Data Domain: DD Boost global autentisering og kryptering

Summary: Denne artikkelen inneholder informasjon om global godkjenning og kryptering av DD Boost, som er hentet fra den nyeste oppdaterte informasjonen fra dokumentasjonen for DD OS 7.13 Boost. I denne veiledningen ser "PowerProtect DD System", "beskyttelsessystemet" eller ganske enkelt "systemet" verktøy i PowerProtect DD-serien som kjører DD OS 7.4 eller nyere og tidligere PowerProtect DD-systemer. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Forsterket kryptering og autentisering avhenger av klientkompatibilitet. Se gjennom informasjonen og tabellene nedenfor.
Du kan angi innstillinger for godkjenning og kryptering på tre måter, som er beskrevet nærmere i dette dokumentet.

Tilbakestille global krypteringsstyrke og slette feil i Dell-datadomener.

Varighet: 00:03:32 (hh:mm:ss)
Når språkinnstillingene for teksting (undertekster) er tilgjengelige, kan du velge ved hjelp av CC-ikonet på denne videospilleren.

Kryptering
under flyvningKryptering under flyging gjør det mulig for applikasjoner å kryptere, sikkerhetskopiere eller gjenopprette data over LAN fra beskyttelsessystemet. Denne funksjonen ble introdusert for å gi en sikrere datatransportkapasitet.
Når den er konfigurert, kan klienten bruke TLS til å kryptere økten mellom klienten og beskyttelsessystemet. Den spesifikke krypteringspakken som brukes, er som følger i tabellen nedenfor.

Den spesifikke krypteringspakken som brukes, er enten ADH-AES256-SHA hvis alternativet for høy kryptering er valgt, eller ADHAES128-SHA, hvis alternativet medium kryptering er valgt.

DD Boost Client 3.3 til 7.0 og 7.5 etter 7.5

  DDOS 7.5 og etter
    Kryptering Medium Høy kryptering
DD Boost Client 3.3 til 7.0 og DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Klient 7.5 og etter Enveis eller toveis sertifikater DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 til 7.0 og 7.5 etter 7.5 (fortsatt)

  DDOS 7.4 og før
    Kryptering Medium Høy kryptering
DD Boost Client 3.3 til 7.0 og DD Boost ANON ADH-AES128-SHA ADH-AES256 - SHA
Klient 7.5 og etter Enveis eller toveis sertifikater DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost Client 7.1 til 7.4

  DDOS 7.5 og etter
DD Boost Client 7.1 til 7.4   Kryptering Medium Høy kryptering
ANON ADH-AES128-SHA ADH-AES256 - SHA
Enveis eller toveis sertifikater DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 til 7.4 (fortsatt)

  DDOS 7.4 og før
DD Boost Client 7.1 til 7.4   Kryptering Medium Høy kryptering
ANON ADH-AES128 – SHA ADH-AES256 - SHA
Enveis eller toveis sertifikater DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

For DDOS 7.12 og nyere er godkjenningsmoduseningen , og krypteringsstyrken er middels som standard for nye installasjoner.

Standard globale alternativer er bakoverkompatible, noe som betyr:

  •  Du trenger ikke å oppdatere DD Boost-biblioteket. Alle eksisterende klienter og programmer fungerer på samme måte med standardinnstillingene for de nye alternativene.
  • Klienter og programmer som bruker sertifikater med TLS (Transport Layer Security), kan fortsette å fungere uten endringer.

Global godkjenning og kryptering
DD Boost gir globale godkjennings- og krypteringsalternativer for å forsvare systemer mot mellommannbaserte angrep
(MITM).De globale alternativene sikrer at nye klienter er beskyttet, men lar deg også konfigurere forskjellige verdier for hver klient. I tillegg kan klientinnstillinger bare styrke sikkerheten, ikke redusere den.
Når du angir global godkjenningsmodus og krypteringsstyrke, opprettes minimumsnivåer for godkjenning og kryptering. Alle tilkoblingsforsøk fra alle klienter må oppfylle eller overskride disse nivåene.

Disse tiltakene er ikke aktivert som standard. Innstillingene må endres manuelt.

Standard globale alternativer er bakoverkompatible, noe som betyr:

  • Du trenger ikke å oppdatere DD Boost-biblioteket.
    Alle eksisterende klienter og programmer fungerer på samme måte med standardinnstillingene for de nye alternativene.
  • Det er ingen innvirkning på ytelsen fordi det ikke er lagt til kryptering.
  • Klienter og programmer som bruker sertifikater med TLS (Transport Layer Security), kan fortsette å fungere uten endringer.
    Hvis de globale innstillingene er forskjellige fra standardinnstillingene, må eksisterende klienter kanskje oppdateres.

Metoder for å angi autentisering og kryptering
Du kan angi innstillinger for godkjenning og kryptering på tre måter.

  • Tilkoblingsforespørsel
    Du gjør dette ved hjelp av ddp_connect_with_config API i klientprogrammet.
  • Innstillinger
    per klient Dette gjør du ved hjelp av CLI-kommandoer på beskyttelsessystemet.
  • Globale innstillinger
    Dette gjør du ved hjelp av CLI-kommandoer på beskyttelsessystemet.

Hvis både per klient og globale verdier angis, håndheves den sterkere eller høyere innstillingen. Alle klienter som prøver å koble til med en svakere godkjenningsinnstilling eller krypteringsinnstilling, blir avvist.

Innstillinger
for godkjenning og krypteringDu kan vurdere flere faktorer når du bestemmer godkjennings- og krypteringsinnstillinger. Det anbefales imidlertid at du alltid velger den maksimale tilgjengelige innstillingen for maksimal sikkerhet.
Maksimal sikkerhet påvirker ytelsen. Hvis du har et kontrollert miljø der maksimal sikkerhet ikke er nødvendig, kan du bruke andre innstillinger.

Globale innstillinger
Den globale innstillingen bestemmer minimumsnivåene for godkjenning og kryptering. Tilkoblingsforsøk som ikke oppfyller disse kriteriene, mislykkes.

Innstillinger
per klientHvis innstillingen er definert per klient, må innstillingen du velger, enten samsvare eller være større enn innstillingen for maksimal godkjenning per klient og den maksimale globale godkjenningsinnstillingen.
For eksempel:

  • Hvis en klient er konfigurert til å kreve two-way password Godkjenning og Global godkjenning-innstillingen er two-way TLSDeretter two-way TLS Autentisering må brukes.
  • Hvis klienten er konfigurert med godkjenningsinnstillingen two-way TLS og den globale innstillingen er two-way passwordsDeretter two-way TLS må brukes.

Verdier
spesifisert av oppringerHvis verdiene for oppringeren er lavere enn de globale innstillingene eller innstillingene per klient, er ikke tilkoblingen tillatt. Hvis verdiene for oppringeren er høyere enn de globale innstillingene eller per klient-innstillingene, opprettes imidlertid tilkoblingen ved hjelp av de angitte verdiene for oppringer.
Hvis oppringeren for eksempel angir two-way-password Men enten den globale verdien eller per klient-verdien er two-way, mislykkes tilkoblingsforsøket. Men hvis oppringeren spesifiserte two-way og de globale verdiene og per klient-verdiene er two-way-password, two-way Autentisering brukes.

Autentiserings- og krypteringsalternativer
Du kan velge én av tre tillatte innstillinger for både globale innstillinger og innstillinger for godkjenning og kryptering.
For innstillingene per klient er fem godkjenningsinnstillinger tillatt og tre krypteringsinnstillinger (de samme krypteringsinnstillingene som for globale).

Godkjennings- og krypteringsverdier må angis samtidig på grunn av avhengigheter.

Globale autentiserings- og krypteringsalternativer
Du kan velge mellom alternativene global godkjenningsmodus og global krypteringsstyrke.

Innstillinger for
godkjenningFølgende liste rangerer godkjenningsverdier fra svakeste til sterkeste:

  1. none
    Ikke sikker; Dette er standardinnstillingen.

  2. anonymous
    Dette alternativet er ikke sikkert mot MITM-angrep.
    Data under flyvning er kryptert.

  3. one-way
    Denne metoden krever bruk av sertifikater.
    Dette er ikke sikkert mot MITM-angrep.
    Data under flyvning er kryptert.

  4. two-way-password
    Dette alternativet er sikkert mot MITM-angrep.
    Data under flyvning er kryptert.

  5. two-way
    Dette alternativet krever at du bruker sertifikater.
    Dette er det sikreste alternativet, og er sikkert mot MITM-angrep.
    Data under flyvning er kryptert.

Vær oppmerksom på at anonymous og one-way er bare tillatt for innstillinger per klient, ikke globale innstillinger.

Innstillinger for kryptering
Følgende liste rangerer krypteringsverdier fra svakeste til sterkeste:

  1. none
    Ikke sikker; Dette er standardinnstillingen.
    Kan bare angis hvis godkjenningen er "ingen".

  2. medium
    Sysselsetter AES 128 og SHA-1

  3. high
    Sysselsetter AES 256 og SHA-1

Både medium og high Bruk SHA-1 avhengig av klientversjon og godkjenningsmodus. Se Tabell for In-flight Encryption for mer informasjon.

Global godkjenning
De tre alternativene for global autentiseringsmodus gir ulike beskyttelsesnivåer og bakoverkompatibilitet.
Globale godkjennings- og krypteringsverdier kan bare angis via kommandolinjegrensesnittkommandoer (CLI) på DD Boost-serveren. CLI-kommandoene du bruker til å angi disse verdiene, er beskrevet i avsnittene nedenfor.

Ingen

ddboost option set global-authentication-mode none
global-encryption-strength none

Dette er det minst sikre, men mest bakoverkompatible alternativet.
Du kan velge none hvis systemet ditt har avgjørende ytelseskrav og du ikke trenger beskyttelse mot MITM-angrep.
Systemet ditt kan fungere på samme måte som før uten å bli utsatt for ytelsesforringelse på grunn av TLS.
Hvis du velger en annen innstilling for godkjenning enn det none, kan ikke krypteringsinnstillingen være none.

toveis passord

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Toveis passordmetoden utfører toveis godkjenning ved hjelp av TLS med forhåndsdelt nøkkel (PSK)-godkjenning. Både klienten og beskyttelsessystemet autentiseres ved hjelp av de tidligere etablerte passordene. Når dette alternativet er valgt, krypteres alle data og meldinger mellom klienten og beskyttelsessystemet.
Dette alternativet er det eneste sikre alternativet som er tilgjengelig med DD Boost for OpenStorage, og beskytter fullt ut mot mellommannbaserte angrep (MITM).
Krypteringsstyrken må være enten middels eller høy.
Toveis passordautentisering er unik fordi det er den eneste metoden som både er sikker mot MITM og kan gjøres uten at den som ringer spesifiserer det.

Toveis

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dette er det sikreste alternativet.
Toveisalternativet bruker TLS med sertifikater. Toveis autentisering oppnås ved hjelp av sertifikater levert av applikasjonen.
Denne innstillingen er kompatibel med eksisterende bruk av sertifikater. Angi global godkjenning til two-way Krever at alle programmer som kobles til beskyttelsessystemet, støtter og leverer sertifikater.
Alle programmer som ikke støtter sertifikater, og som ikke spesifiserer toveis godkjenning og gir sertifikater via ddp_connect_with_config API mislykkes.

Toveis autentisering er ikke tilgjengelig med DD Boost for OpenStorage. Hvis den globale godkjenningsmodusen er satt til two-way, mislykkes alle OST-applikasjoner.

Scenarier
for bakoverkompatibilitetEldre klient og nytt beskyttelsessystem
I dette tilfellet brukes et program som bruker et Boost-bibliotek med DDOS 6.1 eller nyere. I dette scenariet kan klienten ikke utføre toveis passordgodkjenning, som har følgende konsekvenser:

  • Alle globale godkjenningsinnstillinger må settes til none eller two-way siden klienten ikke kan utføre two-way-password Godkjenning.
    Godkjenningsinnstillinger per klient kan være en hvilken som helst verdi unntatt two-way-password av samme grunn.
  • Alle globale innstillinger eller per klientinnstillinger for toveis passord fører til at programmer med eldre klientbiblioteker mislykkes.
  • Det nye beskyttelsessystemet støtter eksisterende tilkoblingsprotokoller for gamle klienter.

Ny klient og eldre beskyttelsessystem
Det eldre beskyttelsessystemet kan ikke yte two-way-password autentisering, som har følgende konsekvenser:

  • Det finnes ingen globale godkjennings- eller krypteringsinnstillinger.
  • Godkjenningsinnstillingen for beskyttelsessystemet per klient kan ikke være two-way password.
  • Klienten vil først prøve å bruke den nye tilkoblingsprotokollen eller RPC. Ved feil går klienten tilbake til den gamle protokollen.
  • Klienten kan koble til andre godkjenningsmetoder unntatt two-way-password.

Eksempler på
godkjennings- og krypteringsinnstillingTabellene nedenfor viser eksempler på hvilke innstillinger som angis ved hjelp av anrop, innstillinger per klient og globale innstillinger, og om disse innstillingene kan lykkes.
Disse eksemplene forutsetter at du har en DD Boost-klienttilkobling til et beskyttelsessystem med DDOS 6.1 eller nyere. Disse eksemplene gjelder ikke for noen av situasjonene som er beskrevet i Scenarier for bakoverkompatibilitet.

Hvis den globale innstillingen eller per klient-innstillingen krever toveis godkjenning, må oppringeren spesifisere den og oppgi de nødvendige sertifikatene.

Én innstilling

Anropet spesifiserer Innstillinger per klient Globale innstillinger Brukte verdier
None None None LYKKES
Godkjenning: none
Kryptering: ingen
Godkjenning: toveis passord
Kryptering: middels		 None None LYKKES Godkjenning: toveis
passord
Kryptering: middels
None Godkjenning: toveis passord
Kryptering: middels		 None LYKKES Godkjenning: toveis
passord
Kryptering: middels
None None Godkjenning: toveis passord Kryptering: middels LYKKES Godkjenning: toveis
passord
Kryptering: middels
None None Godkjenning: toveis
kryptering: høy		 MISLYKKES Toveis
og høy kreves.
Klienten må spesifisere en toveis og gi sertifikater.
Godkjenning: toveis kryptering: høy None None LYKKES Godkjenning: toveis

kryptering: høy

Flere innstillinger

Anropet spesifiserer Innstillinger per klient Globale innstillinger Brukte verdier
Godkjenning: toveis
Kryptering: middels		 None Godkjenning: toveis
kryptering: høy		 MISLYKKES Toveis og høy kreves.
None Godkjenning: toveis
kryptering: høy		 Godkjenning: toveis passord
Kryptering: middels		 MISLYKKES Toveis og høy kreves.
Klienten må spesifisere en toveis og gi sertifikater.
Godkjenning: toveis
kryptering: høy		 Godkjenning: toveis passord
Kryptering: høy		 Godkjenning: toveis
Kryptering: middels		 LYKKES Godkjenning: toveis
kryptering: høy
None Godkjenning: toveis passord
Kryptering: middels		 Godkjenning: toveis
Kryptering: middels		 MISLYKKES Toveis og middels kreves.
Klienten må spesifisere en toveis og gi sertifikater.
Godkjenning: toveis
kryptering: høy		 Godkjenning: toveis
Kryptering: middels		 Godkjenning: toveis
Kryptering: middels		 LYKKES Godkjenning: toveis
kryptering: høy

 

Additional Information

Data Domain: Standard godkjenningsmodus for DDBoost-klienter gir ikke over-the-wire-kryptering.
Data Domain – administrere sertifikater for DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 آذار 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.