「Data Domain：DD Boostのグローバル認証と暗号化

Boost暗号化と認証は、クライアントの互換性に依存します。以下の情報と表を確認してください
認証と暗号化の設定は、このドキュメントで詳しく説明する 3 つの方法で指定できます。

インフライト暗号化
インフライト暗号化を使用すると、保護システムからLANを介してバックアップまたはリストアするインフライト データをアプリケーションで暗号化できます。この機能は、より安全なデータ転送機能を提供するために導入されました。
構成されている場合、クライアントはTLSを使用してクライアントと保護システムの間のセッションを暗号化できます。使用される具体的な暗号スイートは、次の表のとおりです。

DD Boost Client 3.3～7.0および7.5以降

DD Boost Client 3.3～7.0および7.5以降（続き）

DD Boost Client 7.1～7.4

DD Boost Client 7.1～7.4（続き）

DDOS 7.12以降では、新規インストールの場合、 認証 モードは none で、暗号化強度 はデフォルトで medium です。

デフォルトのグローバル オプションは下位互換性があります。つまり、次のようになります。

•  DD Boostライブラリーを更新する必要はありません。既存のすべてのクライアントとアプリケーションは、新しいオプションのデフォルト設定で同じように作動します。
• TLS証明書を使用するクライアントとアプリケーションは、変更なしで引き続き作動します。

グローバル認証と暗号化
DD Boostは、MITM(中間者攻撃)からシステムを保護するためのグローバル認証および暗号化オプションを提供します
グローバル オプションを使用すると、新しいクライアントが確実に保護されるだけでなく、クライアントごとに異なる値を構成することもできます。さらに、クライアント設定はセキュリティを強化するのみで低下することはありません。
グローバル認証モードと暗号化の強度を設定すると、認証と暗号化の最小レベルが確立されます。すべてのクライアントによるすべての接続試行では、これらのレベルを満たすか、それを超える必要があります。

デフォルトのグローバル オプションは下位互換性があります。つまり、次のようになります。

• DD Boostライブラリーをアップデートする必要はありません。
  既存のすべてのクライアントとアプリケーションは、新しいオプションのデフォルト設定で同じように動作します。
• 暗号化が追加されていないため、パフォーマンスには影響しません。
• TLS証明書を使用するクライアントとアプリケーションは、変更なしで引き続き作動します。
  グローバル設定がデフォルト設定と異なる場合は、既存のクライアントのアップデートが必要になることがあります。

認証と暗号化の設定方法
認証と暗号化の設定は、3つの方法で指定できます。

• 接続要求
  これを行うには、 ddp_connect_with_config クライアント アプリケーションのAPI。
• クライアントごとの設定
  これを行うには、保護システムでCLIコマンドを使用します。
• グローバル設定
  これを行うには、保護システムでCLIコマンドを使用します。

クライアントごとの値とグローバル値の両方が設定されている場合は、より強い、またはより高い設定が適用されます。弱い認証または暗号化設定で接続しようとするクライアントは拒否されます。

認証と暗号化の設定
認証と暗号化の設定を決定する際には、いくつかの要因を考慮することができます。ただし、セキュリティを最大限に高めるために、常に使用可能な最大設定を選択することをお勧めします。
最大限のセキュリティはパフォーマンスに影響します。最大限のセキュリティが要求されない制御された環境がある場合は、他の設定を使用できます。

グローバル設定
グローバル設定は、認証と暗号化の最小レベルを決定します。これらの基準を満たさない接続の試行は失敗します。

クライアントごとの設定
クライアントごとの設定が定義されている場合、選択する設定は、クライアントごとの最大認証設定および最大グローバル認証設定と一致するか、それ以上である必要があります。
例えば：

• クライアントが two-way password authentication で、グローバル認証設定が two-way TLSそうしたら two-way TLS 認証を使用する必要があります。
• クライアントが認証設定で構成されている場合 two-way TLS グローバル設定は two-way passwordsそうしたら two-way TLS を使用する必要があります。

呼び出し元が指定した値
呼び出し元が指定した値がグローバル設定またはクライアントごとの設定よりも小さい場合、接続は許可されません。ただし、呼び出し元が指定した値がグローバル設定またはクライアントごとの設定よりも大きい場合は、呼び出し元が指定した値を使用して接続が確立されます
たとえば、呼び出し元が two-way-password ただし、グローバル値またはクライアントごとの値は two-wayの場合、接続の試行は失敗します。ただし、呼び出し元が two-way グローバル値とクライアントごとの値は two-way-password、 two-way 認証が使用されます。

認証と暗号化のオプション
許可されている3つの設定のいずれかを、グローバル認証と暗号化の設定の両方に対して選択できます。
クライアントごとの設定では、5つの認証設定と3つの暗号化設定（グローバルと同じ暗号化設定）が許可されます。

グローバル認証と暗号化のオプション
global-authentication-modeオプションとglobal-encryption-strengthオプションには、さまざまな選択肢があります。

認証設定
次のリストでは、認証の値が弱いものから最も強いものの順に記載されています。

1. none
   安全ではありません。これがデフォルト設定です。

2. anonymous
   このオプションはMITM攻撃に対して安全ではありません。
   転送中のデータは暗号化されます。

3. one-way
   この方法では、証明書を使用する必要があります。
   MITM攻撃に対して安全ではありません
   転送中のデータは暗号化されます。

4. two-way-password
   このオプションは、MITM攻撃に対して安全です。
   転送中のデータは暗号化されます。

5. two-way
   このオプションには、certificates.
   のユーザーが必要ですこれは最も安全なオプションであり、MITM攻撃に対して安全です。
   転送中のデータは暗号化されます。

暗号化設定
次のリストでは、暗号化の値が最も弱いものから強いものの順に記載されています。

1. none
   安全ではありません。これがデフォルト設定です
   認証が「none」の場合にのみ指定できます。

2. medium
   AES 128およびSHA-1を採用

3. high
   AES 256およびSHA-1を採用

グローバル認証
3つのglobal-authentication-modeオプションは、異なるレベルの保護と後方互換性を提供します。
グローバル認証と暗号化の値は、DD Boostサーバー上のコマンドライン インターフェイス(CLI)コマンドでのみ設定できます。これらの値を設定するために使用するCLIコマンドについては、次のセクションで説明します。

なし

ddboost option set global-authentication-mode none
global-encryption-strength none

これは、最も安全性が低いオプションですが、最も下位互換性のあるオプションです
選択できます none システムに重要なパフォーマンス要件があり、MITM攻撃からの保護が必要ない場合
お使いのシステムは、TLSによるパフォーマンスの低下を受けることなく、以前と同じように動作できます
認証に noneの場合、暗号化設定を noneの詳細を確認してください。

双方向パスワード

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

「two-way password」方式では、TLSと事前共有キー(PSK)認証を使用した双方向認証を実行します。クライアントと保護システムの両方が、事前に確立されたパスワードを使用して認証されます。このオプションを選択すると、クライアントと保護システム間のすべてのデータとメッセージが暗号化されます。
このオプションは、DD Boost for OpenStorageで使用可能な唯一の安全なオプションであり、中間者攻撃(MITM)から完全に保護されます。
暗号化の強度は、「medium」または「high」である必要があります。
「two-way password」認証は、MITMに対して安全であり、呼び出し元が指定しなくても実行できる唯一の方法です。

双 方向

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

これは最も安全なオプションです。
「two-way」オプションでは、TLS証明書が採用されます。「two-way」認証は、アプリケーションによって提供された証明書を使用して実現されます。
この設定は、既存の証明書の使用と互換性があります。グローバル認証を two-way 保護システムに接続するすべてのアプリケーションで証明書をサポートおよび提供する必要があります。
証明書をサポートせず、双方向認証を指定せず、 ddp_connect_with_config APIが失敗します。

後方互換性のシナリオ
古いクライアントと新しい保護システム
この場合、DDOS 6.1以降では、Boostライブラリーを使用するアプリケーションが採用されます。このシナリオでは、クライアントは「two-way-password」認証を実行できません。その結果、次のような影響があります。

• すべてのグローバル認証設定は、 none または two-way クライアントは実行できないため two-way-password authentication.
  クライアントごとの認証設定には、次以外の任意の値を指定できます two-way-password 同じ理由で。
• グローバル設定またはクライアントごとの設定で「two-way password」を設定すると、古いクライアント ライブラリーを使用しているアプリケーションは失敗します。
• 新しい保護システムは、古いクライアントの既存の接続プロトコルをサポートします。

新しいクライアントと古い保護システム
古い保護システムでは、次の処理を実行できません two-way-password 認証には、次のような影響があります。

• グローバル認証や暗号化の設定はありません。
• クライアントごとの保護システム認証設定を two-way passwordの詳細を確認してください。
• クライアントはまず、新しい接続プロトコルまたは RPC の使用を試みます。障害が発生すると、クライアントは古いプロトコルに戻ります。
• クライアントは、次以外の認証方法で接続できます。 two-way-passwordの詳細を確認してください。

認証と暗号化の設定例
次の表は、呼び出し、クライアントごとの設定、およびグローバル設定を使用して設定を指定する例と、これらの設定が成功するかどうかを示しています
これらの例は、DDOS 6.1以降の保護システムにDD Boostクライアント接続があることを前提としています。これらの例は、「後方互換性のシナリオ」で説明されているいずれの状況にも適用されません。

1つの設定

複数の設定

「Data Domain：DD Boostクライアントのデフォルトの認証モードでは、ネットワーク経由の暗号化は提供されません」
「Data Domain：DD Boostの証明書の管理」