セキュリティー・モード
このトピックは、セキュリティー・モードの概要です。
XCC 標準ライセンスを使用すると、ユーザーは 2 つのセキュリティー・モード (標準モードと互換性モード) でサーバーを構成することができます。これらはすべての V4 サーバーで使用できます。
Lenovo XClarity Controller 3 Premier アップグレード・ライセンスでは、3 つ目のセキュリティー・モードであるエンタープライズ・ストリクト・モードを利用できます。このモードは、セキュリティー要件のレベルが高い場合に最も適しています。
エンタープライズ・ストリクト・セキュリティー・モードが最もセキュアなモードです。
BMC は FIPS 140-3 で検証されたモードで動作します。
エンタープライズ・ストリクト・グレードの証明書が必要です。
エンタープライズ・ストリクト・レベルの暗号化をサポートするサービスのみ使用できます。
Lenovo XClarity Controller 3 Premier アップグレード・ライセンスを有効にする必要があります。
CNSA 暗号化アルゴリズムを使用できます。
標準モードはデフォルトのセキュリティー・モードです。
BMC によって使用されるすべての暗号化アルゴリズムは FIPS 140-3 に準拠しています。
BMC は FIPS 140-3 で検証されたモードで動作します。
標準グレードの証明書が必要です。
標準レベルの暗号化をサポートしない暗号化を必要とするサービスは、デフォルトでは無効になっています。
CNSA アルゴリズムは、Lenovo XClarity Controller 3 Premier アップグレード・ライセンスがインストールされている場合に使用できます。
互換性モードは、サービスおよびクライアントでエンタープライズ・ストリクト/標準準拠ではない暗号化が必要な場合に使用するモードです。
より広範な暗号化アルゴリズムがサポートされています。
このモードが有効になっている場合、BMC は FIPS 140-3 検証済みモードで動作しません。
すべてのサービスを有効にすることができます。
互換性を最大化するために、広範な暗号スイートをサポートしています。
サポートされる TLS 暗号スイート
| TLS 暗号スイート | セキュリティー・モード | TLS バージョン |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
機能/サービス | 暗号を使用 | 出荷時デフォルト状態 | ストリクト・モードでサポートされる | 標準モードでサポートされる | 互換性モードでサポートされる |
|---|---|---|---|---|---|
IPMI-over-KCS | なし | 使用可能 | あり | あり | あり |
IPMI-over-LAN | あり | 無効 | なし | あり | あり |
SNMPv1 トラップ | なし | 構成なし | なし | あり | あり |
SNMPv3 トラップ | あり | 構成なし | なし | あり 有効な場合、FIPS 以外の暗号の使用が警告される | あり |
SNMPv3 エージェント | あり | 構成なし | なし | あり 有効な場合、FIPS 以外の暗号の使用が警告される | あり |
メール・アラート | あり | 構成なし | あり CRAM-MD5 認証によって有効にすることはできない | あり CRAM-MD5 が有効な場合、FIPS 以外の暗号の使用が警告される | あり |
Syslog アラート | なし | 構成なし | なし | あり | あり |
TLS 1.2 | あり | 使用可能 | あり | あり | あり |
TLS 1.3 | あり | 使用可能 | あり | あり | あり |
Web over HTTPS | あり | 使用可能 | あり | あり | あり |
Redfish over HTTPS | あり | 使用可能 | あり | あり | あり |
SSDP | なし | 使用可能 | あり | あり | あり |
SSH-CLI | あり | 使用可能 | あり | あり | あり |
SFTP | あり | 無効 | あり | あり | あり |
LDAP | なし | 構成なし | なし | あり | あり |
セキュア LDAP | あり | 構成なし | あり | あり | あり |
セキュリティー・キー管理 | あり | 構成なし | あり | あり | あり |
リモート・コンソール | あり | 使用可能 | あり | あり | あり |
仮想メディア - CIFS | あり | 構成なし | なし | あり | あり |
仮想メディア - NFS | なし | 構成なし | なし | あり | あり |
仮想メディア - HTTPFS | あり | 構成なし | あり | あり | あり |
RDOC - ローカル | あり | 構成なし | あり | あり | あり |
RDOC - CIFS | あり | 構成なし | なし | あり | あり |
RDOC - HTTP | なし | 構成なし | なし | あり | あり |
RDOC - HTTPS | あり | 構成なし | あり | あり | あり |
RDOC - FTP | なし | 構成なし | なし | あり | あり |
RDOC - SFTP | あり | 構成なし | あり | あり | あり |
FFDC アップロード (SFTP) | あり | 使用可能 | あり | あり | あり |
FFDC アップロード (TFTP) | なし | 使用可能 | なし | あり | あり |
リポジトリーからの更新 - CIFS | あり | 構成なし | なし | あり | あり |
リポジトリーからの更新 - NFS | なし | 構成なし | なし | あり | あり |
リポジトリーからの更新 - HTTP | なし | 構成なし | なし | あり | あり |
リポジトリーからの更新 - HTTPS | あり | 構成なし | あり | あり | あり |
コール・ホーム | あり | 無効 | あり | あり | あり |
サード・パーティー・パスワード | あり | 構成なし | なし | あり | あり |
ポート転送 | 該当なし | 無効 | あり | あり | あり |