Modo de seguridad

En este tema se proporciona una visión general del modo de seguridad.

La licencia Estándar de XCC permite a los usuarios configurar sus servidores en uno de los dos modos de seguridad: modo estándar y modo de compatibilidad. Estos están disponibles en todos los servidores V3.

La licencia de actualización Lenovo XClarity Controller 2 Platinum viene con un tercer modo de seguridad: el modo estricto empresarial. Este modo es el más adecuado para los requisitos de seguridad de alto nivel.

Nota

De forma predeterminada, XCC utiliza un certificado autofirmado de ECDSA y solo están disponibles los algoritmos basados en ECDSA. Para utilizar un certificado basado en RSA, genere una CSR y fírmela con una CA interna o externa. Luego, importe el certificado firmado a XCC.

Modo de seguridad estricto empresarial

El modo de seguridad estricto empresarial es el modo más seguro.
BMC funciona en el modo FIPS 140-3 validado.
Requiere certificados de grado estricto de empresa.
Solo se permiten los servicios que admiten criptografía de nivel estricto empresarial.
Requiere la licencia de actualización Lenovo XClarity Controller 2 Platinum para la habilitación.
Los algoritmos criptográficos de CNSA están disponibles para su uso.

Modo de seguridad estándar

El modo estándar es el modo de seguridad predeterminado.
Todos los algoritmos criptográficos utilizados por BMC cumplen con FIPS 140-3.
BMC funciona en el modo FIPS 140-3 validado.
Requiere certificados de grado estándar.
Los servicios que requieren criptografía que no admiten la criptografía de nivel estándar están deshabilitados de manera predeterminada.
Los algoritmos de CNSA estarán disponibles cuando se instale la licencia de actualización Lenovo XClarity Controller 2 Platinum.

Modo de compatibilidad

El Modo de compatibilidad es el modo que se debe utilizar cuando los servicios y los clientes requieren una criptografía que no sea compatible con el modo estricto empresarial/estándar.
Se admite un rango de algoritmos criptográficos.
Cuando este modo está habilitado, BMC NO está funcionando en el modo validado por FIPS 140-3.
Permite habilitar todos los servicios.
Admite una amplia gama de cifrados para mayor compatibilidad.

Suites de cifrado TLS admitidas

El valor de criptografía de TLS es restringir las suites de cifrado TLS admitidas contra los servicios de BMC.

Suites de cifrado TLS	Modo de seguridad	Versión de TLS
TLS_AES_256_GCM_SHA384	Modo de seguridad estricto empresarial Estándar^* Compatibilidad^*	TLS 1.3
TLS_CHACHA20_POLY1305_SHA256	Compatibilidad	TLS 1.3
TLS_AES_128_GCM_SHA256	Estándar Compatibilidad	TLS 1.3
TLS_AES_128_CCM_8_SHA256	Estándar Compatibilidad	TLS 1.3
TLS_AES_128_CCM_SHA256	Estándar Compatibilidad	TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	Modo de seguridad estricto empresarial Estándar^* Compatibilidad^*	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	Modo de seguridad estricto empresarial Estándar^* Compatibilidad^*	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	Modo de seguridad estricto empresarial Estándar^* Compatibilidad^*	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	Estándar Compatibilidad	TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305	Compatibilidad	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	Estándar Compatibilidad	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	Estándar Compatibilidad	TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305	Compatibilidad	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	Compatibilidad	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	Compatibilidad	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	Compatibilidad	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	Compatibilidad	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	Compatibilidad	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	Compatibilidad	TLS 1.2

Nota

Los modos de seguridad de la tabla que presentan un asterisco (*) requieren la licencia de actualización Lenovo XClarity Controller 2 Platinum.

Matriz de servicio en tres modos de seguridad

Característica/servicio	Utiliza criptografía	Estado predeterminado de fábrica	Se admite en modo estricto	Se admite en el modo estándar	Se admite en el modo de compatibilidad
IPMI sobre KCS	No	Habilitado	Sí	Sí	Sí
IPMI sobre LAN	Sí	Deshabilitado	No	Sí	Sí
Trampas SNMPv1	No	Sin configurar	No	Sí	Sí
Trampas SNMPv3	Sí	Sin configurar	No	Sí Si está habilitado, alertará del uso de criptografía no FIPS	Sí
Agente de SNMPv3	Sí	Sin configurar	No	Sí Si está habilitado, alertará del uso de criptografía no FIPS	Sí
Alertas por correo electrónico	Sí	Sin configurar	Sí No se puede habilitar con la autenticación CRAM-MD5	Sí Si CRAM-MD5 es necesario, alertará del uso de criptografía no FIPS.	Sí
Alertas de Syslog	No	Sin configurar	No	Sí	Sí
TLS 1.2	Sí	Habilitado	Sí	Sí	Sí
TLS 1.3	Sí	Habilitado	Sí	Sí	Sí
Web sobre HTTPS	Sí	Habilitado	Sí	Sí	Sí
Redfish sobre HTTPS	Sí	Habilitado	Sí	Sí	Sí
SSDP	No	Habilitado	Sí	Sí	Sí
SSH-CLI	Sí	Habilitado	Sí	Sí	Sí
SFTP	Sí	Deshabilitado	Sí	Sí	Sí
LDAP	No	Sin configurar	No	Sí	Sí
LDAP seguro	Sí	Sin configurar	Sí	Sí	Sí
Gestión de claves de seguridad	Sí	Sin configurar	Sí	Sí	Sí
Puerto remoto	Sí	Habilitado	Sí	Sí	Sí
Medio virtual - CIFS	Sí	Sin configurar	No	Sí	Sí
Medio virtual - NFS	No	Sin configurar	No	Sí	Sí
Medio virtual - HTTPFS	Sí	Sin configurar	Sí	Sí	Sí
RDOC - Local	Sí	Sin configurar	Sí	Sí	Sí
RDOC - CIFS	Sí	Sin configurar	No	Sí	Sí
RDOC - HTTP	No	Sin configurar	No	Sí	Sí
RDOC - HTTPS	Sí	Sin configurar	Sí	Sí	Sí
RDOC - FTP	No	Sin configurar	No	Sí	Sí
RDOC - SFTP	Sí	Sin configurar	Sí	Sí	Sí
Carga de FFDC (SFTP)	Sí	Habilitado	Sí	Sí	Sí
Carga de FFDC (TFTP)	No	Habilitado	No	Sí	Sí
Actualizar desde el repositorio – CIFS	Sí	Sin configurar	No	Sí	Sí
Actualizar desde el repositorio - NFS	No	Sin configurar	No	Sí	Sí
Actualizar desde el repositorio – HTTP	No	Sin configurar	No	Sí	Sí
Actualizar desde el repositorio – HTTPS	Sí	Sin configurar	Sí	Sí	Sí
Llamar a casa	Sí	Deshabilitado	Sí	Sí	Sí
Contraseña de terceros	Sí	Sin configurar	No	Sí	Sí
Reenvío de puerto	N/A	Deshabilitado	Sí	Sí	Sí

Entregar comentarios