Режим безопасности

В этом разделе представлен обзор режима безопасности.

Лицензия Standard XCC позволяет настраивать серверы в одном из двух режимов безопасности — стандартном режиме и режиме совместимости. Эти режимы доступны на всех серверах V3.

Лицензия на обновление до Lenovo XClarity Controller 2 Platinum поставляется с третьим режимом безопасности — строгим корпоративным режимом. Этот режим лучше всего подходит для обеспечения безопасности высокого уровня.

Прим.

По умолчанию XCC использует самозаверяющий сертификат ECDSA и доступны только алгоритмы на базе ECDSA. Для использования сертификата на базе RSA создайте CSR и подпишите его с использованием внутреннего или внешнего ЦС, а затем импортируйте подписанный сертификат в XCC.

Строгий режим корпоративной безопасности

Строгий режим корпоративной безопасности — это самый безопасный режим.
BMC работает в режиме проверки FIPS 140-3.
Требуются сертификаты строгого корпоративного уровня.
Разрешены только службы, поддерживающие шифрование строгого корпоративного уровня.
Для включения требуется лицензия на обновление до Lenovo XClarity Controller 2 Platinum.
Доступны для использования алгоритмы шифрования CNSA.

Стандартный режим безопасности

Стандартный режим — это режим безопасности по умолчанию.
Все алгоритмы шифрования, используемые BMC, соответствуют требованиям FIPS 140-3.
BMC работает в режиме проверки FIPS 140-3.
Требуются сертификаты стандартного уровня.
Службы, требующие шифрования, которые не поддерживают шифрование стандартного уровня, по умолчанию отключены.
Алгоритмы CNSA доступны, если установлена лицензия на обновление до Lenovo XClarity Controller 2 Platinum.

Режим совместимости

Режим совместимости следует использовать, когда службы и клиенты требуют шифрования, которое не соответствует строгому корпоративному/стандартному уровню.
Поддерживается более широкий диапазон алгоритмов шифрования.
Если этот режим включен, BMC НЕ работает в режиме проверки FIPS 140-3.
Позволяет включить все службы.
Поддерживает широкий диапазон шифров для максимальной совместимости.

Поддерживаемые наборы шифров TLS

Настройка шифрования TLS призвана ограничить поддерживаемые наборы шифров TLS для служб BMC.

Набор шифров TLS	Режим безопасности	Версия TLS
TLS_AES_256_GCM_SHA384	Строгий корпоративный Стандартный^* Совместимость^*	TLS 1.3
TLS_CHACHA20_POLY1305_SHA256	Совместимость	TLS 1.3
TLS_AES_128_GCM_SHA256	Стандартный Совместимость	TLS 1.3
TLS_AES_128_CCM_8_SHA256	Стандартный Совместимость	TLS 1.3
TLS_AES_128_CCM_SHA256	Стандартный Совместимость	TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	Строгий корпоративный Стандартный^* Совместимость^*	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	Строгий корпоративный Стандартный^* Совместимость^*	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	Строгий корпоративный Стандартный^* Совместимость^*	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	Стандартный Совместимость	TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305	Совместимость	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	Стандартный Совместимость	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	Стандартный Совместимость	TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305	Совместимость	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	Совместимость	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	Совместимость	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	Совместимость	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	Совместимость	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	Совместимость	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	Совместимость	TLS 1.2

Прим.

Для режимов безопасности, которые указаны в таблице со звездочкой (*), требуется лицензия на обновление до Lenovo XClarity Controller 2 Platinum.

Таблица служб в трех режимах безопасности

Функция/служба	Использование шифрования	Состояние по умолчанию (заводское)	Поддерживается в строгом режиме	Поддерживается в стандартном режиме	Поддерживается в режиме совместимости
IPMI через KCS	Нет	Включено	Да	Да	Да
IPMI через локальную сеть	Да	Отключено	Нет	Да	Да
Ловушки SNMPv1	Нет	Не настроено	Нет	Да	Да
Ловушки SNMPv3	Да	Не настроено	Нет	Да Если включено, будут оповещения об использовании шифрования в режиме, отличном от FIPS	Да
Агент SNMPv3	Да	Не настроено	Нет	Да Если включено, будут оповещения об использовании шифрования в режиме, отличном от FIPS	Да
Оповещения по электронной почте	Да	Не настроено	Да При использовании аутентификации CRAM-MD5 включить НЕВОЗМОЖНО	Да Если требуется применение CRAM-MD5, будут оповещения об использовании шифрования в режиме, отличном от FIPS.	Да
Оповещения Syslog	Нет	Не настроено	Нет	Да	Да
TLS 1.2	Да	Включено	Да	Да	Да
TLS 1.3	Да	Включено	Да	Да	Да
Сеть через HTTPS	Да	Включено	Да	Да	Да
Redfish по протоколу HTTPS	Да	Включено	Да	Да	Да
SSDP	Нет	Включено	Да	Да	Да
SSH-CLI	Да	Включено	Да	Да	Да
SFTP	Да	Отключено	Да	Да	Да
LDAP	Нет	Не настроено	Нет	Да	Да
Безопасный LDAP	Да	Не настроено	Да	Да	Да
Управление ключами безопасности	Да	Не настроено	Да	Да	Да
Удаленная консоль	Да	Включено	Да	Да	Да
Виртуальные носители — CIFS	Да	Не настроено	Нет	Да	Да
Виртуальные носители — NFS	Нет	Не настроено	Нет	Да	Да
Виртуальные носители — HTTPFS	Да	Не настроено	Да	Да	Да
RDOC — локальная среда	Да	Не настроено	Да	Да	Да
RDOC — CIFS	Да	Не настроено	Нет	Да	Да
RDOC — HTTP	Нет	Не настроено	Нет	Да	Да
RDOC — HTTPS	Да	Не настроено	Да	Да	Да
RDOC — FTP	Нет	Не настроено	Нет	Да	Да
RDOC — SFTP	Да	Не настроено	Да	Да	Да
Отправка FFDC (SFTP)	Да	Включено	Да	Да	Да
Отправка FFDC (TFTP)	Нет	Включено	Нет	Да	Да
Обновление из репозитория — CIFS	Да	Не настроено	Нет	Да	Да
Обновление из репозитория — NFS	Нет	Не настроено	Нет	Да	Да
Обновление из репозитория — HTTP	Нет	Не настроено	Нет	Да	Да
Обновление из репозитория — HTTPS	Да	Не настроено	Да	Да	Да
Call Home	Да	Отключено	Да	Да	Да
Сторонний пароль	Да	Не настроено	Нет	Да	Да
Перенаправление портов	Неприменимо	Отключено	Да	Да	Да

Предоставить обратную связь