Mode de sécurité
Cette rubrique fournit une présentation du mode de sécurité.
La licence XCC standard permet aux utilisateurs de configurer leurs serveurs selon l’un des deux modes de sécurité : le mode standard et le mode compatibilité. Ces derniers sont disponibles pour tous les serveurs V3.
La licence de mise à niveau Platinum Lenovo XClarity Controller 2 est livrée avec un troisième mode de sécurité : le mode Enterprise Strict. Ce mode convient plus particulièrement aux exigences de sécurité de haut niveau.
Le mode de sécurité Enterprise Strict est le mode le plus sécurisé.
BMC fonctionne en mode validé FIPS 140-3.
Nécessite des certificats de niveau Enterprise Strict.
Seuls les services qui prennent en charge le chiffrement de niveau Enterprise Strict sont autorisés.
Nécessite la licence de mise à niveau Platinum Lenovo XClarity Controller 2 pour l’activer.
Des algorithmes de cryptographie CNSA peuvent être utilisés.
Le mode standard est le mode de sécurité par défaut.
Tous les algorithmes de cryptographie utilisés par BMC sont compatibles avec FIPS 140-3.
BMC fonctionne en mode validé FIPS 140-3.
Nécessite des certificats de niveau standard.
Les services nécessitant un chiffrement ne prennent pas en charge le chiffrement de niveau Enterprise Strict, lequel est désactivé par défaut.
Les algorithmes CNSA sont disponibles lorsque la licence de mise à niveau Platinum Lenovo XClarity Controller 2 est installée.
Le mode compatibilité est le mode à utiliser lorsque les services et les clients nécessitent un chiffrement non compatible avec Enterprise Strict/standard.
Une plus grande gamme d’algorithmes de cryptographie est prise en charge.
Lorsque ce mode est activé, le BCM ne fonctionne PAS en mode validé FIPS 140-3.
Permet d’activer tous les services.
Prend en charge un grand nombre de chiffrements pour une compatibilité maximale.
Algorithmes de cryptographie TLS pris en charge
| Algorithmes de cryptographie TLS | Mode de sécurité | Version TLS |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Fonctionnalité/service | Utilise le chiffrement | État par défaut préconfiguration | Pris en charge en mode strict | Pris en charge en mode standard | Pris en charge en mode compatibilité |
|---|---|---|---|---|---|
IPMI sur KCS | Non | Activée | Oui | Oui | Oui |
IPMI sur LAN | Oui | Désactivé | Non | Oui | Oui |
Interruptions SNMPv1 | Non | Non configurées | Non | Oui | Oui |
Interruptions SNMPv3 | Oui | Non configurées | Non | Oui Si activées, elles permettent d’avertir l’utilisation d’un chiffrement non-FIPS | Oui |
Agent SNMPv3 | Oui | Non configurées | Non | Oui Si activées, elles permettent d’avertir l’utilisation d’un chiffrement non-FIPS | Oui |
Alertes e-mail | Oui | Non configurées | Oui Ne peuvent PAS être activées avec l’authentification CRAM-MD5 | Oui Si CRAM-MD5 est requis, elles permettent d’avertir l’utilisation d’un chiffrement non-FIPS. | Oui |
Alertes Syslog | Non | Non configurées | Non | Oui | Oui |
TLS 1.2 | Oui | Activée | Oui | Oui | Oui |
TLS 1.3 | Oui | Activée | Oui | Oui | Oui |
Web via HTTPS | Oui | Activée | Oui | Oui | Oui |
Redfish sur HTTPS | Oui | Activée | Oui | Oui | Oui |
SSDP | Non | Activée | Oui | Oui | Oui |
SSH-CLI | Oui | Activée | Oui | Oui | Oui |
SFTP | Oui | Désactivé | Oui | Oui | Oui |
LDAP | Non | Non configuré | Non | Oui | Oui |
LDAP sécurisé | Oui | Non configuré | Oui | Oui | Oui |
Gestion de la clé de sécurité | Oui | Non configurées | Oui | Oui | Oui |
Console distante | Oui | Activée | Oui | Oui | Oui |
Support virtuel - CIFS | Oui | Non configuré | Non | Oui | Oui |
Support virtuel - NFS | Non | Non configuré | Non | Oui | Oui |
Support virtuel - HTTPFS | Oui | Non configuré | Oui | Oui | Oui |
RDOC - Local | Oui | Non configurées | Oui | Oui | Oui |
RDOC - CIFS | Oui | Non configurées | Non | Oui | Oui |
RDOC - HTTP | Non | Non configurées | Non | Oui | Oui |
RDOC - HTTPS | Oui | Non configurées | Oui | Oui | Oui |
RDOC - FTP | Non | Non configurées | Non | Oui | Oui |
RDOC - SFTP | Oui | Non configurées | Oui | Oui | Oui |
Chargement FFDC (SFTP) | Oui | Activée | Oui | Oui | Oui |
Chargement FFDC (TFTP) | Non | Activée | Non | Oui | Oui |
Mise à jour à partir du référentiel - CIFS | Oui | Non configuré | Non | Oui | Oui |
Mise à jour à partir du référentiel - NFS | Non | Non configuré | Non | Oui | Oui |
Mise à jour à partir du référentiel - HTTP | Non | Non configuré | Non | Oui | Oui |
Mise à jour à partir du référentiel - HTTPS | Oui | Non configuré | Oui | Oui | Oui |
Appel vers Lenovo | Oui | Désactivé | Oui | Oui | Oui |
Mot de passe tiers | Oui | Non configuré | Non | Oui | Oui |
Réacheminement de port | N/A | Désactivé | Oui | Oui | Oui |