Mode de sécurité
Cette rubrique fournit une présentation du mode de sécurité.
La licence XCC standard permet aux utilisateurs de configurer leurs serveurs selon l’un des deux modes de sécurité : le mode standard et le mode compatibilité. Ces derniers sont disponibles pour tous les serveurs V4.
La licence de mise à niveau Premier Lenovo XClarity Controller 3 est livrée avec un troisième mode de sécurité : le mode Enterprise Strict. Ce mode convient plus particulièrement aux exigences de sécurité de haut niveau.
Le mode de sécurité Enterprise Strict est le mode le plus sécurisé.
Tous les algorithmes de chiffrement utilisés par BMC sont compatibles avec CNSA 1.0.
BMC fonctionne en mode validé FIPS 140-3.
Nécessite des certificats de niveau Enterprise Strict.
Seuls les services qui prennent en charge le chiffrement CNSA 1.0 peuvent être activés.
Nécessite la fonction Feature on Demand pour être activé.
Le mode standard est le mode de sécurité par défaut.
Tous les algorithmes de cryptographie utilisés par BMC sont compatibles avec FIPS 140-3.
BMC fonctionne en mode validé FIPS 140-3 lorsque tous les services activés utilisent un chiffrement conforme à la norme FIPS 140-3.
Nécessite des certificats de niveau standard.
Les services nécessitant un chiffrement qui ne prend pas en charge le chiffrement conforme à la norme FIPS 140-3 sont désactivés par défaut.
Le mode compatibilité est le mode à utiliser lorsque les services et les clients nécessitent un chiffrement non compatible avec Enterprise Strict/standard.
Une plus grande gamme d’algorithmes de chiffrement est prise en charge.
Lorsque ce mode est activé, BMC NE FONCTIONNE PAS en mode standard validé.
Permet d’activer tous les services.
Algorithmes de cryptographie TLS pris en charge
Algorithmes de cryptographie TLS | Mode de sécurité | Version TLS |
---|---|---|
TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Fonctionnalité/service | Utilise le chiffrement | État par défaut | Pris en charge en mode strict | Pris en charge en mode standard | Pris en charge en mode compatibilité |
---|---|---|---|---|---|
IPMI sur KCS | Non | Activé | Oui | Oui | Oui |
IPMI sur LAN | Oui | Désactivé | Non | Oui | Oui |
Interruptions SNMPv1 | Non | Non configurées | Non | Oui | Oui |
Interruptions SNMPv3 | Oui | Non configurées | Non | Oui Si activées, elles permettent d’avertir l’utilisation d’un chiffrement non-FIPS | Oui |
Agent SNMPv3 | Oui | Non configurées | Non | Oui Si activées, elles permettent d’avertir l’utilisation d’un chiffrement non-FIPS | Oui |
Alertes e-mail | Oui | Non configurées | Oui Ne peuvent PAS être activées avec l’authentification CRAM-MD5 | Oui Si CRAM-MD5 est requis, elles permettent d’avertir l’utilisation d’un chiffrement non-FIPS. | Oui |
Alertes Syslog | Non | Non configurées | Non | Oui | Oui |
TLS 1.2 | Oui | Activé | Oui | Oui | Oui |
TLS 1.3 | Oui | Activé | Oui | Oui | Oui |
Web via HTTPS | Oui | Activé | Oui | Oui | Oui |
Redfish sur HTTPS | Oui | Activé | Oui | Oui | Oui |
SSDP | Non | Activé | Oui | Oui | Oui |
SSH-CLI | Oui | Activé | Oui | Oui | Oui |
SFTP | Oui | Désactivé | Oui | Oui | Oui |
LDAP | Non | Non configuré | Non | Oui | Oui |
LDAP sécurisé | Oui | Non configuré | Oui | Oui | Oui |
Gestion de la clé de sécurité | Oui | Non configuré | Oui | Oui | Oui |
Console distante | Oui | Activé | Oui | Oui | Oui |
Support virtuel - CIFS | Oui | Non configuré | Non | Oui | Oui |
Support virtuel - NFS | Non | Non configuré | Non | Oui | Oui |
Support virtuel - HTTPFS | Oui | Non configuré | Oui | Oui | Oui |
RDOC - Local | Oui | Non configuré | Oui | Oui | Oui |
RDOC - CIFS | Oui | Non configuré | Non | Oui | Oui |
RDOC - HTTP | Non | Non configuré | Non | Oui | Oui |
RDOC - HTTPS | Oui | Non configuré | Oui | Oui | Oui |
RDOC - FTP | Non | Non configuré | Non | Oui | Oui |
RDOC - SFTP | Oui | Non configuré | Oui | Oui | Oui |
Chargement FFDC (SFTP) | Oui | Activé | Oui | Oui | Oui |
Chargement FFDC (TFTP) | Non | Activé | Non | Oui | Oui |
Mise à jour à partir du référentiel - CIFS | Oui | Non configuré | Non | Oui | Oui |
Mise à jour à partir du référentiel - NFS | Non | Non configuré | Non | Oui | Oui |
Mise à jour à partir du référentiel - HTTP | Non | Non configuré | Non | Oui | Oui |
Mise à jour à partir du référentiel - HTTPS | Oui | Non configuré | Oui | Oui | Oui |
Appel vers Lenovo | Oui | Désactivé | Oui | Oui | Oui |
Mot de passe tiers | Oui | Non configuré | Non | Oui | Oui |
Réacheminement de port | N/A | Désactivé | Oui | Oui | Oui |