Режим безопасности
В этом разделе представлен обзор режима безопасности.
Лицензия Standard XCC позволяет настраивать серверы в одном из двух режимов безопасности — стандартном режиме и режиме совместимости. Эти режимы доступны на всех серверах V3.
Лицензия на обновление до Lenovo XClarity Controller 2 Platinum поставляется с третьим режимом безопасности — строгим корпоративным режимом. Этот режим лучше всего подходит для обеспечения безопасности высокого уровня.
Строгий режим корпоративной безопасности — это самый безопасный режим.
BMC работает в режиме проверки FIPS 140-3.
Требуются сертификаты строгого корпоративного уровня.
Разрешены только службы, поддерживающие шифрование строгого корпоративного уровня.
Для включения требуется лицензия на обновление до Lenovo XClarity Controller 2 Platinum.
Доступны для использования алгоритмы шифрования CNSA.
Стандартный режим — это режим безопасности по умолчанию.
Все алгоритмы шифрования, используемые BMC, соответствуют требованиям FIPS 140-3.
BMC работает в режиме проверки FIPS 140-3.
Требуются сертификаты стандартного уровня.
Службы, требующие шифрования, которые не поддерживают шифрование стандартного уровня, по умолчанию отключены.
Алгоритмы CNSA доступны, если установлена лицензия на обновление до Lenovo XClarity Controller 2 Platinum.
Режим совместимости следует использовать, когда службы и клиенты требуют шифрования, которое не соответствует строгому корпоративному/стандартному уровню.
Поддерживается более широкий диапазон алгоритмов шифрования.
Если этот режим включен, BMC НЕ работает в режиме проверки FIPS 140-3.
Позволяет включить все службы.
Поддерживает широкий диапазон шифров для максимальной совместимости.
Поддерживаемые наборы шифров TLS
Набор шифров TLS | Режим безопасности | Версия TLS |
---|---|---|
TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Функция/служба | Использование шифрования | Состояние по умолчанию (заводское) | Поддерживается в строгом режиме | Поддерживается в стандартном режиме | Поддерживается в режиме совместимости |
---|---|---|---|---|---|
IPMI через KCS | Нет | Включено | Да | Да | Да |
IPMI через локальную сеть | Да | Отключено | Нет | Да | Да |
Ловушки SNMPv1 | Нет | Не настроено | Нет | Да | Да |
Ловушки SNMPv3 | Да | Не настроено | Нет | Да Если включено, будут оповещения об использовании шифрования в режиме, отличном от FIPS | Да |
Агент SNMPv3 | Да | Не настроено | Нет | Да Если включено, будут оповещения об использовании шифрования в режиме, отличном от FIPS | Да |
Оповещения по электронной почте | Да | Не настроено | Да При использовании аутентификации CRAM-MD5 включить НЕВОЗМОЖНО | Да Если требуется применение CRAM-MD5, будут оповещения об использовании шифрования в режиме, отличном от FIPS. | Да |
Оповещения Syslog | Нет | Не настроено | Нет | Да | Да |
TLS 1.2 | Да | Включено | Да | Да | Да |
TLS 1.3 | Да | Включено | Да | Да | Да |
Сеть через HTTPS | Да | Включено | Да | Да | Да |
Redfish по протоколу HTTPS | Да | Включено | Да | Да | Да |
SSDP | Нет | Включено | Да | Да | Да |
SSH-CLI | Да | Включено | Да | Да | Да |
SFTP | Да | Отключено | Да | Да | Да |
LDAP | Нет | Не настроено | Нет | Да | Да |
Безопасный LDAP | Да | Не настроено | Да | Да | Да |
Управление ключами безопасности | Да | Не настроено | Да | Да | Да |
Удаленная консоль | Да | Включено | Да | Да | Да |
Виртуальные носители — CIFS | Да | Не настроено | Нет | Да | Да |
Виртуальные носители — NFS | Нет | Не настроено | Нет | Да | Да |
Виртуальные носители — HTTPFS | Да | Не настроено | Да | Да | Да |
RDOC — локальная среда | Да | Не настроено | Да | Да | Да |
RDOC — CIFS | Да | Не настроено | Нет | Да | Да |
RDOC — HTTP | Нет | Не настроено | Нет | Да | Да |
RDOC — HTTPS | Да | Не настроено | Да | Да | Да |
RDOC — FTP | Нет | Не настроено | Нет | Да | Да |
RDOC — SFTP | Да | Не настроено | Да | Да | Да |
Отправка FFDC (SFTP) | Да | Включено | Да | Да | Да |
Отправка FFDC (TFTP) | Нет | Включено | Нет | Да | Да |
Обновление из репозитория — CIFS | Да | Не настроено | Нет | Да | Да |
Обновление из репозитория — NFS | Нет | Не настроено | Нет | Да | Да |
Обновление из репозитория — HTTP | Нет | Не настроено | Нет | Да | Да |
Обновление из репозитория — HTTPS | Да | Не настроено | Да | Да | Да |
Call Home | Да | Отключено | Да | Да | Да |
Сторонний пароль | Да | Не настроено | Нет | Да | Да |
Перенаправление портов | Неприменимо | Отключено | Да | Да | Да |