โหมดรักษาความปลอดภัย

หัวข้อนี้จะอธิบายเกี่ยวกับภาพรวมของโหมดรักษาความปลอดภัย

สิทธิ์การใช้งาน XCC Standard ช่วยให้ผู้ใช้สามารถกำหนดค่าเซิร์ฟเวอร์ของตนในโหมดความปลอดภัยหนึ่งในสองโหมด: โหมดมาตรฐานและโหมดการทำงานร่วมกัน มีให้ใช้งานในเซิร์ฟเวอร์ V3 ทั้งหมด

สิทธิ์การใช้งาน Lenovo XClarity Controller 2 Platinum Upgrade มาพร้อมกับโหมดรักษาความปลอดภัยที่สาม: โหมดเข้มงวดสำหรับองค์กร โหมดนี้เหมาะสมที่สุดสำหรับข้อกำหนดด้านการรักษาความปลอดภัยในระดับสูง

หมายเหตุ

ตามค่าเริ่มต้น XCC จะใช้ใบรับรองที่ลงนามด้วยตนเองของ ECDSA และมีเฉพาะอัลกอริธึมที่ใช้ ECDSA เท่านั้น หากต้องการใช้ใบรับรองที่ใช้ RSA ให้สร้าง CSR และลงนามด้วย CA ภายในหรือภายนอก จากนั้นให้นำเข้าใบรับรองที่ลงนามไปยัง XCC

โหมดการรักษาความปลอดภัยระดับองค์กรแบบรัดกุม

โหมดการรักษาความปลอดภัยระดับองค์กรแบบรัดกุมเป็นโหมดที่ปลอดภัยที่สุด
BMC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3
ต้องมีใบรับรองระดับองค์กรแบบรัดกุม
อนุญาตเฉพาะบริการที่รองรับการเข้ารหัสระดับองค์กรแบบรัดกุมเท่านั้น
ต้องมีสิทธิ์การใช้งานการอัปเกรด Lenovo XClarity Controller 2 Platinum เพื่อเปิดใช้งาน
อัลกอริธึมการเข้ารหัสของ CNSA พร้อมใช้งานแล้ว

โหมดการรักษาความปลอดภัยมาตรฐาน

โหมดมาตรฐานเป็นโหมดการรักษาความปลอดภัยตามค่าเริ่มต้น
อัลกอริทึมการเข้ารหัสทั้งหมดที่ BMC ใช้จะสอดคล้องตามมาตรฐาน FIPS 140-3
BMC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3
ต้องมีใบรับรองระดับ Standard
บริการที่ต้องใช้การเข้ารหัสที่ไม่รองรับการเข้ารหัสระดับ Standard จะถูกปิดใช้งานตามค่าเริ่มต้น
อัลกอริธึม CNSA จะพร้อมใช้งานเมื่อมีการติดตั้งสิทธิ์การใช้งานการอัปเกรด Lenovo XClarity Controller 2 Platinum

โหมดความเข้ากันได้

โหมดความเข้ากันได้คือโหมดที่จะใช้เมื่อบริการและไคลเอ็นต์ต้องการใช้การเข้ารหัสที่ไม่สอดคล้องตามมาตรฐานระดับองค์กรแบบรัดกุม/มาตรฐาน
ระบบจะรองรับอัลกอริทึมการเข้ารหัสหลากหลายรูปแบบมากขึ้น
เมื่อโหมดนี้เปิดใช้งาน BMC จะไม่ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3
อนุญาตให้เปิดใช้งานบริการทั้งหมด
รองรับชุดรหัสที่หลากหลายเพื่อความเข้ากันได้สูงสุด

ชุดการเข้ารหัส TLS ที่รองรับ

การตั้งค่าการเข้ารหัส TLS คือการจํากัดชุดรหัส TLS ที่รองรับสำหรับบริการ BMC

ชุดรหัส TLS	โหมดการรักษาความปลอดภัย	เวอร์ชัน TLS
TLS_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร มาตรฐาน^* การทำงานร่วมกัน^*	TLS 1.3
TLS_CHACHA20_POLY1305_SHA256	การทำงานร่วมกัน	TLS 1.3
TLS_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.3
TLS_AES_128_CCM_8_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.3
TLS_AES_128_CCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร มาตรฐาน^* การทำงานร่วมกัน^*	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร มาตรฐาน^* การทำงานร่วมกัน^*	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร มาตรฐาน^* การทำงานร่วมกัน^*	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305	การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305	การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	การทำงานร่วมกัน	TLS 1.2

หมายเหตุ

โหมดความปลอดภัยที่มีเครื่องหมายดอกจัน (*) อยู่ในตารางต้องมีสิทธิ์การใช้งานการอัปเกรด Lenovo XClarity Controller 2 Platinum

เมทริกซ์การบริการในโหมดรักษาความปลอดภัยสามโหมด

คุณลักษณะ/บริการ	ใช้การเข้ารหัส	สถานะเริ่มต้นเมื่อใช้งานครั้งแรก	รองรับในโหมดเข้มงวด	รองรับในโหมดมาตรฐาน	รองรับในโหมดการทำงานร่วมกัน
IPMI-over-KCS	ไม่	เปิดใช้งาน	ใช่	ใช่	ใช่
IPMI-over-LAN	ใช่	ปิดใช้งาน	ไม่	ใช่	ใช่
SNMPv1 traps	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
SNMPv3 traps	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่ หากเปิดใช้งาน จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS	ใช่
SNMPv3 agent	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่ หากเปิดใช้งาน จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS	ใช่
การแจ้งเตือนด้วยอีเมล	ใช่	ไม่มีการกำหนดค่า	ใช่ ไม่สามารถเปิดใช้งานด้วย CRAM-MD5 Authentication	ใช่ หากจำเป็น้องมี CRAM-MD5 จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS	ใช่
การแจ้งเตือน Syslog	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
TLS 1.2	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
TLS 1.3	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
Web over HTTPS	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
Redfish over HTTPS	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
SSDP	ไม่	เปิดใช้งาน	ใช่	ใช่	ใช่
SSH-CLI	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
SFTP	ใช่	ปิดใช้งาน	ใช่	ใช่	ใช่
LDAP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
Secure LDAP	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
การจัดการคีย์การรักษาความปลอดภัย	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
คอนโซลระยะไกล	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
สื่อเสมือน - CIFS	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
สื่อเสมือน - NFS	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
สื่อเสมือน - HTTPFS	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
RDOC - Local	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
RDOC - CIFS	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
RDOC - HTTP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
RDOC - HTTPS	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
RDOC - FTP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
RDOC - SFTP	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
การอัปโหลด FFDC (SFTP)	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
การอัปโหลด FFDC (TFTP)	ไม่	เปิดใช้งาน	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล – CIFS	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล - NFS	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล – HTTP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล – HTTPS	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
Call Home	ใช่	ปิดใช้งาน	ใช่	ใช่	ใช่
รหัสผ่านบุคคลที่สาม	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
การฟอร์เวิร์ดพอร์ต	ไม่ระบุ	ปิดใช้งาน	ใช่	ใช่	ใช่

ส่งคำติชม