Data Domain: Autenticação e criptografia globais do DD Boost

Summary: Este artigo fornece informações sobre autenticação e criptografia globais do DD Boost, que são obtidas a partir das informações atualizadas mais recentes da documentação do DD OS 7.13 Boost. Neste guia, o "Sistema PowerProtect DD", "o sistema de proteção" ou simplesmente "o sistema", vê os equipamentos PowerProtect série DD que executam o DD OS 7.4 ou posterior e sistemas PowerProtect DD anteriores. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

A criptografia de boost e a autenticação dependem da compatibilidade do client. Analise as informações e as tabelas abaixo.
Você pode especificar as configurações de autenticação e criptografia de três maneiras, que são descritas mais detalhadamente neste documento.

Como redefinir a força da criptografia global e limpar erros no Dell Data Domain.

Duração: 00:03:32 (hh:mm:ss)
Quando disponíveis, as configurações de idioma de legendas podem ser escolhidas usando o ícone CC neste player de vídeo.

Criptografia em trânsito
A criptografia em trânsito permite que os aplicativos façam a criptografia de backup em trânsito e restaurem dados na LAN a partir do sistema de proteção. Esse recurso foi introduzido para oferecer uma capacidade de transferência de dados mais segura.
Quando configurado, o client pode usar o TLS para criptografar a sessão entre o client e o sistema de proteção. O conjunto de codificações específico usado é mostrado na tabela abaixo.

O conjunto de codificações específico usado é ADH-AES256-SHA, se a opção de criptografia alta for selecionada, ou ADHAES128-SHA, se a opção de criptografia média for selecionada.

DD Boost Client 3.3 para 7.0 e 7.5 e posteriores

  DDOS 7.5 e posterior
    Criptografia média Criptografia alta
DD Boost Client 3.3 para 7.0 e DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Client 7.5 e posterior Certificados unidirecionais ou bidirecionais DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 para 7.0 e 7.5 e posteriores (continuação)

  DDOS 7.4 e anterior
    Criptografia média Criptografia alta
DD Boost Client 3.3 para 7.0 e DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Client 7.5 e posterior Certificados unidirecionais ou bidirecionais DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost Client 7.1 para 7.4

  DDOS 7.5 e posterior
DD Boost Client 7.1 para 7.4   Criptografia média Criptografia alta
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificados unidirecionais ou bidirecionais DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 para 7.4 (continuação)

  DDOS 7.4 e anterior
DD Boost Client 7.1 para 7.4   Criptografia média Criptografia alta
ANON ADH-AES128- SHA ADH-AES256-- SHA
Certificados unidirecionais ou bidirecionais DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Para o DDOS 7.12 e versões posteriores, o modo de autenticação é none e a força da criptografia é média por padrão para novas instalações.

As opções globais padrão são compatíveis com versões anteriores, ou seja:

  •  Não é necessário atualizar a biblioteca do DD Boost. Todos os clients e aplicativos existentes funcionam da mesma maneira com as configurações padrão das novas opções.
  • Clients e aplicativos que usam certificados com TLS (Transport Layer Security) podem continuar a funcionar sem alterações.

Autenticação e criptografia
globaisO DD Boost oferece opções globais de autenticação e criptografia para defender os sistemas contra ataques man-in-the-middle (MITM).
As opções globais garantem que os novos clients sejam protegidos, mas também permitem que você configure valores diferentes para cada client. Além disso, as configurações do client só podem fortalecer a segurança, não reduzi-la.
A configuração do modo de autenticação global e da força da criptografia estabelece níveis mínimos de autenticação e criptografia. Todas as tentativas de conexão por todos os clients devem atender ou exceder esses níveis.

Essas medidas não são ativadas por padrão; As configurações devem ser alteradas manualmente.

As opções globais padrão são compatíveis com versões anteriores, ou seja:

  • Não é necessário atualizar a biblioteca do DD Boost.
    Todos os clients e aplicativos existentes funcionam da mesma maneira com as configurações padrão das novas opções.
  • Não há impacto sobre o desempenho porque não há criptografia adicionada.
  • Clients e aplicativos que usam certificados com TLS (Transport Layer Security) podem continuar a funcionar sem alterações.
    Se as configurações globais forem diferentes das configurações padrão, talvez seja necessário atualizar os clients existentes.

Métodos de configuração de autenticação e criptografia
Você pode especificar as configurações de autenticação e criptografia de três maneiras.

  • Solicitação de
    conexão Você faz isso usando o ddp_connect_with_config API no aplicativo client.
  • Configurações
    por client Use os comandos da CLI no sistema de proteção.
  • Configurações
    globais Para isso, use os comandos da CLI no sistema de proteção.

Se os valores globais e por client forem definidos, a configuração mais forte ou superior será imposta. Qualquer client que tente se conectar com uma configuração de autenticação ou criptografia mais fraca será rejeitado.

Configurações de autenticação e criptografia
Você pode considerar vários fatores ao decidir as configurações de autenticação e criptografia. No entanto, é recomendável que você sempre escolha a configuração máxima disponível para segurança máxima.
A segurança máxima afeta o desempenho. Se você tiver um ambiente controlado onde a segurança máxima não é necessária, use outras configurações.

Configurações globais
A configuração global determina os níveis mínimos de autenticação e criptografia. As tentativas de conexão que não atendem a esses critérios falham.

Configurações por client
Se a configuração for definida por client, a configuração escolhida deverá corresponder ou ser maior que a configuração máxima de autenticação por client e a configuração máxima de autenticação global.
Por exemplo:

  • Se um client estiver configurado para exigir two-way password Autenticação e a configuração de autenticação global é two-way TLSEntão two-way TLS A autenticação deve ser usada.
  • Se o cliente estiver configurado com a configuração de autenticação two-way TLS E o cenário global é two-way passwordsEntão two-way TLS deve ser usado.

Valores especificados pelo chamador
Se os valores especificados pelo chamador forem inferiores às configurações globais ou por client, a conexão não será permitida. No entanto, se os valores especificados pelo chamador forem maiores do que as configurações globais ou por client, a conexão será feita usando os valores especificados pelo chamador.
Por exemplo, se o chamador especificar two-way-password Mas o valor global ou por client é two-way, a tentativa de conexão falha. No entanto, se o chamador especificou two-way E os valores globais e por client são two-way-password, two-way A autenticação é usada.

Opções de autenticação e criptografia
Você pode selecionar uma das três configurações permitidas para as configurações globais e de autenticação e criptografia.
Para as configurações por client, cinco configurações de autenticação são permitidas e três configurações de criptografia (as mesmas configurações de criptografia que as globais).

Os valores de autenticação e criptografia devem ser definidos simultaneamente devido a dependências.

Opções globais de autenticação e criptografia
Você tem uma variedade de opções com global-authentication-mode e global-encryption-strength.

Configurações de autenticação
A lista a seguir classifica os valores de autenticação do mais fraco ao mais forte:

  1. none
    Não é seguro; Essa é a configuração padrão.

  2. anonymous
    Essa opção não é segura contra ataques de MITM.
    Os dados em trânsito são criptografados.

  3. one-way
    Esse método requer o uso de certificados.
    Isso não é seguro contra ataques de MITM.
    Os dados em trânsito são criptografados.

  4. two-way-password
    Essa opção é segura contra ataques de MITM.
    Os dados em trânsito são criptografados.

  5. two-way
    Esta opção requer o usuário de certificados.
    Essa é a opção mais segura contra ataques de MITM.
    Os dados em trânsito são criptografados.

Lembre-se de que anonymous e one-way só são permitidos para configurações por client, não para configurações globais.

Configurações de criptografia
A lista a seguir classifica os valores de criptografia do mais fraco ao mais forte:

  1. none
    Não é seguro; Essa é a configuração padrão.
    Só pode ser especificado se a autenticação for "nenhuma".

  2. medium
    Emprega AES 128 e SHA-1

  3. high
    Emprega AES 256 e SHA-1

Ambos medium e high empregar SHA-1, dependendo da versão do client e do modo de autenticação. Consulte a tabela Criptografia em trânsito para obter mais informações.

Autenticação global
As três opções global-authentication-mode oferecem diferentes níveis de proteção e compatibilidade com versões anteriores.
Os valores globais de autenticação e criptografia só podem ser definidos por comandos da interface de linha de comando (CLI) no DD Boost Server. Os comandos da CLI que você usa para definir esses valores são descritos nas seções a seguir.

nenhuma

ddboost option set global-authentication-mode none
global-encryption-strength none

Esta é a opção menos segura, mas mais compatível com versões anteriores.
Você pode selecionar none se seu sistema tiver requisitos cruciais de desempenho e você não precisar de proteção contra ataques MITM.
Seu sistema pode operar da mesma maneira como antes, sem sofrer qualquer degradação de desempenho devido ao TLS.
Se você selecionar uma configuração diferente para autenticação que none, a configuração de criptografia não pode ser none.

Senha bidirecional

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

O método de senha bidirecional executa a autenticação bidirecional usando TLS com autenticação de PSK (Pre-Shared Key, chave pré-compartilhada). O client e o sistema de proteção são autenticados usando as senhas previamente estabelecidas. Quando essa opção é selecionada, todos os dados e mensagens entre o client e o sistema de proteção são criptografados.
Essa opção é a única segura disponível com o DD Boost for OpenStorage e protege totalmente contra ataques man-in-the-middle (MITM).
A força da criptografia deve ser média ou alta.
A autenticação bidirecional de senha é exclusiva porque é o único método que é seguro contra o MITM e pode ser feito sem que o chamador o especifique.

bidirecional

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Essa é a opção mais segura.
A opção bidirecional emprega TLS com certificados. A autenticação bidirecional é obtida usando certificados fornecidos pelo aplicativo.
Essa configuração é compatível com o uso atual de certificados. Configurando a autenticação global como two-way Requer que todos os aplicativos que se conectam ao sistema de proteção deem suporte e forneçam certificados.
Qualquer aplicativo que não oferece suporte a certificados, não especifica a autenticação bidirecional e fornece certificados por meio do ddp_connect_with_config Falha na API.

A opção de autenticação bidirecional não está disponível com o DD Boost for OpenStorage. Se o modo de autenticação global estiver definido como two-way, todos os aplicativos OST falham.

Cenários de compatibilidade com versões anteriores
Client mais antigo e novo sistema de proteção
Nesse caso, um aplicativo usando uma biblioteca Boost é empregado com o DDOS 6.1 ou posterior. Nesse cenário, o client não pode executar a autenticação de senha bidirecional, que tem as seguintes ramificações:

  • Qualquer configuração de autenticação global deve ser definida como none ou two-way já que o cliente não pode executar two-way-password Autenticação.
    As configurações de autenticação por client podem ser de qualquer valor, exceto two-way-password pelo mesmo motivo.
  • Qualquer configuração global ou por client de senha bidirecional causa falha em aplicativos com bibliotecas de client mais antigas.
  • O novo sistema de proteção é compatível com protocolos de conexão existentes para clients antigos.

Cliente novo e sistema de
proteção mais antigoO sistema de proteção mais antigo não pode executar two-way-password Autenticação, que tem as seguintes ramificações:

  • Não há configurações globais de autenticação ou criptografia.
  • A configuração de autenticação do sistema de proteção por client não pode ser two-way password.
  • Primeiro, o client tentará usar o novo protocolo de conexão ou a RPC. Em caso de falha, o client reverte para o protocolo antigo.
  • O client pode se conectar com outros métodos de autenticação, exceto two-way-password.

Exemplos
de configuração de autenticação e criptografiaAs tabelas a seguir mostram exemplos em que as configurações são especificadas usando chamadas, configurações por client e configurações globais, e se essas configurações podem ser bem-sucedidas.
Esses exemplos pressupõem que você tenha uma conexão de client do DD Boost com um sistema de proteção com DDOS 6.1 ou posterior. Esses exemplos não se aplicam a nenhuma das situações descritas em cenários de compatibilidade com versões anteriores.

Se a configuração global ou por client exigir autenticação bidirecional, o chamador deverá especificá-la e fornecer os certificados necessários.

Uma configuração

A chamada especifica Configurações por client Configurações globais Valores usados
Nenhuma Nenhuma Nenhuma ÊXITO
Autenticação: nenhuma
Criptografia: nenhuma
Autenticação: senha
bidirecional Criptografia: média		 Nenhuma Nenhuma BEM-SUCEDIDA
Autenticação: senha
bidirecional Criptografia: média
Nenhuma Autenticação: senha
bidirecional Criptografia: média		 Nenhuma BEM-SUCEDIDA
Autenticação: senha
bidirecional Criptografia: média
Nenhuma Nenhuma Autenticação: senha bidirecional Criptografia: média BEM-SUCEDIDA
Autenticação: senha
bidirecional Criptografia: média
Nenhuma Nenhuma Autenticação: bidirecional
Criptografia: alta		 FALHA
São necessárias bidirecional e alta.
O client deve especificar uma bidirecional e fornecer certificados.
Autenticação: bidirecional Criptografia: alta Nenhuma Nenhuma Autenticação BEM-sucedida
: criptografia bidirecional
: alta

Várias configurações

A chamada especifica Configurações por client Configurações globais Valores usados
Autenticação: bidirecional
Criptografia: média		 Nenhuma Autenticação: bidirecional
Criptografia: alta		 FALHA São necessárias bidirecional e alta.
Nenhuma Autenticação: bidirecional
Criptografia: alta		 Autenticação: senha
bidirecional Criptografia: média		 FALHA São necessárias bidirecional e alta.
O client deve especificar uma bidirecional e fornecer certificados.
Autenticação: bidirecional
Criptografia: alta		 Autenticação: senha
bidirecional Criptografia: alta		 Autenticação: bidirecional
Criptografia: média		 Autenticação BEM-sucedida: criptografia bidirecional
: alta
Nenhuma Autenticação: senha
bidirecional Criptografia: média		 Autenticação: bidirecional
Criptografia: média		 FALHA São necessárias bidirecional e média.
O client deve especificar uma bidirecional e fornecer certificados.
Autenticação: bidirecional
Criptografia: alta		 Autenticação: bidirecional
Criptografia: média		 Autenticação: bidirecional
Criptografia: média		 Autenticação BEM-sucedida: criptografia bidirecional
: alta

 

Additional Information

Data Domain: O modo de autenticação padrão para clients DDBoost não fornece criptografia over-the-wire.
Data Domain - Gerenciando certificados para DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 آذار 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.