이 모드는 기본값입니다. NIST SP 800-131A 준수에 필요한 엄격한 보안 표준을 구현하지 않는 이전 펌웨어 버전, 브라우저 및 기타 네트워크 클라이언트와 호환됩니다.
NIST SP 800-131A. 이 모드는 NIST SP 800-131A 표준을 준수하도록 설계되어 있습니다. XClarity Administrator는 항상 내부적으로 강력한 암호를 사용하고 사용 가능한 경우 강력한 암호 네트워크 연결을 사용하도록 설계되어 있습니다. 그러나 이 모드에서는 SHA-1 또는 이보다 약한 해시로 서명된 TLS(Transport Layer Security) 인증서 거부 등 NIST SP 800-131A가 승인하지 않는 암호를 사용하는 네트워크 연결은 허용되지 않습니다.
이 모드를 선택하는 경우:포트 8443을 제외한 모든 포트의 경우 모든 TLS CBC 암호 및 Perfect Forward Secrecy를 지원하지 않는 모든 암호가 비활성화됩니다.
이벤트 알림은 일부 모바일 장치 구독에는 성공적으로 푸시되지 않을 수 있습니다(모바일 장치에 이벤트 전달 참조). Android 및 iOS와 같은 외부 서비스는 NIST SP 800-131A 모드의 더 엄격한 요구사항을 준수하지 않는 알고리즘인 SHA-1로 서명된 인증서를 제공합니다. 결과적으로 이러한 서비스에 대한 연결은 인증서 예외 또는 핸드셰이크 오류로 실패할 수 있습니다.
관리 서버의 보안 모드 설정에 대한 자세한 정보는 관리 서버의 암호화 설정 구성 내용을 참조하십시오.
관리되는 서버의 보안 모드
호환성 보안. 서비스 및 클라이언트에 CNSA/FIPS와 호환되지 않는 암호가 필요한 경우 이 모드를 선택하십시오. 이 모드는 광범위한 암호화 알고리즘을 지원하며 모든 서비스를 활성화할 수 있습니다.
NIST SP 800-131A. NIST SP 800-131A 표준을 준수하도록 하려면 이 모드를 선택하십시오. 여기에는 RSA 키를 2048비트 이상으로 제한하고, 디지털 서명에 사용되는 해시를 SHA-256 이상으로 제한하며, NIST 승인 대칭적 암호화 알고리즘만 사용되도록 하는 것 등이 포함됩니다. 이 모드에서는 SSL/TLS 모드를 TLS 1.2 서버 클라이언트로 설정해야 합니다.
이 모드는 XCC2가 있는 서버에 지원되지 않습니다.
표준 보안. (XCC2가 있는 서버만 해당) XCC2가 있는 서버의 기본 보안 모드입니다. FIPS 140-3 표준을 준수하도록 하려면 이 모드를 선택하십시오. XCC가 FIPS 140-3 검증 모드에서 작동하려면 FIPS 140-3 수준 암호화를 지원하는 서비스만 활성화할 수 있습니다. FIPS 140-2/140-3 수준 암호화를 지원하지 않는 서비스는 기본적으로 비활성화되지만 필요한 경우 활성화할 수 있습니다. 비 FIPS 140-3 수준 암호화를 사용하는 서비스가 활성화된 경우 XCC는 FIPS 140-3 검증 모드에서 작동 불가합니다. 이 모드에는 FIPS 수준 인증서가 필요합니다.
Enterprise Strict 보안. (XCC2가 있는 서버만 해당) 가장 안전한 모드입니다. CNSA 표준을 준수하도록 하려면 이 모드를 선택하십시오. CNSA 수준 암호화를 지원하는 서비스만 허용됩니다. 비보안 서비스는 기본적으로 비활성화되며 활성화할 수 없습니다. 이 모드에는 CNSA 수준 인증서가 필요합니다.
Enterprise Strict 보안 모드에서 XClarity Administrator는 서버에 RSA-3072/SHA-384 인증서 서명을 사용합니다.
중요사항XCC2 Feature On Demand 키를 선택한 각 XCC2가 있는 서버에 설치하여 이 모드를 사용해야 합니다.
이 모드에서 XClarity Administrator가 자체 서명된 인증서를 사용하는 경우 XClarity Administrator는 RSA3072/SHA384 기반 루트 인증서와 서버 인증서를 사용해야 합니다. XClarity Administrator가 외부 서명 인증서를 사용하는 경우 XClarity Administrator는 RSA3072/SHA384 기반 CSR을 생성하고 외부 CA에 연결하여 RSA3072/SHA384 기반의 새 서버 인증서에 서명해야 합니다.
XClarity Administrator가 RSA3072/SHA384 기반 인증서를 사용하는 경우 XClarity Administrator는 Flex System 섀시(CMMS) 및 서버, ThinkSystem 서버, ThinkServer 서버, System x M4 및 M5 서버, Lenovo ThinkSystem DB 시리즈 스위치, Lenovo RackSwitch, Flex System 스위치, Mellanox 스위치, ThinkSystem DE/DM 스토리지 장치, IBM 테이프 라이브러리 및 22C 이전의 펌웨어로 플래시된 ThinkSystem SR635/SR655 서버 이외의 장치 연결을 끊을 수도 있습니다. 연결이 끊긴 장치를 계속 관리하려면 RSA2048/SHA384 기반 인증서로 다른 XClarity Administrator 인스턴스를 설정하십시오.
호환성 보안 모드 또는 표준 보안 모드에서 Enterprise Strict 보안 모드로 변경하는 것은 지원되지 않습니다.
호환성 보안 모드에서 표준 보안 모드로 업그레이드하는 경우 가져온 인증서 또는 SSH 공개 키가 호환되지 않으면 경고가 표시되지만 표준 보안 모드로 업그레이드할 수는 있습니다.
Enterprise Strict 보안에서 호환성 보안 또는 표준 보안 모드로 다운그레이드하는 경우.
해당 보안 모드를 적용하기 위해 서버가 자동으로 다시 시작됩니다.
XCC2에서 strict 모드 FoD 키가 없거나 만료된 경우 및 XCC2가 자체 서명된 TLS 인증서를 사용하는 경우에는 XCC2가 Standard Strict 호환 알고리즘을 기반으로 자체 서명된 TLS 인증서를 다시 생성합니다. XClarity Administrator에서는 인증서 오류로 인한 연결 실패를 표시합니다. 신뢰할 수 없는 인증서 오류를 해결하려면 신뢰할 수 없는 서버 인증서 해결 내용을 참조하십시오. XCC2가 사용자 지정 TLS 인증서를 사용하는 경우 XCC2는 다운그레이드를 허용하며 표준 보안 모드 암호를 기반으로 하는 서버 인증서를 가져와야 한다고 경고가 표시됩니다.
- NIST SP 800-131A 모드는 XCC2가 있는 서버에 지원되지 않습니다.
- XCC의 보안 모드가 TLS v1.3으로 설정된 경우 관리되는 인증을 사용하여 ThinkSystem 또는 ThinkAgile 서버를 관리할 수 없습니다.
- 관리되는 인증을 사용하여 관리되는 ThinkSystem 또는 ThinkAgile 서버의 경우 XClarity Administrator 또는 XCC를 사용하여 XCC의 보안 모드를 TLS v1.3으로 변경하면 서버가 오프라인 상태가 됩니다.
- Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem 서버(SR635/SR655 제외)
- Lenovo ThinkSystem V2 서버
- Intel 또는 AMD 프로세서가 탑재된 Lenovo ThinkSystem V3 서버
- Lenovo ThinkEdge SE350/SE450 서버
- Lenovo System x 서버
관리되는 서버의 보안 모드 설정에 대한 자세한 정보는 관리되는 서버의 보안 설정 구성 내용을 참조하십시오.