โหมดรักษาความปลอดภัย

หัวข้อนี้จะอธิบายเกี่ยวกับภาพรวมของโหมดรักษาความปลอดภัย

สิทธิ์การใช้งาน XCC Standard ช่วยให้ผู้ใช้สามารถกำหนดค่าเซิร์ฟเวอร์ของตนในโหมดความปลอดภัยหนึ่งในสองโหมด: โหมดมาตรฐานและโหมดการทำงานร่วมกัน มีให้ใช้งานในเซิร์ฟเวอร์ V4 ทั้งหมด

สิทธิ์การใช้งาน Lenovo XClarity Controller 3 Premier Upgrade มาพร้อมกับโหมดรักษาความปลอดภัยที่สาม: โหมดเข้มงวดสำหรับองค์กร โหมดนี้เหมาะสมที่สุดสำหรับข้อกำหนดด้านการรักษาความปลอดภัยในระดับสูง

หมายเหตุ

ตามค่าเริ่มต้น XCC จะใช้ใบรับรองที่ลงนามด้วยตนเองของ ECDSA และมีเฉพาะอัลกอริธึมที่ใช้ ECDSA เท่านั้น หากต้องการใช้ใบรับรองที่ใช้ RSA ให้สร้าง CSR และลงนามด้วย CA ภายในหรือภายนอก จากนั้นให้นำเข้าใบรับรองที่ลงนามไปยัง XCC

โหมดการรักษาความปลอดภัยระดับองค์กรแบบรัดกุม

โหมดการรักษาความปลอดภัยระดับองค์กรแบบรัดกุมเป็นโหมดที่ปลอดภัยที่สุด
อัลกอริทึมการเข้ารหัสทั้งหมดที่ BMC ใช้จะสอดคล้องตามมาตรฐาน CNSA 1.0
BMC ดําเนินการในโหมดที่ผ่านมาตรฐาน FIPS 140-3
ต้องมีใบรับรองระดับองค์กรแบบรัดกุม
เฉพาะบริการที่รองรับการเข้ารหัส CNSA 1.0 เท่านั้นที่สามารถเปิดใช้งานได้
ต้องมีคีย์ Feature on Demand ในการเปิดใช้งาน

โหมดการรักษาความปลอดภัยมาตรฐาน

โหมดมาตรฐานเป็นโหมดการรักษาความปลอดภัยตามค่าเริ่มต้น
อัลกอริทึมการเข้ารหัสทั้งหมดที่ BMC ใช้จะสอดคล้องตามมาตรฐาน FIPS 140-3
BMC ทำงานในโหมดที่ผ่านมาตรฐาน FIPS 140-3 เมื่อบริการที่เปิดใช้งานทั้งหมดใช้การเข้ารหัสที่สอดคล้องกับ FIPS 140-3
ต้องมีใบรับรองระดับ Standard
บริการที่ต้องใช้การเข้ารหัสที่ไม่รองรับการเข้ารหัสที่สอดคล้องกับ FIPS 140-3 จะถูกปิดใช้งานตามค่าเริ่มต้น

โหมดความเข้ากันได้

โหมดความเข้ากันได้คือโหมดที่จะใช้เมื่อบริการและไคลเอ็นต์ต้องการใช้การเข้ารหัสที่ไม่สอดคล้องตามมาตรฐานระดับองค์กรแบบรัดกุม/มาตรฐาน
รองรับอัลกอริทึมการเข้ารหัสที่หลากหลายขึ้น
เมื่อโหมดนี้เปิดใช้งาน BMC จะไม่ดําเนินการในโหมดที่ผ่านมาตรฐานระดับ Standard
อนุญาตให้เปิดใช้งานบริการทั้งหมด

ชุดการเข้ารหัส TLS ที่รองรับ

การตั้งค่าการเข้ารหัส TLS คือการจํากัดชุดรหัส TLS ที่รองรับสำหรับบริการ BMC

ชุดรหัส TLS	โหมดรักษาความปลอดภัย	เวอร์ชัน TLS
TLS_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร มาตรฐาน^* การทำงานร่วมกัน^*	TLS 1.3
TLS_CHACHA20_POLY1305_SHA256	การทำงานร่วมกัน	TLS 1.3
TLS_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.3
TLS_AES_128_CCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.3
TLS_AES_128_CCM_8_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.3
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร มาตรฐาน^* การทำงานร่วมกัน^*	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร การทำงานร่วมกัน^*	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	เข้มงวดสำหรับองค์กร	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305	การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305	การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	มาตรฐาน การทำงานร่วมกัน	TLS 1.2

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_RSA_WITH_AES_256_GCM_SHA384	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_RSA_WITH_AES_128_GCM_SHA256	มาตรฐาน การทำงานร่วมกัน	TLS 1.2
TLS_DHE_RSA_LATH_AES_256_GCM_SHA384	มาตรฐาน	TLS 1.2
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA3U	มาตรฐาน	TLS 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256	มาตรฐาน	TLS 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256	มาตรฐาน	TLS 1.2

หมายเหตุ

โหมดความปลอดภัยที่มีเครื่องหมายดอกจัน (*) อยู่ในตารางต้องมีสิทธิ์การใช้งาน Lenovo XClarity Controller 3 Premier Upgrade

เมทริกซ์การบริการในโหมดรักษาความปลอดภัยสามโหมด

คุณลักษณะ/บริการ	ใช้การเข้ารหัส	สถานะเริ่มต้นเมื่อใช้งานครั้งแรก	รองรับในโหมดเข้มงวด	รองรับในโหมดมาตรฐาน	รองรับในโหมดการทำงานร่วมกัน
IPMI-over-KCS	ไม่	เปิดใช้งาน	ใช่	ใช่	ใช่
IPMI-over-LAN	ใช่	ปิดใช้งาน	ไม่	ใช่	ใช่
SNMPv1 traps	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
SNMPv3 traps	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่ หากเปิดใช้งาน จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS	ใช่
SNMPv3 agent	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่ หากเปิดใช้งาน จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS	ใช่
การแจ้งเตือนด้วยอีเมล	ใช่	ไม่มีการกำหนดค่า	ใช่ ไม่สามารถเปิดใช้งานด้วย CRAM-MD5 Authentication	ใช่ หากจำเป็น้องมี CRAM-MD5 จะแจ้งเตือนสำหรับการใช้การเข้ารหัสแบบ non-FIPS	ใช่
การแจ้งเตือน Syslog	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
TLS 1.2	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
TLS 1.3	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
Web over HTTPS	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
Redfish over HTTPS	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
SSDP	ไม่	เปิดใช้งาน	ใช่	ใช่	ใช่
SSH-CLI	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
SFTP	ใช่	ปิดใช้งาน	ใช่	ใช่	ใช่
LDAP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
Secure LDAP	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
การจัดการคีย์การรักษาความปลอดภัย	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
คอนโซลระยะไกล	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
สื่อเสมือน - CIFS	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
สื่อเสมือน - NFS	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
สื่อเสมือน - HTTPFS	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
RDOC - Local	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
RDOC - CIFS	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
RDOC - HTTP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
RDOC - HTTPS	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
RDOC - FTP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
RDOC - SFTP	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
การอัปโหลด FFDC (SFTP)	ใช่	เปิดใช้งาน	ใช่	ใช่	ใช่
การอัปโหลด FFDC (TFTP)	ไม่	เปิดใช้งาน	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล – CIFS	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล - NFS	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล – HTTP	ไม่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
อัปเดตจากที่เก็บข้อมูล – HTTPS	ใช่	ไม่มีการกำหนดค่า	ใช่	ใช่	ใช่
Call Home	ใช่	ปิดใช้งาน	ใช่	ใช่	ใช่
รหัสผ่านบุคคลที่สาม	ใช่	ไม่มีการกำหนดค่า	ไม่	ใช่	ใช่
การฟอร์เวิร์ดพอร์ต	ไม่ระบุ	ปิดใช้งาน	ใช่	ใช่	ใช่

ส่งคำติชม

โหมดรักษาความปลอดภัย

ชุดการเข้ารหัส TLS ที่รองรับ​

ชุดการเข้ารหัส TLS ที่รองรับ