メインコンテンツまでスキップ

セキュリティー・モード

このトピックは、セキュリティー・モードの概要です。

XCC 標準ライセンスを使用すると、ユーザーは 2 つのセキュリティー・モード (標準モードと互換性モード) でサーバーを構成することができます。これらはすべての V3 サーバーで使用できます。

Lenovo XClarity Controller 2 Platinum アップグレード・ライセンスでは、3 つ目のセキュリティー・モードであるエンタープライズ・ストリクト・モードを利用できます。このモードは、セキュリティー要件のレベルが高い場合に最も適しています。

デフォルトでは、XCC は ECDSA 自己署名証明書を使用し、ECDSA ベースのアルゴリズムのみ使用できます。RSA ベースの証明書を使用するには、CSR を生成し、内部または外部 CA で署名した後、署名された証明書を XCC にインポートします。
エンタープライズ・ストリクト・セキュリティー・モード
  • エンタープライズ・ストリクト・セキュリティー・モードが最もセキュアなモードです。

  • BMC は FIPS 140-3 で検証されたモードで動作します。

  • エンタープライズ・ストリクト・グレードの証明書が必要です。

  • エンタープライズ・ストリクト・レベルの暗号化をサポートするサービスのみ使用できます。

  • Lenovo XClarity Controller 2 Platinum アップグレード・ライセンスを有効にする必要があります。

  • CNSA 暗号化アルゴリズムを使用できます。

標準セキュリティー・モード
  • 標準モードはデフォルトのセキュリティー・モードです。

  • BMC によって使用されるすべての暗号化アルゴリズムは FIPS 140-3 に準拠しています。

  • BMC は FIPS 140-3 で検証されたモードで動作します。

  • 標準グレードの証明書が必要です。

  • 標準レベルの暗号化をサポートしない暗号化を必要とするサービスは、デフォルトでは無効になっています。

  • CNSA アルゴリズムは、Lenovo XClarity Controller 2 Platinum アップグレード・ライセンスがインストールされている場合に使用できます。

互換性モード
  • 互換性モードは、サービスおよびクライアントでエンタープライズ・ストリクト/標準準拠ではない暗号化が必要な場合に使用するモードです。

  • より広範な暗号化アルゴリズムがサポートされています。

  • このモードが有効になっている場合、BMC は FIPS 140-3 検証済みモードで動作しません。

  • すべてのサービスを有効にすることができます。

  • 互換性を最大化するために、広範な暗号スイートをサポートしています。

サポートされる TLS 暗号スイート

TLS 暗号化設定は、サポートされる TLS 暗号スイートを BMC サービスに対して制限するために使用されます。
TLS 暗号スイートセキュリティー・モードTLS バージョン
TLS_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • 互換性
TLS 1.3
TLS_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • 標準
  • 互換性
TLS 1.3
TLS_AES_128_CCM_SHA256
  • 標準
  • 互換性
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • 互換性
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • 互換性
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • 互換性
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • 互換性
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • 互換性
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • 互換性
TLS 1.2
表にリストされているアスタリスク (*) の付いたセキュリティー・モードでは、Lenovo XClarity Controller 2 Platinum アップグレード・ライセンスが必要です。
3 つのセキュリティー・モードのサービス・マトリックス

機能/サービス

暗号を使用

出荷時デフォルト状態

ストリクト・モードでサポートされる

標準モードでサポートされる

互換性モードでサポートされる

IPMI-over-KCS

いいえ

使用可能

はい

はい

はい

IPMI-over-LAN

はい

無効

いいえ

はい

はい

SNMPv1 トラップ

いいえ

構成なし

いいえ

はい

はい

SNMPv3 トラップ

はい

構成なし

いいえ

はい

有効な場合、FIPS 以外の暗号の使用が警告される

はい

SNMPv3 エージェント

はい

構成なし

いいえ

はい

有効な場合、FIPS 以外の暗号の使用が警告される

はい

メール・アラート

はい

構成なし

はい

CRAM-MD5 認証によって有効にすることはできない

はい

CRAM-MD5 が有効な場合、FIPS 以外の暗号の使用が警告される

はい

Syslog アラート

いいえ

構成なし

いいえ

はい

はい

TLS 1.2

はい

使用可能

はい

はい

はい

TLS 1.3

はい

使用可能

はい

はい

はい

Web over HTTPS

はい

使用可能

はい

はい

はい

Redfish over HTTPS

はい

使用可能

はい

はい

はい

SSDP

いいえ

使用可能

はい

はい

はい

SSH-CLI

はい

使用可能

はい

はい

はい

SFTP

はい

無効

はい

はい

はい

LDAP

いいえ

構成なし

いいえ

はい

はい

セキュア LDAP

はい

構成なし

はい

はい

はい

セキュリティー・キー管理

はい

構成なし

はい

はい

はい

リモート・コンソール

はい

使用可能

はい

はい

はい

仮想メディア - CIFS

はい

構成なし

いいえ

はい

はい

仮想メディア - NFS

いいえ

構成なし

いいえ

はい

はい

仮想メディア - HTTPFS

はい

構成なし

はい

はい

はい

RDOC - ローカル

はい

構成なし

はい

はい

はい

RDOC - CIFS

はい

構成なし

いいえ

はい

はい

RDOC - HTTP

いいえ

構成なし

いいえ

はい

はい

RDOC - HTTPS

はい

構成なし

はい

はい

はい

RDOC - FTP

いいえ

構成なし

いいえ

はい

はい

RDOC - SFTP

はい

構成なし

はい

はい

はい

FFDC アップロード (SFTP)

はい

使用可能

はい

はい

はい

FFDC アップロード (TFTP)

いいえ

使用可能

いいえ

はい

はい

リポジトリーからの更新 - CIFS

はい

構成なし

いいえ

はい

はい

リポジトリーからの更新 - NFS

いいえ

構成なし

いいえ

はい

はい

リポジトリーからの更新 - HTTP

いいえ

構成なし

いいえ

はい

はい

リポジトリーからの更新 - HTTPS

はい

構成なし

はい

はい

はい

コール・ホーム

はい

無効

はい

はい

はい

サード・パーティー・パスワード

はい

構成なし

いいえ

はい

はい

ポート転送

該当なし

無効

はい

はい

はい