メインコンテンツまでスキップ

セキュリティー・モード

このトピックは、セキュリティー・モードの概要です。

XCC 標準ライセンスを使用すると、ユーザーは 2 つのセキュリティー・モード (標準モードと互換性モード) でサーバーを構成することができます。これらはすべての V4 サーバーで使用できます。

Lenovo XClarity Controller 3 Premier アップグレード・ライセンスでは、3 つ目のセキュリティー・モードであるエンタープライズ・ストリクト・モードを利用できます。このモードは、セキュリティー要件のレベルが高い場合に最も適しています。

デフォルトでは、XCC は ECDSA 自己署名証明書を使用し、ECDSA ベースのアルゴリズムのみ使用できます。RSA ベースの証明書を使用するには、CSR を生成し、内部または外部 CA で署名した後、署名された証明書を XCC にインポートします。
エンタープライズ・ストリクト・セキュリティー・モード
  • エンタープライズ・ストリクト・セキュリティー・モードが最もセキュアなモードです。

  • BMC は FIPS 140-3 で検証されたモードで動作します。

  • エンタープライズ・ストリクト・グレードの証明書が必要です。

  • エンタープライズ・ストリクト・レベルの暗号化をサポートするサービスのみ使用できます。

  • Lenovo XClarity Controller 3 Premier アップグレード・ライセンスを有効にする必要があります。

  • CNSA 暗号化アルゴリズムを使用できます。

標準セキュリティー・モード
  • 標準モードはデフォルトのセキュリティー・モードです。

  • BMC によって使用されるすべての暗号化アルゴリズムは FIPS 140-3 に準拠しています。

  • BMC は FIPS 140-3 で検証されたモードで動作します。

  • 標準グレードの証明書が必要です。

  • 標準レベルの暗号化をサポートしない暗号化を必要とするサービスは、デフォルトでは無効になっています。

  • CNSA アルゴリズムは、Lenovo XClarity Controller 3 Premier アップグレード・ライセンスがインストールされている場合に使用できます。

互換性モード
  • 互換性モードは、サービスおよびクライアントでエンタープライズ・ストリクト/標準準拠ではない暗号化が必要な場合に使用するモードです。

  • より広範な暗号化アルゴリズムがサポートされています。

  • このモードが有効になっている場合、BMC は FIPS 140-3 検証済みモードで動作しません

  • すべてのサービスを有効にすることができます。

  • 互換性を最大化するために、広範な暗号スイートをサポートしています。

サポートされる TLS 暗号スイート

TLS 暗号化設定は、サポートされる TLS 暗号スイートを BMC サービスに対して制限するために使用されます。
TLS 暗号スイートセキュリティー・モードTLS バージョン
TLS_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • 互換性
TLS 1.3
TLS_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • 標準
  • 互換性
TLS 1.3
TLS_AES_128_CCM_SHA256
  • 標準
  • 互換性
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • エンタープライズ・ストリクト
  • 標準*
  • 互換性*
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • 互換性
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • 標準
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • 互換性
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • 互換性
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • 互換性
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • 互換性
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • 互換性
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • 互換性
TLS 1.2
表にリストされているアスタリスク (*) の付いたセキュリティー・モードでは、Lenovo XClarity Controller 3 Premier アップグレード・ライセンスが必要です。
3 つのセキュリティー・モードのサービス・マトリックス

機能/サービス

暗号を使用

出荷時デフォルト状態

ストリクト・モードでサポートされる

標準モードでサポートされる

互換性モードでサポートされる

IPMI-over-KCS

なし

使用可能

あり

あり

あり

IPMI-over-LAN

あり

無効

なし

あり

あり

SNMPv1 トラップ

なし

構成なし

なし

あり

あり

SNMPv3 トラップ

あり

構成なし

なし

あり

有効な場合、FIPS 以外の暗号の使用が警告される

あり

SNMPv3 エージェント

あり

構成なし

なし

あり

有効な場合、FIPS 以外の暗号の使用が警告される

あり

メール・アラート

あり

構成なし

あり

CRAM-MD5 認証によって有効にすることはできない

あり

CRAM-MD5 が有効な場合、FIPS 以外の暗号の使用が警告される

あり

Syslog アラート

なし

構成なし

なし

あり

あり

TLS 1.2

あり

使用可能

あり

あり

あり

TLS 1.3

あり

使用可能

あり

あり

あり

Web over HTTPS

あり

使用可能

あり

あり

あり

Redfish over HTTPS

あり

使用可能

あり

あり

あり

SSDP

なし

使用可能

あり

あり

あり

SSH-CLI

あり

使用可能

あり

あり

あり

SFTP

あり

無効

あり

あり

あり

LDAP

なし

構成なし

なし

あり

あり

セキュア LDAP

あり

構成なし

あり

あり

あり

セキュリティー・キー管理

あり

構成なし

あり

あり

あり

リモート・コンソール

あり

使用可能

あり

あり

あり

仮想メディア - CIFS

あり

構成なし

なし

あり

あり

仮想メディア - NFS

なし

構成なし

なし

あり

あり

仮想メディア - HTTPFS

あり

構成なし

あり

あり

あり

RDOC - ローカル

あり

構成なし

あり

あり

あり

RDOC - CIFS

あり

構成なし

なし

あり

あり

RDOC - HTTP

なし

構成なし

なし

あり

あり

RDOC - HTTPS

あり

構成なし

あり

あり

あり

RDOC - FTP

なし

構成なし

なし

あり

あり

RDOC - SFTP

あり

構成なし

あり

あり

あり

FFDC アップロード (SFTP)

あり

使用可能

あり

あり

あり

FFDC アップロード (TFTP)

なし

使用可能

なし

あり

あり

リポジトリーからの更新 - CIFS

あり

構成なし

なし

あり

あり

リポジトリーからの更新 - NFS

なし

構成なし

なし

あり

あり

リポジトリーからの更新 - HTTP

なし

構成なし

なし

あり

あり

リポジトリーからの更新 - HTTPS

あり

構成なし

あり

あり

あり

コール・ホーム

あり

無効

あり

あり

あり

サード・パーティー・パスワード

あり

構成なし

なし

あり

あり

ポート転送

該当なし

無効

あり

あり

あり