Pular para o conteúdo principal

Definindo as configurações de segurança de um servidor gerenciado

É possível configurar a versão SSL/TLS e a configuração de criptografia para servidores gerenciados.

Sobre esta tarefa

Considere as seguintes implicações de alterar o modo criptográfico.

  • Para XClarity Administrator v4.2 e versões anteriores:

  • Para XClarity Administrator v4.0 e versões anteriores:
    • Não é possível usar autenticação gerenciada para gerenciar um servidor ThinkSystem ou ThinkAgile quando o modo de segurança do XCC é definido como TLS v1.3.
    • Para um servidor ThinkSystem ou ThinkAgile que é gerenciado usando autenticação gerenciada, alterar o modo de segurança do XCC para TLS v1.3 usando XClarity Administrator ou XCC fará com que o servidor fique offline.

  • A alteração do modo Segurança de compatibilidade ou Segurança padrão para Segurança corporativa estrita não é compatível.

  • Se você atualizar do Segurança de compatibilidade para o modo Segurança padrão, será advertido se certificados importados ou chaves públicas SSH não forem compatíveis, mas você ainda poderá fazer a atualização para o modo Segurança padrão.

  • Se você fizer downgrade do modo Segurança corporativa estrita para Segurança de compatibilidade ou Segurança padrão:

    • O servidor é reiniciado automaticamente para que o modo de segurança entre em vigor.

    • Para servidores ThinkSystem V3 e V4: se a chave FoD do modo estrito estiver ausente ou expirada no XCC e se o XCC usar um certificado TLS autoassinado, o XCC gerará novamente o certificado TLS autoassinado com base no algoritmo compatível com Estrito padrão. O XClarity Administrator mostra uma falha de conexão devido a um erro de certificado. Para resolver o erro de certificado não confiável, consulte Resolvendo um certificado de servidor não confiável. Se o XCC usar um certificado TLS personalizado, o XCC permitirá o downgrade e avisará que você precisa importar um certificado do servidor baseado na criptografia do modo Segurança padrão.

É possível alterar as configurações de segurança dos dispositivos a seguir.
  • Servidores Lenovo ThinkSystem com processadores Intel ou AMD (exceto SR635/SR655)
  • Servidores Lenovo ThinkSystem V2
  • Servidores Lenovo ThinkSystem V3 com processadores Intel ou AMD
  • Servidores Lenovo ThinkSystem V4
  • Servidores Lenovo ThinkEdge SE350 e SE450
  • Servidores Lenovo System x

Procedimento

Para alterar as configurações de segurança de servidores gerenciados específicos, conclua as etapas a seguir.

  1. No menu XClarity Administrator, clique em Hardware > Servidores. A página Servidores é exibida com uma exibição tabular de todos os servidores gerenciados.
  2. Selecione um ou mais servidores.
  3. Configure o modo de segurança.

    1. Clique em Todas as Ações > Segurança > Definir modo de segurança para exibir a caixa de diálogo Definir modo de segurança do sistema.

      A caixa de diálogo lista o número de servidores que podem ser definidos em cada modo. Passe o cursor sobre cada número para exibir uma caixa popup com uma lista de nomes de servidor aplicáveis.

    2. Selecione o modo de segurança. Este pode ser um dos valores a seguir.

      • Segurança de compatibilidade. Selecione esse modo quando serviços e clientes requerem criptografia que não seja compatível com CNSA/FIPS. Este modo é compatível com uma ampla gama de algoritmos criptográficos e permite que todos os serviços sejam habilitados.

      • NIST SP 800-131A. Selecione esse modo para garantir a conformidade com o padrão NIST SP 800-131A. Isso inclui a restrição de chaves RSA a 2048 bits ou mais, a restrição de hashes usados para assinaturas digitais para SHA-256 ou mais e a garantia de que somente os algoritmos de criptografia simétricos aprovados pelo NIST sejam usados. Este modo requer a configuração do modo SSL/TLS como TLS 1.2 Server Client.

        Este modo tem suporte para servidores ThinkSystem V1 e V2.

      • Segurança padrão. Este é o modo de segurança padrão para servidores ThinkSystem V3 e V4. Selecione esse modo para garantir a conformidade com o padrão FIPS 140-3. Para que o XCC opere no modo validado FIPS 140-3, apenas serviços compatíveis com a criptografia de nível FIPS 140-3 podem ser habilitados. Os serviços não compatíveis com a criptografia de nível FIPS 140-2/140-3 são desativados por padrão, mas podem ser habilitados se necessário. Se qualquer serviço que usa criptografia de nível 140-3 não FIPS estiver habilitado, o XCC não poderá operar no modo validado fips 140-3. Esse modo requer certificados em nível de FIPs.

      • Segurança corporativa estrita. Este é o modo mais seguro para servidores ThinkSystem V3 e V4. Selecione esse modo para garantir a conformidade com o padrão CNSA. Somente serviços compatíveis com a criptografia de nível CNSA são permitidos. Os serviços não seguros são desabilitados por padrão e não podem ser habilitados. Esse modo requer certificados em nível de CNSA.

        O XClarity Administrator usa assinaturas de certificado RSA 3072 bits/SHA-384 para servidores no modo Segurança corporativa estrita.

        Importante

        • A chave XCC Feature On Demand deve ser instalada em cada um dos Servidores ThinkSystem V3 e V4 (com XCC2 ou XCC3) selecionados para usar esse modo.

        • Nesse modo, se o XClarity Administrator usar certificado autoassinado, o XClarity Administrator deverá usar o certificado raiz RSA 3072 bits /SHA-384 e o certificado do servidor. Se o XClarity Administrator usar um certificado assinado externo, o XClarity Administrator deverá gerar uma CSR baseada em RSA 3072 bits/SHA-384 e entrar em contato com a CA externa para assinar um novo certificado de servidor baseado em RSA 3072 bits/SHA-384.

        • Quando o XClarity Administrator usar um certificado baseado em RSA 3072 bits/SHA-384, o XClarity Administrator poderá desconectar dispositivos que não sejam o chassi do Flex System (CMMS) e servidores, servidores ThinkSystem, servidores ThinkServer, servidores System x M4 e M5, comutadores Lenovo ThinkSystem Série DB, Lenovo RackSwitch, comutadores Flex System, comutadores Mellanox, dispositivos de armazenamento ThinkSystem DE/DM, armazenamento da biblioteca de fita IBM e servidores ThinkSystem SR635/SR655 em flash com firmware anterior a 22C. Para continuar gerenciando os dispositivos desconectados, configure outra instância do XClarity Administrator com um certificado baseado em 2048 bits/SHA-256.

      • Alta segurança. Este é o modo mais seguro para servidores ThinkSystem V1 e V2. Selecione esse modo para garantir a conformidade com os padrões NIST e PFS (Perfect Forward Secrecy).

        Este modo é suportado apenas para servidores ThinkSystem V1 e V2. A versão de firmware do XCC lançada durante o segundo trimestre de 2023 ou posterior é necessária.

    3. Clique em Aplicar.

  4. Configure a versão mínima do TLS.

    1. Clique em Todas as Ações > Segurança > Definir versão de TLS do sistema para exibir a caixa de diálogo Definir versão de TLS do sistema.

    2. Selecione a versão mínima do protocolo TLS a ser usada para conexões de cliente a outros servidores (como as conexões de cliente LDAP a um servidor LDAP). O valor é configurado em dispositivos selecionados compatíveis com essa configuração. É possível escolher a opção a seguir.

      • TLS1.2. Impõe os protocolos de criptografia TLS v1.2.
      • TLS1.3. Impõe os protocolos de criptografia TLS v1.3.
      Nota
      Os dispositivos System x e CMM são compatíveis apenas com TLS v1.2.

    3. Clique em Aplicar.