Saltar al contenido principal

Modo de seguridad

En este tema se proporciona una visión general del modo de seguridad.

La licencia Estándar de XCC permite a los usuarios configurar sus servidores en uno de los dos modos de seguridad: modo estándar y modo de compatibilidad. Estos están disponibles en todos los servidores V3.

La licencia de actualización Lenovo XClarity Controller 2 Platinum viene con un tercer modo de seguridad: el modo estricto empresarial. Este modo es el más adecuado para los requisitos de seguridad de alto nivel.

Nota
De forma predeterminada, XCC utiliza un certificado autofirmado de ECDSA y solo están disponibles los algoritmos basados en ECDSA. Para utilizar un certificado basado en RSA, genere una CSR y fírmela con una CA interna o externa. Luego, importe el certificado firmado a XCC.
Modo de seguridad estricto empresarial
  • El modo de seguridad estricto empresarial es el modo más seguro.

  • BMC funciona en el modo FIPS 140-3 validado.

  • Requiere certificados de grado estricto de empresa.

  • Solo se permiten los servicios que admiten criptografía de nivel estricto empresarial.

  • Requiere la licencia de actualización Lenovo XClarity Controller 2 Platinum para la habilitación.

  • Los algoritmos criptográficos de CNSA están disponibles para su uso.

Modo de seguridad estándar
  • El modo estándar es el modo de seguridad predeterminado.

  • Todos los algoritmos criptográficos utilizados por BMC cumplen con FIPS 140-3.

  • BMC funciona en el modo FIPS 140-3 validado.

  • Requiere certificados de grado estándar.

  • Los servicios que requieren criptografía que no admiten la criptografía de nivel estándar están deshabilitados de manera predeterminada.

  • Los algoritmos de CNSA estarán disponibles cuando se instale la licencia de actualización Lenovo XClarity Controller 2 Platinum.

Modo de compatibilidad
  • El Modo de compatibilidad es el modo que se debe utilizar cuando los servicios y los clientes requieren una criptografía que no sea compatible con el modo estricto empresarial/estándar.

  • Se admite un rango de algoritmos criptográficos.

  • Cuando este modo está habilitado, BMC NO está funcionando en el modo validado por FIPS 140-3.

  • Permite habilitar todos los servicios.

  • Admite una amplia gama de cifrados para mayor compatibilidad.

Suites de cifrado TLS admitidas

El valor de criptografía de TLS es restringir las suites de cifrado TLS admitidas contra los servicios de BMC.
Suites de cifrado TLSModo de seguridadVersión de TLS
TLS_AES_256_GCM_SHA384
  • Modo de seguridad estricto empresarial
  • Estándar*
  • Compatibilidad*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • Compatibilidad
TLS 1.3
TLS_AES_128_GCM_SHA256
  • Estándar
  • Compatibilidad
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • Estándar
  • Compatibilidad
TLS 1.3
TLS_AES_128_CCM_SHA256
  • Estándar
  • Compatibilidad
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • Modo de seguridad estricto empresarial
  • Estándar*
  • Compatibilidad*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • Modo de seguridad estricto empresarial
  • Estándar*
  • Compatibilidad*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • Modo de seguridad estricto empresarial
  • Estándar*
  • Compatibilidad*
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Estándar
  • Compatibilidad
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • Compatibilidad
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • Estándar
  • Compatibilidad
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • Estándar
  • Compatibilidad
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • Compatibilidad
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • Compatibilidad
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • Compatibilidad
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • Compatibilidad
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • Compatibilidad
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • Compatibilidad
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • Compatibilidad
TLS 1.2
Nota
Los modos de seguridad de la tabla que presentan un asterisco (*) requieren la licencia de actualización Lenovo XClarity Controller 2 Platinum.
Matriz de servicio en tres modos de seguridad

Característica/servicio

Utiliza criptografía

Estado predeterminado de fábrica

Se admite en modo estricto

Se admite en el modo estándar

Se admite en el modo de compatibilidad

IPMI sobre KCS

No

Habilitado

IPMI sobre LAN

Deshabilitado

No

Trampas SNMPv1

No

Sin configurar

No

Trampas SNMPv3

Sin configurar

No

Si está habilitado, alertará del uso de criptografía no FIPS

Agente de SNMPv3

Sin configurar

No

Si está habilitado, alertará del uso de criptografía no FIPS

Alertas por correo electrónico

Sin configurar

No se puede habilitar con la autenticación CRAM-MD5

Si CRAM-MD5 es necesario, alertará del uso de criptografía no FIPS.

Alertas de Syslog

No

Sin configurar

No

TLS 1.2

Habilitado

TLS 1.3

Habilitado

Web sobre HTTPS

Habilitado

Redfish sobre HTTPS

Habilitado

SSDP

No

Habilitado

SSH-CLI

Habilitado

SFTP

Deshabilitado

LDAP

No

Sin configurar

No

LDAP seguro

Sin configurar

Gestión de claves de seguridad

Sin configurar

Puerto remoto

Habilitado

Medio virtual - CIFS

Sin configurar

No

Medio virtual - NFS

No

Sin configurar

No

Medio virtual - HTTPFS

Sin configurar

RDOC - Local

Sin configurar

RDOC - CIFS

Sin configurar

No

RDOC - HTTP

No

Sin configurar

No

RDOC - HTTPS

Sin configurar

RDOC - FTP

No

Sin configurar

No

RDOC - SFTP

Sin configurar

Carga de FFDC (SFTP)

Habilitado

Carga de FFDC (TFTP)

No

Habilitado

No

Actualizar desde el repositorio – CIFS

Sin configurar

No

Actualizar desde el repositorio - NFS

No

Sin configurar

No

Actualizar desde el repositorio – HTTP

No

Sin configurar

No

Actualizar desde el repositorio – HTTPS

Sin configurar

Llamar a casa

Deshabilitado

Contraseña de terceros

Sin configurar

No

Reenvío de puerto

N/A

Deshabilitado