Modo de segurança
Este tópico é uma visão geral do modo de segurança.
A licença Padrão do XCC permite que os usuários configurem seus servidores em um dos dois Modos de segurança: Modo padrão e Modo de compatibilidade. Eles estão disponíveis em todos os servidores V4.
A licença de upgrade Premier do Lenovo XClarity Controller 3 vem com um terceiro modo de segurança: Modo estrito corporativo. Esse modo é mais adequado para requisitos de segurança de alto nível.
O Modo de segurança estrito corporativo é o modo mais seguro.
Todos os algoritmos criptográficos usados pelo BMC são compatíveis com CNSA 1.0.
O BMC opera no modo validado FIPS 140-3.
Requer certificados de classificação estrita corporativa.
Somente os serviços que suportam criptografia CNSA 1.0 podem ser habilitados.
Requer a Chave do Feature on Demand para habilitar.
O modo padrão é o modo de segurança padrão.
Todos os algoritmos criptográficos usados pelo BMC são compatíveis com FIPS 140-3.
O BMC opera no modo validado FIPS 140-3 quando todos os serviços habilitados usam criptografia compatível com FIPS 140-3.
Requer certificados de classificação padrão.
Os serviços que requerem criptografia que não suporta criptografia compatível com FIPS 140-3 são desativados por padrão.
O Modo de compatibilidade é o modo a ser usado quando os serviços e os clientes requerem criptografia que não seja compatível com o modo estrito corporativo/padrão.
Um intervalo maior de algoritmos criptográficos é suportado.
Quando esse modo estiver habilitado, o BMC NÃO está operando no modo validado pelo padrão.
Permite que todos os serviços sejam habilitados.
Conjuntos de criptografia TLS suportados
| Conjuntos de criptografia TLS | Modo de segurança | Versão do TLS |
|---|---|---|
| TLS_AES_256_GCM_SHA384 |
| TLS 1.3 |
| TLS_CHACHA20_POLY1305_SHA256 |
| TLS 1.3 |
| TLS_AES_128_GCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_SHA256 |
| TLS 1.3 |
| TLS_AES_128_CCM_8_SHA256 |
| TLS 1.3 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
| TLS 1.2 |
| TLS_DHE_RSA_LATH_AES_256_GCM_SHA384 |
| TLS 1.2 |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U |
| TLS 1.2 |
| TLS_RSA_WITH_AES_256_CBC_SHA256 |
| TLS 1.2 |
| TLS_RSA_WITH_AES_128_CBC_SHA256 |
| TLS 1.2 |
Recurso/serviço | Usa criptografia | Estado padrão fora da caixa | Suportado no Modo Estrito | Suportado no Modo Padrão | Suportado no Modo de Compatibilidade |
|---|---|---|---|---|---|
IPMI sobre KCS | Não | Habilitado | Sim | Sim | Sim |
IPMI sobre LAN | Sim | Desabilitado | Não | Sim | Sim |
Traps SNMPv1 | Não | Não configurado | Não | Sim | Sim |
Traps SNMPv3 | Sim | Não configurado | Não | Sim Se ativado, alertará para o uso de criptografia não FIPS | Sim |
Agente do SNMPv3 | Sim | Não configurado | Não | Sim Se ativado, alertará para o uso de criptografia não FIPS | Sim |
Alertas de e-mail | Sim | Não configurado | Sim Não é possível ativar com Autenticação CRAM-MD5 | Sim Se CRAM-MD5 for necessário, alertará para o uso de criptografia não FIPS. | Sim |
Alertas do syslog | Não | Não configurado | Não | Sim | Sim |
TLS 1.2 | Sim | Habilitado | Sim | Sim | Sim |
TLS 1.3 | Sim | Habilitado | Sim | Sim | Sim |
Web sobre HTTPS | Sim | Habilitado | Sim | Sim | Sim |
Redfish sobre HTTPS | Sim | Habilitado | Sim | Sim | Sim |
SSDP | Não | Habilitado | Sim | Sim | Sim |
SSH-CLI | Sim | Habilitado | Sim | Sim | Sim |
SFTP | Sim | Desabilitado | Sim | Sim | Sim |
LDAP | Não | Não configurado | Não | Sim | Sim |
LDAP seguro | Sim | Não configurado | Sim | Sim | Sim |
Gerenciamento de chave de segurança | Sim | Não configurado | Sim | Sim | Sim |
Console Remoto | Sim | Habilitado | Sim | Sim | Sim |
Mídia virtual – CIFS | Sim | Não configurado | Não | Sim | Sim |
Mídia virtual – NFS | Não | Não configurado | Não | Sim | Sim |
Mídia virtual - HTTPFS | Sim | Não configurado | Sim | Sim | Sim |
RDOC – Local | Sim | Não configurado | Sim | Sim | Sim |
RDOC – CIFS | Sim | Não configurado | Não | Sim | Sim |
RDOC – HTTP | Não | Não configurado | Não | Sim | Sim |
RDOC – HTTPS | Sim | Não configurado | Sim | Sim | Sim |
RDOC – FTP | Não | Não configurado | Não | Sim | Sim |
RDOC – SFTP | Sim | Não configurado | Sim | Sim | Sim |
Upload do FFDC (SFTP) | Sim | Habilitado | Sim | Sim | Sim |
Upload do FFDC (TFTP) | Não | Habilitado | Não | Sim | Sim |
Atualização do repositório – CIFS | Sim | Não configurado | Não | Sim | Sim |
Atualização do repositório – NFS | Não | Não configurado | Não | Sim | Sim |
Atualização do repositório – HTTP | Não | Não configurado | Não | Sim | Sim |
Atualização do repositório – HTTPS | Sim | Não configurado | Sim | Sim | Sim |
Call home | Sim | Desabilitado | Sim | Sim | Sim |
Senha de terceiros | Sim | Não configurado | Não | Sim | Sim |
Encaminhamento de porta | N/D | Desabilitado | Sim | Sim | Sim |