Skip to main content

โหมดรักษาความปลอดภัย

หัวข้อนี้จะอธิบายเกี่ยวกับภาพรวมของโหมดรักษาความปลอดภัย

สิทธิ์การใช้งาน XCC Standard ช่วยให้ผู้ใช้สามารถกำหนดค่าเซิร์ฟเวอร์ของตนในโหมดความปลอดภัยหนึ่งในสองโหมด: โหมดมาตรฐานและโหมดการทำงานร่วมกัน มีให้ใช้งานในเซิร์ฟเวอร์ V3 ทั้งหมด

สิทธิ์การใช้งาน Lenovo XClarity Controller 2 Platinum Upgrade มาพร้อมกับโหมดรักษาความปลอดภัยที่สาม: โหมดเข้มงวดสำหรับองค์กร โหมดนี้เหมาะสมที่สุดสำหรับข้อกำหนดด้านการรักษาความปลอดภัยในระดับสูง

หมายเหตุ
ตามค่าเริ่มต้น XCC จะใช้ใบรับรองที่ลงนามด้วยตนเองของ ECDSA และมีเฉพาะอัลกอริธึมที่ใช้ ECDSA เท่านั้น หากต้องการใช้ใบรับรองที่ใช้ RSA ให้สร้าง CSR และลงนามด้วย CA ภายในหรือภายนอก จากนั้นให้นำเข้าใบรับรองที่ลงนามไปยัง XCC
โหมดการรักษาความปลอดภัยระดับองค์กรแบบรัดกุม
  • โหมดการรักษาความปลอดภัยระดับองค์กรแบบรัดกุมเป็นโหมดที่ปลอดภัยที่สุด

  • BMC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3

  • ต้องมีใบรับรองระดับองค์กรแบบรัดกุม

  • อนุญาตเฉพาะบริการที่รองรับการเข้ารหัสระดับองค์กรแบบรัดกุมเท่านั้น

  • ต้องมีสิทธิ์การใช้งานการอัปเกรด Lenovo XClarity Controller 2 Platinum เพื่อเปิดใช้งาน

  • อัลกอริธึมการเข้ารหัสของ CNSA พร้อมใช้งานแล้ว

โหมดการรักษาความปลอดภัยมาตรฐาน
  • โหมดมาตรฐานเป็นโหมดการรักษาความปลอดภัยตามค่าเริ่มต้น

  • อัลกอริทึมการเข้ารหัสทั้งหมดที่ BMC ใช้จะสอดคล้องตามมาตรฐาน FIPS 140-3

  • BMC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3

  • ต้องมีใบรับรองระดับ Standard

  • บริการที่ต้องใช้การเข้ารหัสที่ไม่รองรับการเข้ารหัสระดับ Standard จะถูกปิดใช้งานตามค่าเริ่มต้น

  • อัลกอริธึม CNSA จะพร้อมใช้งานเมื่อมีการติดตั้งสิทธิ์การใช้งานการอัปเกรด Lenovo XClarity Controller 2 Platinum

โหมดความเข้ากันได้
  • โหมดความเข้ากันได้คือโหมดที่จะใช้เมื่อบริการและไคลเอ็นต์ต้องการใช้การเข้ารหัสที่ไม่สอดคล้องตามมาตรฐานระดับองค์กรแบบรัดกุม/มาตรฐาน

  • ระบบจะรองรับอัลกอริทึมการเข้ารหัสหลากหลายรูปแบบมากขึ้น

  • เมื่อโหมดนี้เปิดใช้งาน BMC จะไม่ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3

  • อนุญาตให้เปิดใช้งานบริการทั้งหมด

  • รองรับชุดรหัสที่หลากหลายเพื่อความเข้ากันได้สูงสุด

ชุดการเข้ารหัส TLS ที่รองรับ

การตั้งค่าการเข้ารหัส TLS คือการจํากัดชุดรหัส TLS ที่รองรับสำหรับบริการ BMC
ชุดรหัส TLSโหมดการรักษาความปลอดภัยเวอร์ชัน TLS
TLS_AES_256_GCM_SHA384
  • เข้มงวดสำหรับองค์กร
  • มาตรฐาน*
  • การทำงานร่วมกัน*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • การทำงานร่วมกัน
TLS 1.3
TLS_AES_128_GCM_SHA256
  • มาตรฐาน
  • การทำงานร่วมกัน
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • มาตรฐาน
  • การทำงานร่วมกัน
TLS 1.3
TLS_AES_128_CCM_SHA256
  • มาตรฐาน
  • การทำงานร่วมกัน
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • เข้มงวดสำหรับองค์กร
  • มาตรฐาน*
  • การทำงานร่วมกัน*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • เข้มงวดสำหรับองค์กร
  • มาตรฐาน*
  • การทำงานร่วมกัน*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • เข้มงวดสำหรับองค์กร
  • มาตรฐาน*
  • การทำงานร่วมกัน*
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • มาตรฐาน
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • การทำงานร่วมกัน
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • มาตรฐาน
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • มาตรฐาน
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • การทำงานร่วมกัน
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • การทำงานร่วมกัน
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • การทำงานร่วมกัน
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • การทำงานร่วมกัน
TLS 1.2
หมายเหตุ
โหมดความปลอดภัยที่มีเครื่องหมายดอกจัน (*) อยู่ในตารางต้องมีสิทธิ์การใช้งานการอัปเกรด Lenovo XClarity Controller 2 Platinum
เมทริกซ์การบริการในโหมดรักษาความปลอดภัยสามโหมด

คุณลักษณะ/บริการ

ใช้การเข้ารหัส

สถานะเริ่มต้นเมื่อใช้งานครั้งแรก

รองรับในโหมดเข้มงวด

รองรับในโหมดมาตรฐาน

รองรับในโหมดการทำงานร่วมกัน

IPMI-over-KCS

ไม่

เปิดใช้งาน

ใช่

ใช่

ใช่

IPMI-over-LAN

ใช่

ปิดใช้งาน

ไม่

ใช่

ใช่

SNMPv1 traps

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

SNMPv3 traps

ใช่

ไม่มีการกำหนดค่า

ไม่

ใช่

หากเปิดใช้งาน จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS

ใช่

SNMPv3 agent

ใช่

ไม่มีการกำหนดค่า

ไม่

ใช่

หากเปิดใช้งาน จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS

ใช่

การแจ้งเตือนด้วยอีเมล

ใช่

ไม่มีการกำหนดค่า

ใช่

ไม่สามารถเปิดใช้งานด้วย CRAM-MD5 Authentication

ใช่

หากจำเป็น้องมี CRAM-MD5 จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS

ใช่

การแจ้งเตือน Syslog

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

TLS 1.2

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

TLS 1.3

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

Web over HTTPS

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

Redfish over HTTPS

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

SSDP

ไม่

เปิดใช้งาน

ใช่

ใช่

ใช่

SSH-CLI

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

SFTP

ใช่

ปิดใช้งาน

ใช่

ใช่

ใช่

LDAP

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

Secure LDAP

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

การจัดการคีย์การรักษาความปลอดภัย

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

คอนโซลระยะไกล

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

สื่อเสมือน - CIFS

ใช่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

สื่อเสมือน - NFS

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

สื่อเสมือน - HTTPFS

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

RDOC - Local

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

RDOC - CIFS

ใช่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

RDOC - HTTP

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

RDOC - HTTPS

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

RDOC - FTP

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

RDOC - SFTP

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

การอัปโหลด FFDC (SFTP)

ใช่

เปิดใช้งาน

ใช่

ใช่

ใช่

การอัปโหลด FFDC (TFTP)

ไม่

เปิดใช้งาน

ไม่

ใช่

ใช่

อัปเดตจากที่เก็บข้อมูล – CIFS

ใช่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

อัปเดตจากที่เก็บข้อมูล - NFS

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

อัปเดตจากที่เก็บข้อมูล – HTTP

ไม่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

อัปเดตจากที่เก็บข้อมูล – HTTPS

ใช่

ไม่มีการกำหนดค่า

ใช่

ใช่

ใช่

Call Home

ใช่

ปิดใช้งาน

ใช่

ใช่

ใช่

รหัสผ่านบุคคลที่สาม

ใช่

ไม่มีการกำหนดค่า

ไม่

ใช่

ใช่

การฟอร์เวิร์ดพอร์ต

ไม่ระบุ

ปิดใช้งาน

ใช่

ใช่

ใช่