Modo de segurança

Este tópico é uma visão geral do modo de segurança.

A licença Padrão do XCC permite que os usuários configurem seus servidores em um dos dois Modos de segurança: Modo padrão e Modo de compatibilidade. Eles estão disponíveis em todos os servidores V3.

A licença de upgrade Platinum do Lenovo XClarity Controller 2 vem com um terceiro modo de segurança: Modo estrito corporativo. Esse modo é mais adequado para requisitos de segurança de alto nível.

Nota

Por padrão, o XCC usa um certificado autoassinado ECDSA e apenas algoritmos baseados em ECDSA estão disponíveis. Para usar o certificado baseado em RSA, gere uma CSR e assine-a com uma CA interna ou externa e, em seguida, importe o certificado assinado para o XCC.

Modo de segurança estrito corporativo

O Modo de segurança estrito corporativo é o modo mais seguro.
O BMC opera no modo validado FIPS 140-3.
Requer certificados de classificação estrita corporativa.
Somente serviços que suportam criptografia de nível estrito corporativo são permitidos.
Requer a licença de upgrade Platinum do Lenovo XClarity Controller 2 para ser ativado.
Algoritmos de criptografia CNSA estão disponíveis para uso.

Modo de segurança padrão

O modo padrão é o modo de segurança padrão.
Todos os algoritmos criptográficos usados pelo BMC são compatíveis com FIPS 140-3.
O BMC opera no modo validado FIPS 140-3.
Requer certificados de classificação padrão.
Os serviços que requerem criptografia que não suportam criptografia de nível padrão são desativados por padrão.
Os algoritmos CNSA estão disponíveis quando a licença de upgrade Platinum do Lenovo XClarity Controller 2 está instalada.

Modo de compatibilidade

O Modo de compatibilidade é o modo a ser usado quando os serviços e os clientes requerem criptografia que não seja compatível com o modo estrito corporativo/padrão.
Um intervalo maior de algoritmos criptográficos são suportados.
Quando esse modo estiver ativado, O BMC NÃO está operando no modo validado pelo FIPS 140-3.
Permite que todos os serviços sejam habilitados.
Dá suporte a uma ampla variedade de conjuntos de criptografia para máxima compatibilidade.

Conjuntos de criptografia TLS suportados

A Configuração de Criptografia TLS serve para restringir os conjuntos de criptografia TLS suportados em serviços do BMC.

Conjuntos de criptografia TLS	Modo de segurança	Versão do TLS
TLS_AES_256_GCM_SHA384	Estrito corporativo Padrão^* Compatibilidade^*	TLS 1.3
TLS_CHACHA20_POLY1305_SHA256	Compatibilidade	TLS 1.3
TLS_AES_128_GCM_SHA256	Padrão Compatibilidade	TLS 1.3
TLS_AES_128_CCM_8_SHA256	Padrão Compatibilidade	TLS 1.3
TLS_AES_128_CCM_SHA256	Padrão Compatibilidade	TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	Estrito corporativo Padrão^* Compatibilidade^*	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	Estrito corporativo Padrão^* Compatibilidade^*	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	Estrito corporativo Padrão^* Compatibilidade^*	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	Padrão Compatibilidade	TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305	Compatibilidade	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	Padrão Compatibilidade	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	Padrão Compatibilidade	TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305	Compatibilidade	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	Compatibilidade	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	Compatibilidade	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	Compatibilidade	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	Compatibilidade	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	Compatibilidade	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	Compatibilidade	TLS 1.2

Nota

Os modos de segurança com um asterisco (*) listados na tabela requerem a licença de upgrade Platinum do Lenovo XClarity Controller 2.

Matriz de serviço em três Modos de segurança

Recurso/serviço	Usa criptografia	Estado padrão fora da caixa	Suportado no Modo Estrito	Suportado no Modo Padrão	Suportado no Modo de Compatibilidade
IPMI sobre KCS	Não	Habilitado	Sim	Sim	Sim
IPMI sobre LAN	Sim	Desabilitado	Não	Sim	Sim
Traps SNMPv1	Não	Não configurado	Não	Sim	Sim
Traps SNMPv3	Sim	Não configurado	Não	Sim Se ativado, alertará para o uso de criptografia não FIPS	Sim
Agente do SNMPv3	Sim	Não configurado	Não	Sim Se ativado, alertará para o uso de criptografia não FIPS	Sim
Alertas de e-mail	Sim	Não configurado	Sim Não é possível ativar com Autenticação CRAM-MD5	Sim Se CRAM-MD5 for necessário, alertará para o uso de criptografia não FIPS.	Sim
Alertas do syslog	Não	Não configurado	Não	Sim	Sim
TLS 1.2	Sim	Habilitado	Sim	Sim	Sim
TLS 1.3	Sim	Habilitado	Sim	Sim	Sim
Web sobre HTTPS	Sim	Habilitado	Sim	Sim	Sim
Redfish sobre HTTPS	Sim	Habilitado	Sim	Sim	Sim
SSDP	Não	Habilitado	Sim	Sim	Sim
SSH-CLI	Sim	Habilitado	Sim	Sim	Sim
SFTP	Sim	Desabilitado	Sim	Sim	Sim
LDAP	Não	Não configurado	Não	Sim	Sim
LDAP seguro	Sim	Não configurado	Sim	Sim	Sim
Gerenciamento de chave de segurança	Sim	Não configurado	Sim	Sim	Sim
Console Remoto	Sim	Habilitado	Sim	Sim	Sim
Mídia virtual – CIFS	Sim	Não configurado	Não	Sim	Sim
Mídia virtual – NFS	Não	Não configurado	Não	Sim	Sim
Mídia virtual - HTTPFS	Sim	Não configurado	Sim	Sim	Sim
RDOC – Local	Sim	Não configurado	Sim	Sim	Sim
RDOC – CIFS	Sim	Não configurado	Não	Sim	Sim
RDOC – HTTP	Não	Não configurado	Não	Sim	Sim
RDOC – HTTPS	Sim	Não configurado	Sim	Sim	Sim
RDOC – FTP	Não	Não configurado	Não	Sim	Sim
RDOC – SFTP	Sim	Não configurado	Sim	Sim	Sim
Upload do FFDC (SFTP)	Sim	Habilitado	Sim	Sim	Sim
Upload do FFDC (TFTP)	Não	Habilitado	Não	Sim	Sim
Atualização do repositório – CIFS	Sim	Não configurado	Não	Sim	Sim
Atualização do repositório – NFS	Não	Não configurado	Não	Sim	Sim
Atualização do repositório – HTTP	Não	Não configurado	Não	Sim	Sim
Atualização do repositório – HTTPS	Sim	Não configurado	Sim	Sim	Sim
Call home	Sim	Desabilitado	Sim	Sim	Sim
Senha de terceiros	Sim	Não configurado	Não	Sim	Sim
Encaminhamento de porta	N/D	Desabilitado	Sim	Sim	Sim

Enviar feedback