Перейти к основному содержимому

Режим безопасности

В этом разделе представлен обзор режима безопасности.

Лицензия Standard XCC позволяет настраивать серверы в одном из двух режимов безопасности — стандартном режиме и режиме совместимости. Эти режимы доступны на всех серверах V4.

Лицензия на обновление до Lenovo XClarity Controller 3 Premier поставляется с третьим режимом безопасности — строгим корпоративным режимом. Этот режим лучше всего подходит для обеспечения безопасности высокого уровня.

Прим.
По умолчанию XCC использует самозаверяющий сертификат ECDSA и доступны только алгоритмы на базе ECDSA. Для использования сертификата на базе RSA создайте CSR и подпишите его с использованием внутреннего или внешнего ЦС, а затем импортируйте подписанный сертификат в XCC.
Строгий режим корпоративной безопасности
  • Строгий режим корпоративной безопасности — это самый безопасный режим.

  • Все алгоритмы шифрования, используемые BMC, соответствуют требованиям CNSA 1.0.

  • BMC работает в режиме проверки FIPS 140-3.

  • Требуются сертификаты строгого корпоративного уровня.

  • Можно включить только службы, поддерживающие шифрование CNSA 1.0.

  • Для включения требуется ключ Feature on Demand.

Стандартный режим безопасности
  • Стандартный режим — это режим безопасности по умолчанию.

  • Все алгоритмы шифрования, используемые BMC, соответствуют требованиям FIPS 140-3.

  • BMC работает в режиме проверки FIPS 140-3, если все включенные службы используют шифрование, совместимое с FIPS 140-3.

  • Требуются сертификаты стандартного уровня.

  • Службы, требующие шифрования, которые не поддерживают шифрование FIPS 140-3, по умолчанию отключены.

Режим совместимости
  • Режим совместимости следует использовать, когда службы и клиенты требуют шифрования, которое не соответствует строгому корпоративному/стандартному уровню.

  • Поддерживается более широкий диапазон алгоритмов шифрования.

  • Если этот режим включен, BMC НЕ работает в стандартном режиме проверки.

  • Позволяет включить все службы.

Поддерживаемые наборы шифров TLS

Настройка шифрования TLS призвана ограничить поддерживаемые наборы шифров TLS для служб BMC.
Набор шифров TLSРежим безопасностиВерсия TLS
TLS_AES_256_GCM_SHA384
  • Строгий корпоративный
  • Стандартный*
  • Совместимость*
TLS 1.3
TLS_CHACHA20_POLY1305_SHA256
  • Совместимость
TLS 1.3
TLS_AES_128_GCM_SHA256
  • Стандартный
  • Совместимость
TLS 1.3
TLS_AES_128_CCM_SHA256
  • Стандартный
  • Совместимость
TLS 1.3
TLS_AES_128_CCM_8_SHA256
  • Стандартный
  • Совместимость
TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • Строгий корпоративный
  • Стандартный*
  • Совместимость*
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • Строгий корпоративный
  • Совместимость*
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • Строгий корпоративный
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
  • Совместимость
TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
  • Совместимость
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • Стандартный
  • Совместимость
TLS 1.2
   
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • Стандартный
  • Совместимость
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_RSA_WITH_AES_256_GCM_SHA384
  • Стандартный
  • Совместимость
TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256
  • Стандартный
  • Совместимость
TLS 1.2
TLS_DHE_RSA_LATH_AES_256_GCM_SHA384
  • Стандартный
TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U
  • Стандартный
TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
  • Стандартный
TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
  • Стандартный
TLS 1.2
Прим.
Для режимов безопасности, которые указаны в таблице со звездочкой (*), требуется лицензия на обновление до Lenovo XClarity Controller 3 Premier.
Таблица служб в трех режимах безопасности

Функция/служба

Использование шифрования

Состояние по умолчанию (заводское)

Поддерживается в строгом режиме

Поддерживается в стандартном режиме

Поддерживается в режиме совместимости

IPMI через KCS

Нет

Включено

Да

Да

Да

IPMI через локальную сеть

Да

Отключено

Нет

Да

Да

Ловушки SNMPv1

Нет

Не настроено

Нет

Да

Да

Ловушки SNMPv3

Да

Не настроено

Нет

Да

Если включено, будут оповещения об использовании шифрования в режиме, отличном от FIPS

Да

Агент SNMPv3

Да

Не настроено

Нет

Да

Если включено, будут оповещения об использовании шифрования в режиме, отличном от FIPS

Да

Оповещения по электронной почте

Да

Не настроено

Да

При использовании аутентификации CRAM-MD5 включить НЕВОЗМОЖНО

Да

Если требуется применение CRAM-MD5, будут оповещения об использовании шифрования в режиме, отличном от FIPS.

Да

Оповещения Syslog

Нет

Не настроено

Нет

Да

Да

TLS 1.2

Да

Включено

Да

Да

Да

TLS 1.3

Да

Включено

Да

Да

Да

Сеть через HTTPS

Да

Включено

Да

Да

Да

Redfish по протоколу HTTPS

Да

Включено

Да

Да

Да

SSDP

Нет

Включено

Да

Да

Да

SSH-CLI

Да

Включено

Да

Да

Да

SFTP

Да

Отключено

Да

Да

Да

LDAP

Нет

Не настроено

Нет

Да

Да

Безопасный LDAP

Да

Не настроено

Да

Да

Да

Управление ключами безопасности

Да

Не настроено

Да

Да

Да

Удаленная консоль

Да

Включено

Да

Да

Да

Виртуальные носители — CIFS

Да

Не настроено

Нет

Да

Да

Виртуальные носители — NFS

Нет

Не настроено

Нет

Да

Да

Виртуальные носители — HTTPFS

Да

Не настроено

Да

Да

Да

RDOC — локальная среда

Да

Не настроено

Да

Да

Да

RDOC — CIFS

Да

Не настроено

Нет

Да

Да

RDOC — HTTP

Нет

Не настроено

Нет

Да

Да

RDOC — HTTPS

Да

Не настроено

Да

Да

Да

RDOC — FTP

Нет

Не настроено

Нет

Да

Да

RDOC — SFTP

Да

Не настроено

Да

Да

Да

Отправка FFDC (SFTP)

Да

Включено

Да

Да

Да

Отправка FFDC (TFTP)

Нет

Включено

Нет

Да

Да

Обновление из репозитория — CIFS

Да

Не настроено

Нет

Да

Да

Обновление из репозитория — NFS

Нет

Не настроено

Нет

Да

Да

Обновление из репозитория — HTTP

Нет

Не настроено

Нет

Да

Да

Обновление из репозитория — HTTPS

Да

Не настроено

Да

Да

Да

Call Home

Да

Отключено

Да

Да

Да

Сторонний пароль

Да

Не настроено

Нет

Да

Да

Перенаправление портов

Неприменимо

Отключено

Да

Да

Да