보안 모드
이 주제에서는 보안 모드의 개요를 다룹니다.
XCC 표준 라이선스를 사용하면 사용자는 표준 모드와 호환성 모드의 두 가지 보안 모드 중 하나로 서버를 구성할 수 있습니다. 모든 V3 서버에서 사용할 수 있습니다.
Lenovo XClarity Controller 2 플래티넘 업그레이드 라이센스는 세 번째 보안 모드인 엔터프라이즈급 강력한 모드가 함께 제공됩니다. 이 모드는 높은 수준의 보안 요건이 필요할 때 가장 적합합니다.
엔터프라이즈급 강력한 보안 모드는 가장 안전한 모드입니다.
BMC는 FIPS 140-3 검증 모드에서 작동합니다.
엔터프라이즈급 강력한 등급 인증서가 필요합니다.
엔터프라이즈급 강력한 수준 암호화를 지원하는 서비스만 허용됩니다.
활성화하려면 Lenovo XClarity Controller 2 플래티넘 업그레이드 라이센스가 필요합니다.
CNSA 암호화 알고리즘을 사용할 수 있습니다.
표준 모드는 기본 보안 모드입니다.
BMC에서 사용하는 모든 암호화 알고리즘은 FIPS 140-3를 준수합니다.
BMC는 FIPS 140-3 검증 모드에서 작동합니다.
표준 등급 인증서가 필요합니다.
표준 수준 암호화를 지원하지 않는 암호화가 필요한 서비스는 기본적으로 비활성화되어 있습니다.
CNSA 알고리즘은 Lenovo XClarity Controller 2 플래티넘 업그레이드 라이센스가 설치된 경우 사용할 수 있습니다.
호환성 모드는 서비스와 클라이언트가 엔터프라이즈급 강력한 수준/표준을 준수하지 않는 암호화를 요구할 때 사용하는 모드입니다.
더 광범위한 암호화 알고리즘이 지원됩니다.
이 모드가 활성화되면 BMC는 FIPS 140-3 검증 모드에서 작동하지 않습니다.
모든 서비스를 활성화할 수 있습니다.
호환성을 최대화하기 위해 광범위한 암호 세트를 지원합니다.
지원되는 TLS 암호 세트
| TLS 암호 세트 | 보안 모드 | TLS 버전 |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
기능/서비스 | 암호화 사용 | 기본 상태 즉시 사용 가능 | 강력한 모드에서 지원됨 | 표준 모드에서 지원됨 | 호환 모드에서 지원됨 |
|---|---|---|---|---|---|
KCS를 통한 IPMI | 미지원 | 사용 | 지원 | 지원 | 지원 |
LAN을 통한 IPMI | 지원 | 사용 안 함 | 미지원 | 지원 | 지원 |
SNMPv1 TRAP | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
SNMPv3 트랩 | 지원 | 구성 안 됨 | 미지원 | 지원 활성화된 경우 비 FIPS 암호화 사용에 대해 경고합니다. | 지원 |
SNMPv3 에이전트 | 지원 | 구성 안 됨 | 미지원 | 지원 활성화된 경우 비 FIPS 암호화 사용에 대해 경고합니다. | 지원 |
이메일 알림 | 지원 | 구성 안 됨 | 지원 CRAM-MD5 인증으로 활성화할 수 없음 | 지원 CRAM-MD5가 필요한 경우 비 FIPS 암호화 사용에 대해 경고합니다. | 지원 |
시스템 로그 경고 | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
TLS 1.2 | 지원 | 사용 | 지원 | 지원 | 지원 |
TLS 1.3 | 지원 | 사용 | 지원 | 지원 | 지원 |
HTTPS를 통한 웹 | 지원 | 사용 | 지원 | 지원 | 지원 |
HTTPS를 통한 Redfish | 지원 | 사용 | 지원 | 지원 | 지원 |
SSDP | 미지원 | 사용 | 지원 | 지원 | 지원 |
SSH-CLI | 지원 | 사용 | 지원 | 지원 | 지원 |
SFTP | 지원 | 사용 안 함 | 지원 | 지원 | 지원 |
LDAP | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
보안 LDAP | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
보안 키 관리 | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
원격 콘솔 | 지원 | 사용 | 지원 | 지원 | 지원 |
가상 미디어 - CIFS | 지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
가상 미디어 - NFS | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
가상 미디어 - HTTPFS | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
RDOC - 로컬 | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
RDOC - CIFS | 지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
RDOC - HTTP | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
RDOC - HTTPS | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
RDOC - FTP | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
RDOC - SFTP | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
FFDC 업로드(SFTP) | 지원 | 사용 | 지원 | 지원 | 지원 |
FFDC 업로드(TFTP) | 미지원 | 사용 | 미지원 | 지원 | 지원 |
리포지토리에서 업데이트 - CIFS | 지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
리포지토리에서 업데이트 - NFS | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
리포지토리에서 업데이트 - HTTP | 미지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
리포지토리에서 업데이트 - HTTPS | 지원 | 구성 안 됨 | 지원 | 지원 | 지원 |
콜 홈 | 지원 | 사용 안 함 | 지원 | 지원 | 지원 |
서드파티 암호 | 지원 | 구성 안 됨 | 미지원 | 지원 | 지원 |
포트 전달 | 해당사항 없음 | 사용 안 함 | 지원 | 지원 | 지원 |