Passa al contenuto principale

Modalità di sicurezza

Questo argomento è una panoramica della modalità di sicurezza.

La licenza XCC Standard consente agli utenti di configurare i server in una delle due modalità di sicurezza: modalità standard e modalità di compatibilità. Queste opzioni sono disponibili in tutti i server V4.

La licenza di aggiornamento Lenovo XClarity Controller 3 Premier viene fornita con una terza modalità di sicurezza: modalità rigorosa aziendale. Questa modalità è più idonea per requisiti di sicurezza di alto livello.

Nota
Per impostazione predefinita, XCC utilizza un certificato autofirmato ECDSA e sono disponibili solo algoritmi basati su ECDSA. Per utilizzare il certificato basato su RSA, generare una CSR e firmarla con una CA interna o esterna, quindi importare il certificato firmato in XCC.
Modalità di sicurezza rigorosa aziendale
  • La modalità di sicurezza rigorosa aziendale è la modalità più sicura.

  • Tutti gli algoritmi di crittografia utilizzati da BMC sono conformi a CNSA 1.0.

  • BMC opera in modalità di convalida FIPS 140-3.

  • Richiede certificati di livello rigoroso aziendale.

  • È possibile abilitare solo i servizi che supportano la crittografia CNSA 1.0.

  • Richiede l'abilitazione della chiave Feature on Demand.

Modalità di sicurezza standard
  • La modalità standard è la modalità di sicurezza predefinita.

  • Tutti gli algoritmi di crittografia utilizzati da BMC sono conformi a FIPS 140-3.

  • BMC opera in modalità di convalida FIPS 140-3 quando tutti i servizi abilitati utilizzano la crittografia conforme a FIPS 140-3.

  • Richiede certificati di livello standard.

  • I servizi che richiedono la crittografia e che non supportano la crittografia conforme a FIPS 140-3 sono disabilitati per impostazione predefinita.

Modalità di compatibilità
  • La modalità di compatibilità è la modalità da utilizzare quando servizi e client richiedono crittografia non conforme alle modalità rigorosa aziendale/standard.

  • È supportata un'ampia gamma di algoritmi di crittografia.

  • Quando questa modalità è abilitata, BMC NON funziona in modalità di convalida standard.

  • Consente di abilitare tutti i servizi.

Suite di crittografia TLS supportate

L'impostazione di crittografia TLS è quella di limitare le suite di crittografia TLS supportate rispetto ai servizi BMC.
Suite di crittografia TLSModalità di sicurezzaVersione TLS
TLS_AES_256_GCM_SHA384
  • Rigorosa aziendale
  • Standard*
  • Compatibilità*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • Compatibilità
TLS 1.3
TLS_AES_128_GCM_SHA256
  • Standard
  • Compatibilità
TLS 1.3
TLS_AES_128_CCM_SHA256
  • Standard
  • Compatibilità
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • Standard
  • Compatibilità
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • Rigorosa aziendale
  • Standard*
  • Compatibilità*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • Rigorosa aziendale
  • Compatibilità*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • Rigorosa aziendale
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • Compatibilità
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • Compatibilità
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • Standard
  • Compatibilità
TLS 1.2
   
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • Standard
  • Compatibilità
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_RSA_WITH_AES_256_GCM_SHA384
  • Standard
  • Compatibilità
TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256
  • Standard
  • Compatibilità
TLS 1.2
TLS_DHE_RSA_LATH_AES_256_GCM_SHA384
  • Standard
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U
  • Standard
TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
  • Standard
TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
  • Standard
TLS 1.2
Nota
Le modalità di sicurezza con un asterisco (*) elencate nella tabella richiedono la licenza di aggiornamento Lenovo XClarity Controller 3 Premier.
Matrice di servizio in tre modalità di sicurezza

Funzione/Servizio

Utilizza la crittografia

Stato predefinito

Supportato in modalità rigorosa

Supportato in modalità standard

Supportato in modalità di compatibilità

IPMI-over-KCS

No

Abilitato

IPMI-over-LAN

Disabilitata

No

Trap SNMPv1

No

Non configurato

No

Trap SNMPv3

Non configurato

No

Se abilitato, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS

Agent SNMPv3

Non configurato

No

Se abilitato, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS

Avvisi e-mail

Non configurato

NON può essere abilitato con autenticazione CRAM-MD5

Se è richiesta l'autenticazione CRAM-MD5, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS.

Avvisi Syslog

No

Non configurato

No

TLS 1.2

Abilitato

TLS 1.3

Abilitato

Web-over-HTTPS

Abilitato

Redfish su HTTPS

Abilitato

SSDP

No

Abilitato

SSH-CLI

Abilitato

SFTP

Disabilitata

LDAP

No

Non configurato

No

LDAP sicuro

Non configurato

Gestione della chiave di sicurezza

Non configurato

Console remota

Abilitato

Supporti virtuali - CIFS

Non configurato

No

Supporti virtuali - NFS

No

Non configurato

No

Supporti virtuali - HTTPTF

Non configurato

RDOC - Locale

Non configurato

RDOC - CIFS

Non configurato

No

RDOC - HTTP

No

Non configurato

No

RDOC - HTTPS

Non configurato

RDOC - FTP

No

Non configurato

No

RDOC - SFTP

Non configurato

Caricamento FFDC (SFTP)

Abilitato

Caricamento FFDC (TFTP)

No

Abilitato

No

Aggiornamento da repository - CIFS

Non configurato

No

Aggiornamento da repository - NFS

No

Non configurato

No

Aggiornamento da repository - HTTP

No

Non configurato

No

Aggiornamento da repository - HTTPS

Non configurato

Call Home

Disabilitata

Password di terze parti

Non configurato

No

Inoltro porta

N/D

Disabilitata