Modalità di sicurezza
Questo argomento è una panoramica della modalità di sicurezza.
La licenza XCC Standard consente agli utenti di configurare i server in una delle due modalità di sicurezza: modalità standard e modalità di compatibilità. Queste opzioni sono disponibili in tutti i server V4.
La licenza di aggiornamento Lenovo XClarity Controller 3 Premier viene fornita con una terza modalità di sicurezza: modalità rigorosa aziendale. Questa modalità è più idonea per requisiti di sicurezza di alto livello.
La modalità di sicurezza rigorosa aziendale è la modalità più sicura.
Tutti gli algoritmi di crittografia utilizzati da BMC sono conformi a CNSA 1.0.
BMC opera in modalità di convalida FIPS 140-3.
Richiede certificati di livello rigoroso aziendale.
È possibile abilitare solo i servizi che supportano la crittografia CNSA 1.0.
Richiede l'abilitazione della chiave Feature on Demand.
La modalità standard è la modalità di sicurezza predefinita.
Tutti gli algoritmi di crittografia utilizzati da BMC sono conformi a FIPS 140-3.
BMC opera in modalità di convalida FIPS 140-3 quando tutti i servizi abilitati utilizzano la crittografia conforme a FIPS 140-3.
Richiede certificati di livello standard.
I servizi che richiedono la crittografia e che non supportano la crittografia conforme a FIPS 140-3 sono disabilitati per impostazione predefinita.
La modalità di compatibilità è la modalità da utilizzare quando servizi e client richiedono crittografia non conforme alle modalità rigorosa aziendale/standard.
È supportata un'ampia gamma di algoritmi di crittografia.
Quando questa modalità è abilitata, BMC NON funziona in modalità di convalida standard.
Consente di abilitare tutti i servizi.
Suite di crittografia TLS supportate
Suite di crittografia TLS | Modalità di sicurezza | Versione TLS |
---|---|---|
TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Funzione/Servizio | Utilizza la crittografia | Stato predefinito | Supportato in modalità rigorosa | Supportato in modalità standard | Supportato in modalità di compatibilità |
---|---|---|---|---|---|
IPMI-over-KCS | No | Abilitato | Sì | Sì | Sì |
IPMI-over-LAN | Sì | Disabilitata | No | Sì | Sì |
Trap SNMPv1 | No | Non configurato | No | Sì | Sì |
Trap SNMPv3 | Sì | Non configurato | No | Sì Se abilitato, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS | Sì |
Agent SNMPv3 | Sì | Non configurato | No | Sì Se abilitato, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS | Sì |
Avvisi e-mail | Sì | Non configurato | Sì NON può essere abilitato con autenticazione CRAM-MD5 | Sì Se è richiesta l'autenticazione CRAM-MD5, verrà visualizzato un avviso per l'utilizzo della crittografia non FIPS. | Sì |
Avvisi Syslog | No | Non configurato | No | Sì | Sì |
TLS 1.2 | Sì | Abilitato | Sì | Sì | Sì |
TLS 1.3 | Sì | Abilitato | Sì | Sì | Sì |
Web-over-HTTPS | Sì | Abilitato | Sì | Sì | Sì |
Redfish su HTTPS | Sì | Abilitato | Sì | Sì | Sì |
SSDP | No | Abilitato | Sì | Sì | Sì |
SSH-CLI | Sì | Abilitato | Sì | Sì | Sì |
SFTP | Sì | Disabilitata | Sì | Sì | Sì |
LDAP | No | Non configurato | No | Sì | Sì |
LDAP sicuro | Sì | Non configurato | Sì | Sì | Sì |
Gestione della chiave di sicurezza | Sì | Non configurato | Sì | Sì | Sì |
Console remota | Sì | Abilitato | Sì | Sì | Sì |
Supporti virtuali - CIFS | Sì | Non configurato | No | Sì | Sì |
Supporti virtuali - NFS | No | Non configurato | No | Sì | Sì |
Supporti virtuali - HTTPTF | Sì | Non configurato | Sì | Sì | Sì |
RDOC - Locale | Sì | Non configurato | Sì | Sì | Sì |
RDOC - CIFS | Sì | Non configurato | No | Sì | Sì |
RDOC - HTTP | No | Non configurato | No | Sì | Sì |
RDOC - HTTPS | Sì | Non configurato | Sì | Sì | Sì |
RDOC - FTP | No | Non configurato | No | Sì | Sì |
RDOC - SFTP | Sì | Non configurato | Sì | Sì | Sì |
Caricamento FFDC (SFTP) | Sì | Abilitato | Sì | Sì | Sì |
Caricamento FFDC (TFTP) | No | Abilitato | No | Sì | Sì |
Aggiornamento da repository - CIFS | Sì | Non configurato | No | Sì | Sì |
Aggiornamento da repository - NFS | No | Non configurato | No | Sì | Sì |
Aggiornamento da repository - HTTP | No | Non configurato | No | Sì | Sì |
Aggiornamento da repository - HTTPS | Sì | Non configurato | Sì | Sì | Sì |
Call Home | Sì | Disabilitata | Sì | Sì | Sì |
Password di terze parti | Sì | Non configurato | No | Sì | Sì |
Inoltro porta | N/D | Disabilitata | Sì | Sì | Sì |