Data Domain: DD Boost 글로벌 인증 및 암호화

암호화 및 인증 수준을 높이는 것은 클라이언트 호환성에 따라 달라집니다. 아래 정보 및 표를 검토하십시오.
인증 및 암호화 설정은 이 문서에서 자세히 설명하는 세 가지 방법으로 지정할 수 있습니다.

전송 중 암호화
전송 중 암호화를 사용하면 애플리케이션이 전송 중 백업을 암호화하거나 LAN을 통해 보호 시스템에서 데이터를 복원할 수 있습니다. 이 기능은 보다 안전한 데이터 전송 기능을 제공하기 위해 도입되었습니다.
구성된 경우 클라이언트는 TLS를 사용하여 클라이언트와 보호 시스템 간의 세션을 암호화할 수 있습니다. 사용되는 특정 암호 그룹은 아래 표와 같습니다.

DD Boost 클라이언트 3.3~7.0 및 7.5 이상

DD Boost 클라이언트 3.3~7.0 및 7.5 이상(계속)

DD Boost 클라이언트 7.1~7.4

DD Boost 클라이언트 7.1~7.4(계속)

DDOS 7.12 이상의 경우 새로 설치하는 경우 Authentication 모드는 none 이고 암호화 강도 는 기본적으로 medium 입니다.

기본 글로벌 옵션은 이전 버전과 호환됩니다. 즉,

•  DD Boost 라이브러리를 업데이트할 필요가 없습니다. 모든 기존 클라이언트 및 애플리케이션은 새 옵션의 기본 설정과 동일한 방식으로 작동합니다.
• TLS(Transport Layer Security)가 있는 인증서를 사용하는 클라이언트 및 애플리케이션은 변경 없이 계속 작동할 수 있습니다.

글로벌 인증 및 암호화
DD Boost는 MITM(man-in-the-middle) 공격으로부터 시스템을 보호하기 위한 글로벌 인증 및 암호화 옵션을 제공합니다.
전역 옵션을 사용하면 새 클라이언트를 보호할 수 있을 뿐 아니라 각 클라이언트에 대해 서로 다른 값을 구성할 수 있습니다. 또한 클라이언트 설정은 보안을 강화하는 것만 가능하며 보안 수준을 낮추는 것은 아닙니다.
글로벌 인증 모드 및 암호화 강도를 설정하면 최소 수준의 인증 및 암호화가 설정됩니다. 모든 클라이언트의 모든 연결 시도는 이러한 수준을 충족하거나 초과해야 합니다.

기본 글로벌 옵션은 이전 버전과 호환됩니다. 즉,

• DD Boost 라이브러리는 업데이트할 필요가 없습니다.
  모든 기존 클라이언트 및 응용 프로그램은 새 옵션의 기본 설정을 사용하는 것과 동일한 방식으로 수행됩니다.
• 추가된 암호화가 없으므로 성능에 영향을 미치지 않습니다.
• TLS(Transport Layer Security)가 있는 인증서를 사용하는 클라이언트 및 애플리케이션은 변경 없이 계속 작동할 수 있습니다.
  글로벌 설정이 기본 설정과 다른 경우 기존 클라이언트를 업데이트해야 할 수 있습니다.

인증 및 암호화 설정 방법
세 가지 방법으로 인증 및 암호화 설정을 지정할 수 있습니다.

• 연결 요청
  다음을 사용하여 이 작업을 수행합니다. ddp_connect_with_config 클라이언트 응용 프로그램의 API입니다.
• 클라이언트별 설정
  보호 시스템에서 CLI 명령을 사용하여 이 작업을 수행할 수 있습니다.
• 전역 설정
  보호 시스템에서 CLI 명령을 사용하여 이 작업을 수행할 수 있습니다.

클라이언트별 값과 글로벌 값이 모두 설정된 경우 더 강력하거나 더 높은 설정이 적용됩니다. 약한 인증 또는 암호화 설정으로 연결을 시도하는 모든 클라이언트는 거부됩니다.

인증 및 암호화 설정
인증 및 암호화 설정을 결정할 때 몇 가지 요소를 고려할 수 있습니다. 그러나 보안을 극대화하려면 항상 사용 가능한 최대 설정을 선택하는 것이 좋습니다.
최대 보안은 성능에 영향을 미칩니다. 최대 보안이 필요하지 않은 통제된 환경이 있는 경우 다른 설정을 사용할 수 있습니다.

글로벌 설정
글로벌 설정은 최소 수준의 인증 및 암호화를 결정합니다. 이러한 기준을 충족하지 않는 연결 시도는 실패합니다.

클라이언트별 설정
클라이언트별로 설정을 정의한 경우 선택한 설정은 클라이언트별 최대 인증 설정 및 최대 글로벌 인증 설정과 일치하거나 더 커야 합니다.
예를 들어 다음과 같습니다.

• 클라이언트가 다음을 요구하도록 구성된 경우 two-way password Authentication이고 Global Authentication(글로벌 인증) 설정은 two-way TLS다음 two-way TLS 인증을 사용해야 합니다.
• 클라이언트가 인증 설정으로 구성된 경우 two-way TLS 전역 설정은 다음과 같습니다. two-way passwords다음 two-way TLS 사용해야 합니다.

호출자 지정 값
호출자 지정 값이 글로벌 또는 클라이언트별 설정보다 낮으면 연결이 허용되지 않습니다. 그러나 호출자가 지정한 값이 전역 또는 클라이언트별 설정보다 높으면 호출자가 지정한 값을 사용하여 연결이 이루어집니다.
예를 들어, 호출자가 two-way-password 그러나 전역 또는 클라이언트당 값은 two-way, 연결 시도가 실패합니다. 그러나 호출자가 two-way global 및 per-client 값은 다음과 같습니다. two-way-password, two-way 인증이 사용됩니다.

인증 및 암호화 옵션
글로벌 설정과 인증 및 암호화 설정 모두에 대해 3가지 허용된 설정 중 하나를 선택할 수 있습니다.
클라이언트별 설정의 경우 5가지 인증 설정과 3가지 암호화 설정(글로벌 설정과 동일한 암호화 설정)이 허용됩니다.

글로벌 인증 및 암호화 옵션
global-authentication-mode 및 global-encryption-strength 옵션을 통해 다양한 선택이 가능합니다.

인증 설정
다음 목록에는 인증 값의 순위가 가장 약한 값에서 가장 강한 값 순으로 나와 있습니다.

1. none
   안전하지 않습니다. 이것이 기본 설정입니다.

2. anonymous
   이 옵션은 MITM 공격에 대해 안전하지 않습니다.
   전송 중인 데이터가 암호화됩니다.

3. one-way
   이 방법을 사용하려면 인증서를 사용해야 합니다.
   이는 MITM 공격에 대해 안전하지 않습니다.
   전송 중인 데이터가 암호화됩니다.

4. two-way-password
   이 옵션은 MITM 공격에 대해 안전합니다.
   전송 중인 데이터가 암호화됩니다.

5. two-way
   이 옵션을 사용하려면 인증서를 사용해야 합니다.
   이는 가장 안전한 옵션이며 MITM 공격에 대해 안전합니다.
   전송 중인 데이터가 암호화됩니다.

암호화 설정
다음 목록에는 암호화 값의 순위가 가장 약한 값에서 가장 강한 값 순으로 나와 있습니다.

1. none
   안전하지 않습니다. 이것이 기본 설정입니다.
   인증이 "none"인 경우에만 지정할 수 있습니다.

2. medium
   AES 128 및 SHA-1 사용

3. high
   AES 256 및 SHA-1 사용

글로벌 인증
세 가지 global-authentication-mode 옵션은 서로 다른 수준의 보호 및 이전 버전과의 호환성을 제공합니다.
글로벌 인증 및 암호화 값은 DD Boost 서버의 CLI(Command Line Interface) 명령을 통해서만 설정할 수 있습니다. 이러한 값을 설정하는 데 사용하는 CLI 명령은 다음 섹션에 설명되어 있습니다.

없음

ddboost option set global-authentication-mode none
global-encryption-strength none

보안은 가장 낮지만 이전 버전과의 호환성이 가장 뛰어난 옵션입니다.
선택할 수 있습니다. none 시스템에 중요한 성능 요구 사항이 있고 MITM 공격으로부터 보호할 필요가 없는 경우.
시스템은 TLS로 인한 성능 저하 없이 이전과 동일한 방식으로 작동할 수 있습니다.
인증에 대해 선택한 설정 중 다음이 아닌 none, 암호화 설정을 none.

two-way-password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

양방향 비밀번호 방법은 PSK(Pre-Shared Key) 인증과 함께 TLS를 사용하여 양방향 인증을 수행합니다. 클라이언트와 보호 시스템은 모두 이전에 설정한 비밀번호를 사용하여 인증됩니다. 이 옵션을 선택하면 클라이언트와 보호 시스템 간의 모든 데이터와 메시지가 암호화됩니다.
이 옵션은 DD Boost for OpenStorage에서 사용할 수 있는 유일한 보안 옵션이며 MITM(Man-in-the-Middle) 공격으로부터 완벽하게 보호합니다.
암호화 강도는 medium 또는 high여야 합니다.
양방향 비밀번호 인증은 MITM에 대해 보안이 유지되고 호출자가 지정하지 않고 수행할 수 있는 유일한 방법이므로 고유합니다.

양방향

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

가장 안전한 옵션입니다.
양방향 옵션은 인증서와 함께 TLS를 사용합니다. 양방향 인증은 애플리케이션에서 제공하는 인증서를 사용하여 수행됩니다.
이 설정은 기존 인증서 사용과 호환됩니다. 글로벌 인증을 다음으로 설정 two-way 보호 시스템에 접속하는 모든 애플리케이션이 인증서를 지원하고 제공해야 합니다.
인증서를 지원하지 않고 양방향 인증을 지정하지 않고 ddp_connect_with_config API가 실패합니다.

이전 버전과의 호환성 시나리오
이전 클라이언트 및 새 보호 시스템
이 경우 Boost 라이브러리를 사용하는 애플리케이션이 DDOS 6.1 이상 버전에 사용됩니다. 이 시나리오에서는 클라이언트가 양방향 비밀번호 인증을 수행할 수 없으며 다음과 같은 결과가 발생합니다.

• 모든 글로벌 인증 설정을 none 또는 two-way 클라이언트가 수행할 수 없기 때문에 two-way-password 인증.
  클라이언트별 인증 설정은 다음을 제외한 모든 값이 될 수 있습니다. two-way-password 같은 이유로.
• 양방향 비밀번호의 글로벌 또는 클라이언트별 설정으로 인해 이전 클라이언트 라이브러리를 사용하는 애플리케이션이 실패하게 됩니다.
• 새 보호 시스템은 이전 클라이언트에 대한 기존 연결 프로토콜을 지원합니다.

새 클라이언트 및 이전 보호 시스템
이전 보호 시스템은 two-way-password 인증은 다음과 같은 파급 효과가 있습니다.

• 글로벌 인증 또는 암호화 설정이 없습니다.
• 클라이언트별 보호 시스템 인증 설정은 two-way password.
• 클라이언트는 먼저 새 연결 프로토콜 또는 RPC를 사용하려고 시도합니다. 실패 시 클라이언트는 이전 프로토콜로 되돌아갑니다.
• 클라이언트는 다음을 제외한 다른 인증 방법으로 연결할 수 있습니다. two-way-password.

인증 및 암호화 설정 예
다음 표에서는 호출, 클라이언트별 설정 및 글로벌 설정을 사용하여 설정을 지정하는 예와 이러한 설정의 성공 여부를 보여 줍니다.
이 예에서는 DDOS 6.1 이상이 설치된 보호 시스템에 DD Boost 클라이언트가 연결되어 있다고 가정합니다. 이러한 예는 이전 버전과의 호환성 시나리오에 설명된 상황에는 적용되지 않습니다.

단일 설정

다중 설정

Data Domain: DDBoost 클라이언트의 기본 인증 모드는 OTW(Over-the-Wire) 암호화를 제공하지 않음
Data Domain - DD Boost용 인증서 관리