Modalità di sicurezza

Questo argomento è una panoramica della modalità di sicurezza.

La licenza XCC Standard consente agli utenti di configurare i server in una delle due modalità di sicurezza: modalità standard e modalità di compatibilità. Queste opzioni sono disponibili in tutti i server V3.

La licenza di aggiornamento Lenovo XClarity Controller 2 Platinum viene fornita con una terza modalità di sicurezza: modalità rigorosa aziendale. Questa modalità è più idonea per requisiti di sicurezza di alto livello.

Nota

Per impostazione predefinita, XCC utilizza un certificato autofirmato ECDSA e sono disponibili solo algoritmi basati su ECDSA. Per utilizzare il certificato basato su RSA, generare una CSR e firmarla con una CA interna o esterna, quindi importare il certificato firmato in XCC.

Modalità di sicurezza rigorosa aziendale

La modalità di sicurezza rigorosa aziendale è la modalità più sicura.
BMC opera in modalità di convalida FIPS 140-3.
Richiede certificati di livello rigoroso aziendale.
Sono consentiti solo i servizi che supportano la crittografia di livello rigoroso aziendale.
Richiede la licenza di aggiornamento Lenovo XClarity Controller 2 Platinum per l'abilitazione.
Sono disponibili per l'uso algoritmi di crittografia CNSA.

Modalità di sicurezza standard

La modalità standard è la modalità di sicurezza predefinita.
Tutti gli algoritmi di crittografia utilizzati da BMC sono conformi a FIPS 140-3.
BMC opera in modalità di convalida FIPS 140-3.
Richiede certificati di livello standard.
I servizi che richiedono la crittografia e che non supportano la crittografia di livello standard sono disabilitati per impostazione predefinita.
Gli algoritmi CNSA sono disponibili quando è installata la licenza di aggiornamento Lenovo XClarity Controller 2 Platinum.

Modalità di compatibilità

La modalità di compatibilità è la modalità da utilizzare quando servizi e client richiedono crittografia non conforme alle modalità rigorosa aziendale/standard.
È supportata un'ampia gamma di algoritmi di crittografia.
Quando questa modalità è abilitata, BMC NON funziona in modalità di convalida FIPS 140-3.
Consente di abilitare tutti i servizi.
È supportata un'ampia gamma di suite di crittografia per la massima compatibilità.

Suite di crittografia TLS supportate

L'impostazione di crittografia TLS è quella di limitare le suite di crittografia TLS supportate rispetto ai servizi BMC.

Suite di crittografia TLS	Modalità di sicurezza	Versione TLS
TLS_AES_256_GCM_SHA384	Rigorosa aziendale Standard^* Compatibilità^*	TLS 1.3
TLS_CHACHA20_POLY1305_SHA256	Compatibilità	TLS 1.3
TLS_AES_128_GCM_SHA256	Standard Compatibilità	TLS 1.3
TLS_AES_128_CCM_8_SHA256	Standard Compatibilità	TLS 1.3
TLS_AES_128_CCM_SHA256	Standard Compatibilità	TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	Rigorosa aziendale Standard^* Compatibilità^*	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	Rigorosa aziendale Standard^* Compatibilità^*	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	Rigorosa aziendale Standard^* Compatibilità^*	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	Standard Compatibilità	TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305	Compatibilità	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	Standard Compatibilità	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	Standard Compatibilità	TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305	Compatibilità	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	Compatibilità	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	Compatibilità	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	Compatibilità	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	Compatibilità	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	Compatibilità	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	Compatibilità	TLS 1.2

Nota

Le modalità di sicurezza con un asterisco (*) elencate nella tabella richiedono la licenza di aggiornamento Lenovo XClarity Controller 2 Platinum.

Matrice di servizio in tre modalità di sicurezza

Funzione/Servizio	Utilizza la crittografia	Stato predefinito	Supportato in modalità rigorosa	Supportato in modalità standard	Supportato in modalità di compatibilità
IPMI-over-KCS	No	Abilitato	Sì	Sì	Sì
IPMI-over-LAN	Sì	Disabilitata	No	Sì	Sì
Trap SNMPv1	No	Non configurato	No	Sì	Sì
Trap SNMPv3	Sì	Non configurato	No	Sì Se abilitato, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS	Sì
Agent SNMPv3	Sì	Non configurato	No	Sì Se abilitato, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS	Sì
Avvisi e-mail	Sì	Non configurato	Sì NON può essere abilitato con autenticazione CRAM-MD5	Sì Se è richiesta l'autenticazione CRAM-MD5, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS.	Sì
Avvisi Syslog	No	Non configurato	No	Sì	Sì
TLS 1.2	Sì	Abilitato	Sì	Sì	Sì
TLS 1.3	Sì	Abilitato	Sì	Sì	Sì
Web-over-HTTPS	Sì	Abilitato	Sì	Sì	Sì
Redfish su HTTPS	Sì	Abilitato	Sì	Sì	Sì
SSDP	No	Abilitato	Sì	Sì	Sì
SSH-CLI	Sì	Abilitato	Sì	Sì	Sì
SFTP	Sì	Disabilitata	Sì	Sì	Sì
LDAP	No	Non configurato	No	Sì	Sì
LDAP sicuro	Sì	Non configurato	Sì	Sì	Sì
Gestione della chiave di sicurezza	Sì	Non configurato	Sì	Sì	Sì
Console remota	Sì	Abilitato	Sì	Sì	Sì
Supporti virtuali - CIFS	Sì	Non configurato	No	Sì	Sì
Supporti virtuali - NFS	No	Non configurato	No	Sì	Sì
Supporti virtuali - HTTPTF	Sì	Non configurato	Sì	Sì	Sì
RDOC - Locale	Sì	Non configurato	Sì	Sì	Sì
RDOC - CIFS	Sì	Non configurato	No	Sì	Sì
RDOC - HTTP	No	Non configurato	No	Sì	Sì
RDOC - HTTPS	Sì	Non configurato	Sì	Sì	Sì
RDOC - FTP	No	Non configurato	No	Sì	Sì
RDOC - SFTP	Sì	Non configurato	Sì	Sì	Sì
Caricamento FFDC (SFTP)	Sì	Abilitato	Sì	Sì	Sì
Caricamento FFDC (TFTP)	No	Abilitato	No	Sì	Sì
Aggiornamento da repository - CIFS	Sì	Non configurato	No	Sì	Sì
Aggiornamento da repository - NFS	No	Non configurato	No	Sì	Sì
Aggiornamento da repository - HTTP	No	Non configurato	No	Sì	Sì
Aggiornamento da repository - HTTPS	Sì	Non configurato	Sì	Sì	Sì
Call Home	Sì	Disabilitata	Sì	Sì	Sì
Password di terze parti	Sì	Non configurato	No	Sì	Sì
Inoltro porta	N/D	Disabilitata	Sì	Sì	Sì

Envoyer des commentaires