セキュリティー・モード
このトピックは、セキュリティー・モードの概要です。
XCC 標準ライセンスを使用すると、ユーザーは 2 つのセキュリティー・モード (標準モードと互換性モード) でサーバーを構成することができます。これらはすべての V4 サーバーで使用できます。
Lenovo XClarity Controller 3 Premier アップグレード・ライセンスでは、3 つ目のセキュリティー・モードであるエンタープライズ・ストリクト・モードを利用できます。このモードは、セキュリティー要件のレベルが高い場合に最も適しています。
エンタープライズ・ストリクト・セキュリティー・モードが最もセキュアなモードです。
BMC によって使用されるすべての暗号化アルゴリズムは CNSA 1.0 に準拠しています。
BMC は FIPS 140-3 で検証されたモードで動作します。
エンタープライズ・ストリクト・グレードの証明書が必要です。
CNSA 1.0 暗号化をサポートするサービスのみを有効にできます。
Feature on Demand キーを有効にする必要があります。
標準モードはデフォルトのセキュリティー・モードです。
BMC によって使用されるすべての暗号化アルゴリズムは FIPS 140-3 に準拠しています。
すべての有効なサービスで FIPS 140-3 準拠の暗号化が使用されている場合、BMC は FIPS 140-3 検証済みモードで動作します。
標準グレードの証明書が必要です。
FIPS 140-3 準拠の暗号化をサポートしない暗号化を必要とするサービスは、デフォルトでは無効になっています。
互換性モードは、サービスおよびクライアントでエンタープライズ・ストリクト/標準準拠ではない暗号化が必要な場合に使用するモードです。
より広範な暗号化アルゴリズムがサポートされています。
このモードが有効になっている場合、BMC は標準検証済みモードで動作しません。
すべてのサービスを有効にすることができます。
サポートされる TLS 暗号スイート
| TLS 暗号スイート | セキュリティー・モード | TLS バージョン |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
機能/サービス | 暗号を使用 | 出荷時デフォルト状態 | ストリクト・モードでサポートされる | 標準モードでサポートされる | 互換性モードでサポートされる |
|---|---|---|---|---|---|
IPMI-over-KCS | いいえ | 使用可能 | はい | はい | はい |
IPMI-over-LAN | はい | 無効 | いいえ | はい | はい |
SNMPv1 トラップ | いいえ | 構成なし | いいえ | はい | はい |
SNMPv3 トラップ | はい | 構成なし | いいえ | はい 有効な場合、FIPS 以外の暗号の使用が警告される | はい |
SNMPv3 エージェント | はい | 構成なし | いいえ | はい 有効な場合、FIPS 以外の暗号の使用が警告される | はい |
メール・アラート | はい | 構成なし | はい CRAM-MD5 認証によって有効にすることはできない | はい CRAM-MD5 が有効な場合、FIPS 以外の暗号の使用が警告される | はい |
Syslog アラート | いいえ | 構成なし | いいえ | はい | はい |
TLS 1.2 | はい | 使用可能 | はい | はい | はい |
TLS 1.3 | はい | 使用可能 | はい | はい | はい |
Web over HTTPS | はい | 使用可能 | はい | はい | はい |
Redfish over HTTPS | はい | 使用可能 | はい | はい | はい |
SSDP | いいえ | 使用可能 | はい | はい | はい |
SSH-CLI | はい | 使用可能 | はい | はい | はい |
SFTP | はい | 無効 | はい | はい | はい |
LDAP | いいえ | 構成なし | いいえ | はい | はい |
セキュア LDAP | はい | 構成なし | はい | はい | はい |
セキュリティー・キー管理 | はい | 構成なし | はい | はい | はい |
リモート・コンソール | はい | 使用可能 | はい | はい | はい |
仮想メディア - CIFS | はい | 構成なし | いいえ | はい | はい |
仮想メディア - NFS | いいえ | 構成なし | いいえ | はい | はい |
仮想メディア - HTTPFS | はい | 構成なし | はい | はい | はい |
RDOC - ローカル | はい | 構成なし | はい | はい | はい |
RDOC - CIFS | はい | 構成なし | いいえ | はい | はい |
RDOC - HTTP | いいえ | 構成なし | いいえ | はい | はい |
RDOC - HTTPS | はい | 構成なし | はい | はい | はい |
RDOC - FTP | いいえ | 構成なし | いいえ | はい | はい |
RDOC - SFTP | はい | 構成なし | はい | はい | はい |
FFDC アップロード (SFTP) | はい | 使用可能 | はい | はい | はい |
FFDC アップロード (TFTP) | いいえ | 使用可能 | いいえ | はい | はい |
リポジトリーからの更新 - CIFS | はい | 構成なし | いいえ | はい | はい |
リポジトリーからの更新 - NFS | いいえ | 構成なし | いいえ | はい | はい |
リポジトリーからの更新 - HTTP | いいえ | 構成なし | いいえ | はい | はい |
リポジトリーからの更新 - HTTPS | はい | 構成なし | はい | はい | はい |
コール・ホーム | はい | 無効 | はい | はい | はい |
サード・パーティー・パスワード | はい | 構成なし | いいえ | はい | はい |
ポート転送 | 該当なし | 無効 | はい | はい | はい |