Криптографическое управление
Криптографическое управление состоит из режимов обмена данным и протоколов, которые управляют безопасным обменом данными между Lenovo XClarity Administrator и управляемыми устройствами (такими как рамы, серверы и коммутаторы Flex).
Алгоритмы криптографии
XClarity Administrator поддерживает TLS 1.2 и более надежные криптографические алгоритмы для защищенных сетевых подключений.
SSH-ED25519
SSH-ED25519-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP256
ECDSA-SHA2-NISTP256-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP384
ECDSA-SHA2-NISTP384-CERT-V01@OPENSSH.COM
ECDSA-SHA2-NISTP521
ECDSA-SHA2-NISTP521-CERT-V01@OPENSSH.COM
RSA-SHA2-512
RSA-SHA2-256
RSA-SHA2-384
Криптографические режимы для сервера управления
- Совместимость. Это режим по умолчанию. Он совместим со старыми версиями микропрограмм, браузерами и другими сетевыми клиентами, в которых не реализованы строгие стандарты безопасности, необходимые для обеспечения соответствия NIST SP 800-131A.
NIST SP 800-131A. Этот режим соответствует стандарту NIST SP 800-131A. XClarity Administrator разработан так, чтобы всегда использовать стойкую криптографию внутри системы и, если это возможно, защищенные стойкой криптографией сетевые подключения. Однако в этом режиме не допускаются сетевые подключения, использующие криптографию, не одобренную NIST SP 800-131A, включая отклонение сертификатов TLS, подписанных SHA-1 или более слабым хэшем.
Если выбран этот режим:Для всех портов, кроме порта 8443, все шифры TLS CBC и все шифры, не поддерживающие полную безопасность пересылки (Perfect Forward Secrecy), отключены.
Push-уведомления о событиях могут не проходить успешно на некоторые подписки мобильных устройств (см. Перенаправление событий для мобильных устройств). Внешние сервисы, такие как Android и iOS, предоставляют сертификаты, подписанные SHA-1: алгоритмом, не соответствующим более строгим требованиям режима NIST SP 800-131А. В результате любые подключения к этим службам могут завершиться ошибкой, связанной с исключением сертификата или сбоем квитирования.
Дополнительные сведения о настройке режимов безопасности на сервере управления см. в разделе Настройка параметров криптографии на сервере управления.
Режимы безопасности для управляемых серверов
Безопасность с совместимостью. Выберите этот режим, если необходимая для служб и клиентов криптография не должна соответствовать требованиям стандартов CNSA/FIPS. В этом режиме поддерживается широкий спектр алгоритмов криптографии и могут быть включены все службы.
NIST SP 800-131A. Выберите этот режим для обеспечения соответствия стандарту NIST SP 800-131A. Это подразумевает использование ключей RSA с разрядностью не менее 2048 бит, использование для цифровых подписей хэшей SHA-256 или большей длины и гарантированное использование только алгоритмов симметричного шифрования, одобренных NIST. В этом режиме в качестве режима SSL/TLS должен быть выбран режим Сервер-клиент TLS 1.2.
Этот режим не поддерживается для серверов с XCC2.
Стандартная безопасность (только для серверов с XCC2). Это режим безопасности по умолчанию для серверы с XCC2. Выберите этот режим, если нужно обеспечить соответствие стандарту FIPS 140-3. Для работы XCC в режиме подтвержденного соответствия FIPS 140-3 можно включить только службы, которые поддерживают криптографию уровня FIPS 140–3. Службы, не поддерживающее криптографию на уровне FIPS 140-2/140-3, по умолчанию отключены, но при необходимости могут быть включены. В случае включения какой-либо службы, использующей криптографию, которая не соответствует уровню FIPS 140-3, XCC не может работать в режиме подтвержденного соответствия FIPS 140-3. Этот режим требует наличия сертификатов уровня FIPs.
Режим безопасности «Корпоративный строгий» (только для серверы с XCC2). Это наиболее безопасный режим. Выберите этот режим, если требуется обеспечить соответствие стандарту CNSA. В этом режиме разрешены только службы, которые поддерживают криптографию уровня CNSA. Небезопасные службы по умолчанию отключены и не могут быть включены. Этот режим требует наличия сертификатов уровня CNSA.
В режиме Режим безопасности «Корпоративный строгий» XClarity Administrator использует сертификат RSA-3072/SHA-384.
Важное замечаниеДля использования этого режима на каждом выбранном серверы с XCC2 должен быть установлен ключ Feature On Demand XCC2.
Если в этом режиме XClarity Administrator использует самозаверяющий сертификат, XClarity Administrator должен использовать корневой сертификат и сертификат сервера на основе RSA3072/SHA384. Если XClarity Administrator использует внешний подписанный сертификат, XClarity Administrator должен создать запрос на подпись сертификата на основе RSA3072/SHA384 и связаться с внешним ЦС для подписания нового сертификата сервера на основе RSA3072/SHA384.
Если XClarity Administrator использует сертификат на основе RSA3072/SHA384, XClarity Administrator может отключать устройства, если это не следующие устройства: рамы (CMMS) и серверы Flex System, серверы ThinkSystem, серверы ThinkServer, серверы System x M4 и M5, коммутаторы серии Lenovo ThinkSystem DB, Lenovo RackSwitch, коммутаторы Flex System, коммутаторы Mellanox, устройства хранения данных ThinkSystem DE/DM, хранилище на основе ленточной библиотеки IBM и серверы ThinkSystem SR635/SR655 с микропрограммой более ранней версии, чем 22C. Чтобы продолжить управление отключенными устройствами, установите еще один экземпляр XClarity Administrator с сертификатом на основе RSA2048/SHA384.
Переход из режима Безопасность с совместимостью или Стандартная безопасность в режим Режим безопасности «Корпоративный строгий» не поддерживается.
Если при переходе из режима Безопасность с совместимостью в режим Стандартная безопасность (повышение режима безопасности) выясняется, что импортированные сертификаты или открытые ключи SSH не соответствуют требованиям, отображается соответствующее предупреждение, однако переход в режим Стандартная безопасность все равно возможен.
При переходе из режима Режим безопасности «Корпоративный строгий» в режим Безопасность с совместимостью или Стандартная безопасность (понижение режима безопасности):
Сервер автоматически перезапускается, чтобы режим безопасности вступил в силу.
Если в XCC2 истек срок действия ключа FoD строгого режима или этот ключ отсутствует и если XCC2 использует самозаверяющий сертификат TLS, XCC2 повторно создает самозаверяющий сертификат TLS на основе алгоритма, соответствующего режиму «Стандартный-строгий». XClarity Administrator сообщает о сбое подключения из-за ошибки сертификата. Сведения об устранении ошибки недоверенного сертификата см. в разделе Разрешение ненадежного сертификата сервера. Если в XCC2 используется пользовательский сертификат TLS, XCC2 допускает понижение режима и предупреждает о необходимости импортировать сертификат сервера, основанный на криптографии режима Стандартная безопасность.
Режим NIST SP 800-131A не поддерживается для серверов с XCC2.
Если для XClarity Administrator установлен криптографический режим TLS версии 1.2 и если на управляемых серверах, использующих управляемую аутентификацию, установлен режим безопасности TLS версии 1.2, изменение режима безопасности сервера на TLS версии 1.3 с помощью XClarity Administrator или XCC приведет к тому, что сервер будет постоянно находиться в автономном режиме.
Если для XClarity Administrator установлен криптографический режим TLS версии 1.2, а вы пытаетесь управлять сервером с XCC, для которого установлен режим безопасности TLS версии 1.3, сервером невозможно управлять с использованием управляемой аутентификации.
Серверы Lenovo ThinkSystem с процессорами Intel или AMD (кроме SR635/SR655)
Серверы Lenovo ThinkSystem версии 2
Серверы Lenovo ThinkSystem версии 3 с процессорами Intel или AMD
Серверы Lenovo ThinkEdge SE350/SE450
Серверы Lenovo System x
Дополнительные сведения о настройке режимов безопасности на управляемом сервере см. в разделе Настройка параметров безопасности для управляемого сервера.