Modo de seguridad
En este tema se proporciona una visión general del modo de seguridad.
La licencia Estándar de XCC permite a los usuarios configurar sus servidores en uno de los dos modos de seguridad: modo estándar y modo de compatibilidad. Estos están disponibles en todos los servidores V3.
La licencia de actualización Lenovo XClarity Controller 2 Platinum viene con un tercer modo de seguridad: el modo estricto empresarial. Este modo es el más adecuado para los requisitos de seguridad de alto nivel.
El modo de seguridad estricto empresarial es el modo más seguro.
BMC funciona en el modo FIPS 140-3 validado.
Requiere certificados de grado estricto de empresa.
Solo se permiten los servicios que admiten criptografía de nivel estricto empresarial.
Requiere la licencia de actualización Lenovo XClarity Controller 2 Platinum para la habilitación.
Los algoritmos criptográficos de CNSA están disponibles para su uso.
El modo estándar es el modo de seguridad predeterminado.
Todos los algoritmos criptográficos utilizados por BMC cumplen con FIPS 140-3.
BMC funciona en el modo FIPS 140-3 validado.
Requiere certificados de grado estándar.
Los servicios que requieren criptografía que no admiten la criptografía de nivel estándar están deshabilitados de manera predeterminada.
Los algoritmos de CNSA estarán disponibles cuando se instale la licencia de actualización Lenovo XClarity Controller 2 Platinum.
El Modo de compatibilidad es el modo que se debe utilizar cuando los servicios y los clientes requieren una criptografía que no sea compatible con el modo estricto empresarial/estándar.
Se admite un rango de algoritmos criptográficos.
Cuando este modo está habilitado, BMC NO está funcionando en el modo validado por FIPS 140-3.
Permite habilitar todos los servicios.
Admite una amplia gama de cifrados para mayor compatibilidad.
Suites de cifrado TLS admitidas
Suites de cifrado TLS | Modo de seguridad | Versión de TLS |
---|---|---|
TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Característica/servicio | Utiliza criptografía | Estado predeterminado de fábrica | Se admite en modo estricto | Se admite en el modo estándar | Se admite en el modo de compatibilidad |
---|---|---|---|---|---|
IPMI sobre KCS | No | Habilitado | Sí | Sí | Sí |
IPMI sobre LAN | Sí | Deshabilitado | No | Sí | Sí |
Trampas SNMPv1 | No | Sin configurar | No | Sí | Sí |
Trampas SNMPv3 | Sí | Sin configurar | No | Sí Si está habilitado, alertará del uso de criptografía no FIPS | Sí |
Agente de SNMPv3 | Sí | Sin configurar | No | Sí Si está habilitado, alertará del uso de criptografía no FIPS | Sí |
Alertas por correo electrónico | Sí | Sin configurar | Sí No se puede habilitar con la autenticación CRAM-MD5 | Sí Si CRAM-MD5 es necesario, alertará del uso de criptografía no FIPS. | Sí |
Alertas de Syslog | No | Sin configurar | No | Sí | Sí |
TLS 1.2 | Sí | Habilitado | Sí | Sí | Sí |
TLS 1.3 | Sí | Habilitado | Sí | Sí | Sí |
Web sobre HTTPS | Sí | Habilitado | Sí | Sí | Sí |
Redfish sobre HTTPS | Sí | Habilitado | Sí | Sí | Sí |
SSDP | No | Habilitado | Sí | Sí | Sí |
SSH-CLI | Sí | Habilitado | Sí | Sí | Sí |
SFTP | Sí | Deshabilitado | Sí | Sí | Sí |
LDAP | No | Sin configurar | No | Sí | Sí |
LDAP seguro | Sí | Sin configurar | Sí | Sí | Sí |
Gestión de claves de seguridad | Sí | Sin configurar | Sí | Sí | Sí |
Puerto remoto | Sí | Habilitado | Sí | Sí | Sí |
Medio virtual - CIFS | Sí | Sin configurar | No | Sí | Sí |
Medio virtual - NFS | No | Sin configurar | No | Sí | Sí |
Medio virtual - HTTPFS | Sí | Sin configurar | Sí | Sí | Sí |
RDOC - Local | Sí | Sin configurar | Sí | Sí | Sí |
RDOC - CIFS | Sí | Sin configurar | No | Sí | Sí |
RDOC - HTTP | No | Sin configurar | No | Sí | Sí |
RDOC - HTTPS | Sí | Sin configurar | Sí | Sí | Sí |
RDOC - FTP | No | Sin configurar | No | Sí | Sí |
RDOC - SFTP | Sí | Sin configurar | Sí | Sí | Sí |
Carga de FFDC (SFTP) | Sí | Habilitado | Sí | Sí | Sí |
Carga de FFDC (TFTP) | No | Habilitado | No | Sí | Sí |
Actualizar desde el repositorio – CIFS | Sí | Sin configurar | No | Sí | Sí |
Actualizar desde el repositorio - NFS | No | Sin configurar | No | Sí | Sí |
Actualizar desde el repositorio – HTTP | No | Sin configurar | No | Sí | Sí |
Actualizar desde el repositorio – HTTPS | Sí | Sin configurar | Sí | Sí | Sí |
Llamar a casa | Sí | Deshabilitado | Sí | Sí | Sí |
Contraseña de terceros | Sí | Sin configurar | No | Sí | Sí |
Reenvío de puerto | N/A | Deshabilitado | Sí | Sí | Sí |