Modo de seguridad
En este tema se proporciona una visión general del modo de seguridad.
La licencia Estándar de XCC permite a los usuarios configurar sus servidores en uno de los dos modos de seguridad: modo estándar y modo de compatibilidad. Estos están disponibles en todos los servidores V4.
La licencia de actualización Lenovo XClarity Controller 3 Premier viene con un tercer modo de seguridad: el modo estricto empresarial. Este modo es el más adecuado para los requisitos de seguridad de alto nivel.
El modo de seguridad estricto empresarial es el modo más seguro.
Todos los algoritmos criptográficos utilizados por BMC cumplen con CNSA 1.0.
BMC funciona en el modo FIPS 140-3 validado.
Requiere certificados de grado estricto de empresa.
Solo se pueden habilitar los servicios que admiten la criptografía CNSA 1.0.
Requiere la habilitación de la clave de característica bajo demanda.
El modo estándar es el modo de seguridad predeterminado.
Todos los algoritmos criptográficos utilizados por BMC cumplen con FIPS 140-3.
BMC funciona en modo validado por FIPS 140-3 cuando todos los servicios habilitados utilizan criptografía compatible con FIPS 140-3.
Requiere certificados de grado estándar.
Los servicios que requieren criptografía que no admite criptografía compatible con FIPS 140-3 están deshabilitados de forma predeterminada.
El Modo de compatibilidad es el modo que se debe utilizar cuando los servicios y los clientes requieren una criptografía que no sea compatible con el modo estricto empresarial/estándar.
Se admite una gama más amplia de algoritmos criptográficos.
Cuando este modo está habilitado, BMC NO está funcionando en el modo validado estándar.
Permite habilitar todos los servicios.
Suites de cifrado TLS admitidas
| Suites de cifrado TLS | Modo de seguridad | Versión de TLS |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Característica/servicio | Utiliza criptografía | Estado predeterminado de fábrica | Se admite en modo estricto | Se admite en el modo estándar | Se admite en el modo de compatibilidad |
|---|---|---|---|---|---|
IPMI sobre KCS | No | Habilitado | Sí | Sí | Sí |
IPMI sobre LAN | Sí | Deshabilitado | No | Sí | Sí |
Trampas SNMPv1 | No | Sin configurar | No | Sí | Sí |
Trampas SNMPv3 | Sí | Sin configurar | No | Sí Si está habilitado, alertará del uso de criptografía no FIPS | Sí |
Agente de SNMPv3 | Sí | Sin configurar | No | Sí Si está habilitado, alertará del uso de criptografía no FIPS | Sí |
Alertas por correo electrónico | Sí | Sin configurar | Sí No se puede habilitar con la autenticación CRAM-MD5 | Sí Si CRAM-MD5 es necesario, alertará del uso de criptografía no FIPS. | Sí |
Alertas de Syslog | No | Sin configurar | No | Sí | Sí |
TLS 1.2 | Sí | Habilitado | Sí | Sí | Sí |
TLS 1.3 | Sí | Habilitado | Sí | Sí | Sí |
Web sobre HTTPS | Sí | Habilitado | Sí | Sí | Sí |
Redfish sobre HTTPS | Sí | Habilitado | Sí | Sí | Sí |
SSDP | No | Habilitado | Sí | Sí | Sí |
SSH-CLI | Sí | Habilitado | Sí | Sí | Sí |
SFTP | Sí | Deshabilitado | Sí | Sí | Sí |
LDAP | No | Sin configurar | No | Sí | Sí |
LDAP seguro | Sí | Sin configurar | Sí | Sí | Sí |
Gestión de claves de seguridad | Sí | Sin configurar | Sí | Sí | Sí |
Puerto remoto | Sí | Habilitado | Sí | Sí | Sí |
Medio virtual - CIFS | Sí | Sin configurar | No | Sí | Sí |
Medio virtual - NFS | No | Sin configurar | No | Sí | Sí |
Medio virtual - HTTPFS | Sí | Sin configurar | Sí | Sí | Sí |
RDOC - Local | Sí | Sin configurar | Sí | Sí | Sí |
RDOC - CIFS | Sí | Sin configurar | No | Sí | Sí |
RDOC - HTTP | No | Sin configurar | No | Sí | Sí |
RDOC - HTTPS | Sí | Sin configurar | Sí | Sí | Sí |
RDOC - FTP | No | Sin configurar | No | Sí | Sí |
RDOC - SFTP | Sí | Sin configurar | Sí | Sí | Sí |
Carga de FFDC (SFTP) | Sí | Habilitado | Sí | Sí | Sí |
Carga de FFDC (TFTP) | No | Habilitado | No | Sí | Sí |
Actualizar desde el repositorio – CIFS | Sí | Sin configurar | No | Sí | Sí |
Actualizar desde el repositorio - NFS | No | Sin configurar | No | Sí | Sí |
Actualizar desde el repositorio – HTTP | No | Sin configurar | No | Sí | Sí |
Actualizar desde el repositorio – HTTPS | Sí | Sin configurar | Sí | Sí | Sí |
Llamar a casa | Sí | Deshabilitado | Sí | Sí | Sí |
Contraseña de terceros | Sí | Sin configurar | No | Sí | Sí |
Reenvío de puerto | N/A | Deshabilitado | Sí | Sí | Sí |