Настройка параметров безопасности для управляемого сервера

Для управляемых серверов можно настроить параметры версии и шифра SSL/TLS.

Об этой задаче

Необходимо иметь в виду следующие последствия изменения криптографического режима.

Для XClarity Administrator v4.2 и более ранних версий:
- Чтобы использовать управляемую аутентификацию для управления сервером ThinkSystem или ThinkAgile, если для версии TLS в XCC задано значение v1.3, для параметра Минимальная версия TLS сервера в XClarity Administrator также необходимо установить значение TLS v1.3 (см. документацию по Настройка параметров криптографии на сервере управления).
Для XClarity Administrator v4.0 и более ранних версий:
- Невозможно использовать управляемую аутентификацию для управления сервером ThinkSystem или ThinkAgile, если режим безопасности XCC имеет значение TLS v1.3.
- В случае сервера ThinkSystem или ThinkAgile, управление которым осуществляется с помощью управляемой аутентификации, изменение режима безопасности XCC на TLS v1.3 с помощью XClarity Administrator или XCC приведет к переходу сервера в автономный режим.
Переход из режима Безопасность с совместимостью или Стандартная безопасность в режим Режим безопасности «Корпоративный строгий» не поддерживается.
Если при переходе из режима Безопасность с совместимостью в режим Стандартная безопасность (повышение режима безопасности) выясняется, что импортированные сертификаты или открытые ключи SSH не соответствуют требованиям, отображается соответствующее предупреждение, однако переход в режим Стандартная безопасность все равно возможен.
При переходе из режима Режим безопасности «Корпоративный строгий» в режим Безопасность с совместимостью или Стандартная безопасность (понижение режима безопасности):
- Сервер автоматически перезапускается, чтобы режим безопасности вступил в силу.
- Для серверов ThinkSystem V3 и V4: Если в XCC истек срок действия ключа FoD строгого режима или этот ключ отсутствует и если XCC использует самозаверяющий сертификат TLS, XCC повторно создает самозаверяющий сертификат TLS на основе алгоритма, соответствующего режиму «Стандартный строгий». XClarity Administrator сообщает о сбое подключения из-за ошибки сертификата. Сведения об устранении ошибки недоверенного сертификата см. в разделе Разрешение ненадежного сертификата сервера. Если в XCC используется пользовательский сертификат TLS, XCC допускает понижение режима и предупреждает о необходимости импортировать сертификат сервера, основанный на криптографии режима Стандартная безопасность.

Параметры безопасности можно изменить для указанных ниже устройств.

Серверы Lenovo ThinkSystem с процессорами Intel или AMD (кроме SR635/SR655)
Серверы Lenovo ThinkSystem версии 2
Серверы Lenovo ThinkSystem версии 3 с процессорами Intel или AMD
Серверы Lenovo ThinkSystem V4
Серверы Lenovo ThinkEdge SE350 и SE450
Серверы Lenovo System x

Процедура

Чтобы изменить параметры безопасности для конкретных управляемых серверов, выполните указанные ниже действия.

В меню XClarity Administrator нажмите Оборудование > Серверы. Откроется страница Серверы с табличным представлением всех управляемых серверов.
Выберите один или несколько серверов.
Настройте режим безопасности.
1. Нажмите Все действия > Безопасность > Задать режим безопасности системы. В результате отобразится диалоговое окно Задать режим безопасности системы.
  В диалоговом окне будет указано, какое количество серверов может быть настроено для каждого режима. Если навести курсор на число, всплывет окно со списком применимых имен серверов.
2. Выберите режим безопасности. Может иметь одно из следующих значений.
  - Безопасность с совместимостью. Выберите этот режим, если необходимая для служб и клиентов криптография не должна соответствовать требованиям стандартов CNSA/FIPS. В этом режиме поддерживается широкий спектр алгоритмов криптографии и могут быть включены все службы.
  - NIST SP 800-131A. Выберите этот режим для обеспечения соответствия стандарту NIST SP 800-131A. Это подразумевает использование ключей RSA с разрядностью не менее 2048 бит, использование для цифровых подписей хэшей SHA-256 или большей длины и гарантированное использование только алгоритмов симметричного шифрования, одобренных NIST. В этом режиме в качестве режима SSL/TLS должен быть выбран режим Сервер-клиент TLS 1.2.
    Этот режим поддерживается для серверов ThinkSystem V1 и V2.
  - Стандартная безопасность Это режим безопасности по умолчанию для серверов ThinkSystem V3 и V4. Выберите этот режим, если нужно обеспечить соответствие стандарту FIPS 140-3. Для работы XCC в режиме подтвержденного соответствия FIPS 140-3 можно включить только службы, которые поддерживают криптографию уровня FIPS 140–3. Службы, не поддерживающее криптографию на уровне FIPS 140-2/140-3, по умолчанию отключены, но при необходимости могут быть включены. В случае включения какой-либо службы, использующей криптографию, которая не соответствует уровню FIPS 140-3, XCC не может работать в режиме подтвержденного соответствия FIPS 140-3. Этот режим требует наличия сертификатов уровня FIPs.
  - Режим безопасности «Корпоративный строгий» Это самый безопасный режим для серверов ThinkSystem V3 и V4. Выберите этот режим, если требуется обеспечить соответствие стандарту CNSA. В этом режиме разрешены только службы, которые поддерживают криптографию уровня CNSA. Небезопасные службы по умолчанию отключены и не могут быть включены. Этот режим требует наличия сертификатов уровня CNSA.
    В режиме Режим безопасности «Корпоративный строгий» XClarity Administrator использует подписи сертификатов RSA 3072-bit/SHA-384.
    Важное замечание
    Для использования этого режима на каждом выбранном Серверы ThinkSystem V3 и V4 (с XCC2 или XCC3) должен быть установлен ключ Feature On Demand XCC.
    Если в этом режиме XClarity Administrator использует самозаверяющий сертификат, XClarity Administrator должен использовать корневой сертификат и сертификат сервера на основе RSA 3072-bit/SHA-384. Если XClarity Administrator использует внешний подписанный сертификат, XClarity Administrator должен создать запрос на подпись сертификата на основе SA 3072-bit/SHA-384 и связаться с внешним ЦС для подписания нового сертификата сервера на основе RSA 3072-bit/SHA-384.
    Если XClarity Administrator использует сертификат на основе RSA 3072-bit/SHA-384, XClarity Administrator может отключать устройства, если это не следующие устройства: рамы (CMMS) и серверы Flex System, серверы ThinkSystem, серверы ThinkServer, серверы System x M4 и M5, коммутаторы серии Lenovo ThinkSystem DB, Lenovo RackSwitch, коммутаторы Flex System, коммутаторы Mellanox, устройства хранения данных ThinkSystem DE/DM, хранилище на основе ленточной библиотеки IBM и серверы ThinkSystem SR635/SR655 с микропрограммой более ранней версии, чем 22C. Чтобы продолжить управление отключенными устройствами, установите еще один экземпляр XClarity Administrator с сертификатом на основе 2048-bit/SHA-256.
  - Режим высокой безопасности. Это самый безопасный режим для серверов ThinkSystem V1 и V2. Выберите этот режим, чтобы обеспечить соответствие стандартам NIST и PFS (Perfect Forward Secrecy).
    Этот режим поддерживается только для серверов ThinkSystem V1 и V2. Требуется версия микропрограммы XCC, выпущенная во втором квартале 2023 г. или позже.
3. Нажмите Применить.
Задайте минимальную версию TLS.
1. Нажмите Все действия > Безопасность > Задать версию TLS системы. В результате откроется диалоговое окно Задать версию TLS системы.
2. Выберите минимальную версию протокола TLS, которая должна использоваться для клиентских подключений к другим серверам (например, для подключения клиента LDAP к серверу LDAP). Это значение будет настроено на выбранных устройствах, которые поддерживают данный параметр. Можно выбрать один из указанных ниже вариантов.
  - TLS1.2. Активирует использование протоколов шифрования TLS версии 1.2.
  - TLS1.3. Активирует использование протоколов шифрования TLS версии 1.3.
  Прим.
  Устройства System x и CMM поддерживают только TLS версии 1.2.
3. Нажмите Применить.

Предоставить обратную связь