Pular para o conteúdo principal

Gerenciamento de criptografia

O gerenciamento de criptografia é composto por modos e protocolos de comunicação que controlam a maneira como a comunicação segura é manipulada entre o Lenovo XClarity Administrator e os dispositivos gerenciados (como chassis, servidores e comutadores Flex).

Algoritmos criptográficos

O XClarity Administrator oferece suporte a TLS 1.2 e algoritmos criptográficos mais fortes para conexões de rede seguras.

Para aumentar a segurança, apenas criptografias extremamente fortes são suportadas. Os sistemas operacionais cliente e os navegadores da Web devem oferecer suporte a um dos pacotes de criptografia a seguir.
  • SSH-ED25519

  • SSH-ED25519-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP256

  • ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP384

  • ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM

  • ECDSA-SHA2-NISTP521

  • ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM

  • RSA-SHA2-512

  • RSA-SHA2-256

  • RSA-SHA2-384

Modos criptográficos do servidor de gerenciamento

Essa configuração determina o modo a ser usado para comunicações seguras do servidor de gerenciamento.
  • Compatibilidade. Este modo é o padrão. É compatível com versões de firmware, navegadores e outros clientes de rede mais antigos que não implementam padrões de segurança rígidos necessários para conformidade com o NIST SP 800-131A.
  • NIST SP 800-131A. Este modo foi projetado para obedecer o padrão do NIST SP 800-131A. O XClarity Administrator foi projetado para sempre usar internamente uma criptografia forte e, sempre que disponível, usar conexões de rede com criptografia forte. Entretanto, sempre que estiver neste modo, as conexões de rede que estiverem usando criptografia não aprovada pelo NIST SP 800-131A não serão permitidas, incluindo a rejeição de certificados Transport Layer Security (TLS) que são assinados usando SHA-1 ou um hash mais vulnerável.

    Se selecionar esse modo:
    • Para todas as portas que não sejam a porta 8443, todas as cifras TLS CBC e todas as cifras incompatíveis com Perfect Forward Secrecy são desativadas.

    • As notificações de eventos podem não ser enviadas por push com sucesso a algumas assinaturas de dispositivo móvel (consulte Encaminhamento de eventos à dispositivos móveis). Os serviços externos, como Android e iOS, apresentam certificados assinados com SHA-1, que é um algoritmo que não está em conformidade com os requisitos mais rigorosos do modo NIST SP 800-131A. Como resultado, as conexões a estes serviços podem falhar com uma exceção de certificado ou falha de handshake.

    Para obter mais informações sobre a conformidade do NIST SP 800-131A, consulte Implementando a conformidade com NIST SP 800-131A.

Para obter mais informações sobre a configuração dos modos de segurança no servidor de gerenciamento, consulte Definindo configurações de criptografia no servidor de gerenciamento.

Modos de segurança para os servidores gerenciados

Essa configuração determina o modo a ser usado para comunicações seguras dos servidores gerenciados.
  • Segurança de compatibilidade. Selecione esse modo quando serviços e clientes requerem criptografia que não seja compatível com CNSA/FIPS. Este modo é compatível com uma ampla gama de algoritmos criptográficos e permite que todos os serviços sejam habilitados.

  • NIST SP 800-131A. Selecione esse modo para garantir a conformidade com o padrão NIST SP 800-131A. Isso inclui a restrição de chaves RSA a 2048 bits ou mais, a restrição de hashes usados para assinaturas digitais para SHA-256 ou mais e a garantia de que somente os algoritmos de criptografia simétricos aprovados pelo NIST sejam usados. Este modo requer a configuração do modo SSL/TLS como TLS 1.2 Server Client.

    Esse modo não é compatível com servidores com XCC2.

  • Segurança padrão. (Apenas servidores com XCC2) Este é o modo de segurança padrão para servidores com XCC2. Selecione esse modo para garantir a conformidade com o padrão FIPS 140-3. Para que o XCC opere no modo validado FIPS 140-3, apenas serviços compatíveis com a criptografia de nível FIPS 140-3 podem ser habilitados. Os serviços não compatíveis com a criptografia de nível FIPS 140-2/140-3 são desativados por padrão, mas podem ser habilitados se necessário. Se qualquer serviço que usa criptografia de nível 140-3 não FIPS estiver habilitado, o XCC não poderá operar no modo validado fips 140-3. Esse modo requer certificados em nível de FIPs.

  • Segurança corporativa estrita. (Apenas servidores com XCC2) Este é o modo mais seguro. Selecione esse modo para garantir a conformidade com o padrão CNSA. Somente serviços compatíveis com a criptografia de nível CNSA são permitidos. Os serviços não seguros são desabilitados por padrão e não podem ser habilitados. Esse modo requer certificados em nível de CNSA.

    O XClarity Administrator usa assinaturas de certificado RSA-3072/SHA-384 para servidores no modo Segurança corporativa estrita.

    Importante
    • A chave XCC2 Feature On Demand deve ser instalada em cada um dos servidores com XCC2 selecionados para usar esse modo.

    • Nesse modo, se o XClarity Administrator usar certificado autoassinado, o XClarity Administrator deverá usar o certificado raiz e o certificado do servidor baseado em RSA3072/SHA384. Se o XClarity Administrator usar um certificado assinado externo, o XClarity Administrator deverá gerar uma CSR baseada em RSA3072/SHA384 e entrar em contato com a CA externa para assinar um novo certificado de servidor baseado em RSA3072/SHA384.

    • Quando o XClarity Administrator usar um certificado baseado em RSA3072/SHA384, o XClarity Administrator poderá desconectar dispositivos que não sejam o chassi do Flex System (CMMS) e servidores, servidores ThinkSystem, servidores ThinkServer, servidores System x M4 e M5, comutadores Lenovo ThinkSystem Série DB, Lenovo RackSwitch, comutadores Flex System, comutadores Mellanox, dispositivos de armazenamento ThinkSystem DE/DM, armazenamento da biblioteca de fita IBM e servidores ThinkSystem SR635/SR655 em flash com firmware anterior a 22C. Para continuar a gerenciar os dispositivos desconectados, configure outra instância do XClarity Administrator com um certificado baseado em RSA2048/SHA384.

Considere as seguintes implicações de alterar o modo criptográfico.
  • A alteração do modo Segurança de compatibilidade ou Segurança padrão para Segurança corporativa estrita não é compatível.

  • Se você atualizar do Segurança de compatibilidade para o modo Segurança padrão, será advertido se certificados importados ou chaves públicas SSH não forem compatíveis, mas você ainda poderá fazer a atualização para o modo Segurança padrão.

  • Se você fizer downgrade do modo Segurança corporativa estrita para Segurança de compatibilidade ou Segurança padrão:

    • O servidor é reiniciado automaticamente para que o modo de segurança entre em vigor.

    • Se a chave FoD do modo estrito estiver ausente ou expirada no XCC2, e se o XCC2 usar um certificado TLS autoassinado, o XCC2 gerará novamente o certificado TLS autoassinado com base no algoritmo compatível com Estrito padrão. O XClarity Administrator mostra uma falha de conexão devido a um erro de certificado. Para resolver o erro de certificado não confiável, consulte Resolvendo um certificado de servidor não confiável. Se o XCC2 usar um certificado TLS personalizado, o XCC2 permitirá o downgrade e avisará que você precisa importar um certificado do servidor baseado na criptografia do modo Segurança padrão.

  • O modo NIST SP 800-131A compatível com servidores com XCC2.
  • Não é possível usar autenticação gerenciada para gerenciar um servidor ThinkSystem ou ThinkAgile quando o modo de segurança do XCC é definido como TLS v1.3.
  • Para um servidor ThinkSystem ou ThinkAgile que é gerenciado usando autenticação gerenciada, alterar o modo de segurança do XCC para TLS v1.3 usando XClarity Administrator ou XCC fará com que o servidor fique offline.
É possível alterar as configurações de segurança dos dispositivos a seguir.
  • Servidores Lenovo ThinkSystem com processadores Intel ou AMD (exceto SR635/SR655)
  • Servidores Lenovo ThinkSystem V2
  • Servidores Lenovo ThinkSystem V3 com processadores Intel ou AMD
  • Servidores Lenovo ThinkEdge SE350/SE450
  • Servidores Lenovo System x

Para obter mais informações sobre a configuração dos modos de segurança no servidor gerenciado, consulte Definindo as configurações de segurança de um servidor gerenciado.