Sicherheitsmodus
Dieser Abschnitt enthält eine Übersicht über den SSL-Sicherheitsmodus.
Mit der XCC-Standardlizenz können Benutzer ihre Server in einem der beiden Sicherheitsmodi konfigurieren: dem Standardmodus oder dem Kompatibilitätsmodus. Diese sind auf allen V4-Servern verfügbar.
Die Lenovo XClarity Controller 3 Premier Upgrade-Lizenz verfügt über einen dritten Sicherheitsmodus: den Strengen Unternehmensmodus (Enterprise Strict Mode). Dieser Modus eignet sich am besten für höchste Sicherheitsanforderungen.
Der Enterprise Strict-Sicherheitsmodus ist der sicherste Modus.
Alle von BMC verwendeten Verschlüsselungsalgorithmen sind CNSA 1.0-konform.
BMC wird im überprüften FIPS 140-3-Modus betrieben.
Zertifikate auf Enterprise Strict-Niveau sind erforderlich.
Es können nur Services aktiviert werden, die die CNSA 1.0-Verschlüsselung unterstützen.
Zur Aktivierung ist ein „Features on Demand“-Schlüssel erforderlich.
Der Standardmodus ist der Standardsicherheitsmodus.
Alle von BMC verwendeten Verschlüsselungsalgorithmen sind FIPS 140-3-konform.
BMC wird im überprüften FIPS 140-3-Modus betrieben, wenn alle aktivierten Services FIPS 140-3-konforme Verschlüsselung verwenden.
Erfordert Zertifikate auf Standard-Niveau.
Services, die eine Verschlüsselung erfordern, die keine FIPS 140-3-konforme Verschlüsselung unterstützt, werden standardmäßig deaktiviert.
Der Kompatibilitätsmodus ist der Modus, der verwendet werden kann, wenn Services und Clients eine Verschlüsselung erfordern, die nicht Enterprise Strict/Standard-konform ist.
Es wird ein größerer Bereich von Verschlüsselungsalgorithmen unterstützt.
Wenn dieser Modus aktiviert ist, kann BMC NICHT im überprüften Standard-Modus arbeiten.
Ermöglicht die Aktivierung aller Services.
Unterstützte TLS-Cipher-Suites
| TLS-Cipher-Suites | Sicherheitsmodus | TLS-Version |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Funktion/Service | Verwendet Verschlüsselung | Standardstatus Out-of-Box | Im Strict-Modus unterstützt | Im Standardmodus unterstützt | Im Kompatibilitätsmodus unterstützt |
|---|---|---|---|---|---|
IPMI-über-KCS | Nein | Aktiviert | Ja | Ja | Ja |
IPMI-über-LAN | Ja | Deaktiviert | Nein | Ja | Ja |
SNMPv1-Traps | Nein | Nicht konfiguriert | Nein | Ja | Ja |
SNMPv3-Traps | Ja | Nicht konfiguriert | Nein | Ja Wenn aktiviert, erfolgt ein Alert für die Verwendung von Nicht-FIPS-Verschlüsselung | Ja |
SNMPv3-Agent | Ja | Nicht konfiguriert | Nein | Ja Wenn aktiviert, erfolgt ein Alert für die Verwendung von Nicht-FIPS-Verschlüsselung | Ja |
E-Mail-Benachrichtigungen | Ja | Nicht konfiguriert | Ja Kann NICHT mit DEM-MD5-Authentifizierung aktiviert werden | Ja Wenn CRAM-MD5 erforderlich ist, erfolgt ein Alert für die Verwendung von Nicht-FIPS-Verschlüsselung | Ja |
Syslog-Alerts | Nein | Nicht konfiguriert | Nein | Ja | Ja |
TLS 1.2 | Ja | Aktiviert | Ja | Ja | Ja |
TLS 1.3 | Ja | Aktiviert | Ja | Ja | Ja |
Web over HTTPS | Ja | Aktiviert | Ja | Ja | Ja |
Redfish über HTTPS | Ja | Aktiviert | Ja | Ja | Ja |
SSDP | Nein | Aktiviert | Ja | Ja | Ja |
SSH-CLI | Ja | Aktiviert | Ja | Ja | Ja |
SFTP | Ja | Deaktiviert | Ja | Ja | Ja |
LDAP | Nein | Nicht konfiguriert | Nein | Ja | Ja |
Sicheres LDAP | Ja | Nicht konfiguriert | Ja | Ja | Ja |
Sicherheitsschlüsselverwaltung | Ja | Nicht konfiguriert | Ja | Ja | Ja |
Ferne Konsole | Ja | Aktiviert | Ja | Ja | Ja |
Virtuelle Medien – CIFS | Ja | Nicht konfiguriert | Nein | Ja | Ja |
Virtuelle Medien – NFS | Nein | Nicht konfiguriert | Nein | Ja | Ja |
Virtuelle Medien – HTTPFS | Ja | Nicht konfiguriert | Ja | Ja | Ja |
RDOC – Lokal | Ja | Nicht konfiguriert | Ja | Ja | Ja |
RDOC – CIFS | Ja | Nicht konfiguriert | Nein | Ja | Ja |
RDOC – HTTP | Nein | Nicht konfiguriert | Nein | Ja | Ja |
RDOC – HTTPS | Ja | Nicht konfiguriert | Ja | Ja | Ja |
RDOC – FTP | Nein | Nicht konfiguriert | Nein | Ja | Ja |
RDOC – SFTP | Ja | Nicht konfiguriert | Ja | Ja | Ja |
FFDC-Upload (SFTP) | Ja | Aktiviert | Ja | Ja | Ja |
FFDC-Upload (TFTP) | Nein | Aktiviert | Nein | Ja | Ja |
Aus Repository aktualisieren – CIFS | Ja | Nicht konfiguriert | Nein | Ja | Ja |
Aus Repository aktualisieren – NFS | Nein | Nicht konfiguriert | Nein | Ja | Ja |
Aus Repository aktualisieren – HTTP | Nein | Nicht konfiguriert | Nein | Ja | Ja |
Aus Repository aktualisieren – HTTPS | Ja | Nicht konfiguriert | Ja | Ja | Ja |
Call-Home-Funktion | Ja | Deaktiviert | Ja | Ja | Ja |
Drittanbieterkennwort | Ja | Nicht konfiguriert | Nein | Ja | Ja |
Portweiterleitung | Nicht zutreffend | Deaktiviert | Ja | Ja | Ja |