Data Domain：DD Boost 全域認證和加密

提升加密和驗證能力取決於用戶端相容性。檢閱以下資訊和表格。
您可以通過三種方式指定身份驗證和加密設置，本文檔將進一步介紹這些設置。

流動中資料加密
流動中資料加密可讓應用程式加密流動中資料備份，或透過保護系統的 LAN 還原資料。導入此功能是為了提供更安全的資料傳輸功能。
設定完成後，用戶端可以使用 TLS 加密用戶端與保護系統之間的工作階段。使用的特定加密套件如下表所示。

DD Boost 用戶端 3.3 至 7.0，以及 7.5 和 7.5 之後

DD Boost 用戶端 3.3 至 7.0，以及 7.5 和 7.5 之後 (續)

DD Boost 用戶端 7.1 至 7.4

DD Boost 用戶端 7.1 至 7.4 (續)

若為 DDOS 7.12 及更新版本，全新安裝的 驗證 模式預設為 「無 」，而「加密強度 」為 中等 。

預設的全域選項為回溯相容，也就是說：

•  您不需要更新 DD Boost 程式庫。所有現有用戶端和應用程式都以與新選項預設設定相同的方式執行。
• 使用具有傳輸層安全性 (TLS) 憑證的用戶端和應用程式可以繼續運作，無需進行任何變更。

全域認證與加密
DD Boost 提供全域驗證和加密選項，讓系統免受中間人 （MITM） 攻擊。
全域選項可確保新用戶端受到保護，但也允許您為每個用戶端配置不同的值。此外，用戶端設定只能加強安全性，而不是將其降低。
設定全域認證模式和加密強度可建立最低層級的認證和加密。所有用戶端的所有連線嘗試都必須達到或超過這些層級。

預設的全域選項為回溯相容，也就是說：

• 您不需要更新 DD Boost 程式庫。
  所有現有用戶端和應用程式都以與新選項預設設置相同的方式執行。
• 由於沒有新增加密，因此不會影響效能。
• 使用具有傳輸層安全性 (TLS) 憑證的用戶端和應用程式可以繼續運作，無需進行任何變更。
  如果全域設定與預設設定不同，則可能需要更新現有用戶端。

設定認證和加密的方法
您可以透過三種方式指定認證和加密設定。

• 連線要求
  要做到這一點，請使用 ddp_connect_with_config 用戶端應用程式中的應用程式發展介面。
• 每用戶端設定
  您可以通過在保護系統上使用 CLI 命令來執行此操作。
• 全域設定
  您可以通過在保護系統上使用 CLI 命令來執行此操作。

如果同時設定了依用戶端值和全域值，則會強制實施較強或較高的設定。任何嘗試使用較弱的認證或加密設定連線的用戶端都會遭拒。

認證和加密設定
在決定認證和加密設定時，可以考慮幾個因素。但是，建議您始終選擇最大可用設定，以獲得最大安全性。
最大安全性會影響效能。如果您有一個不需要最大安全性的受控環境，則可能想要使用其他設定。

全域設定
全域設定可確定認證和加密的最低層級。不符合這些條件的連線嘗試會失敗。

依用戶端設定
如果是依用戶端基礎來定義設定，則您選擇的設定必須符合或大於最大依用戶端認證設定和最大全域認證設定。
例如：

• 如果用戶端設定為需要 two-way password 身份驗證，全域身份驗證設定為 two-way TLS，則 two-way TLS 必須使用身份驗證。
• 如果客戶端設定了身份驗證設定 two-way TLS 全域設定為 two-way passwords，則 two-way TLS 必須使用。

來電者指定值
如果來電者指定值低於全域設定或依用戶端設定，則不允許連線。但是，如果調用方指定的值高於全域設置或每客戶端設置，則使用調用方指定的值建立連接。
例如，如果呼叫者指定 two-way-password 但全域值或每用戶端值為 two-way，則連接嘗試失敗。但是，如果呼叫者指定 two-way 全域值和每用戶端值為 two-way-password小 two-way 使用身份驗證。

認證和加密選項
您可以為全域及認證和加密設定選取三個允許設定的其中一個設定。
針對依用戶端設定，則允許五個認證設定和三個加密設定 (與全域的加密設定相同)。

全域認證和加密選項
全域認證模式和全域加密強度選項有多種選擇。

認證設定
以下清單依最弱到最強排列認證值：

1. none
   不安全;這是預設設置。

2. anonymous
   此選項對於 MITM 攻擊並不安全。
   動態數據是加密的。

3. one-way
   此方法需要使用證書。
   這對於 MITM 攻擊是不安全的。
   動態數據是加密的。

4. two-way-password
   此選項可防止 MITM 攻擊。
   動態數據是加密的。

5. two-way
   此選項需要憑證的使用者。
   這是最安全的選項，並且可以防止MITM攻擊。
   動態數據是加密的。

加密設定
以下清單依最弱到最強排列加密值：

1. none
   不安全;這是預設設置。
   僅當身份驗證為“無”時才能指定。

2. medium
   採用 AES 128 和 SHA-1

3. high
   採用 AES 256 和 SHA-1

全域認證
三個全域認證模式選項提供不同層級的保護和回溯相容性。
全域認證值和加密值只能透過 DD Boost 伺服器上的命令行介面 (CLI) 命令來設定。以下各區段介紹用於設定這些值的 CLI 命令。

無

ddboost option set global-authentication-mode none
global-encryption-strength none

這是最不安全但最向後相容的選項。
您可以選擇 none 如果您的系統具有至關重要的性能要求，並且您不需要針對 MITM 攻擊的保護。
您的系統可以以與以前相同的方式運行，而不會因 TLS 而降低任何性能。
如果您選取的認證設定與 none，則加密設定不能 none。

雙向密碼

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

雙向密碼方法使用 TLS 和預先共用的金鑰 (PSK) 認證執行雙向認證。用戶端和保護系統都使用先前建立的密碼進行認證。選取此選項後，用戶端和保護系統之間的所有資料和訊息都會加密。
此選項是 DD Boost for OpenStorage 唯一可用的安全選項，可完全防護中間人 (MITM) 攻擊。
加密強度必須為中度或高度。
雙向密碼認證為唯一，因為它是安全防範 MITM 攻擊又可以在不用來電者指定的情況下完成的唯一方法。

雙向

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

這是最安全的選項。
雙向選項採用 TLS 與憑證。使用應用程式提供的憑證實現雙向認證。
此設定與現有的憑證使用相容。將全域認證設為 two-way 需要連接到 Protection 系統的所有應用程式支援和提供證書。
任何不支援憑證且未指定雙向身份驗證的應用程式，以及透過 ddp_connect_with_config API 失敗。

回溯相容性情境
舊用戶端和新保護系統
在這種情況下，使用 Boost 程式庫的應用程式會採用 DDOS 6.1 或更新版本。在這種情況下，用戶端無法執行雙向密碼認證，這會產生以下影響：

• 任何全域認證設定都必須設為 none 或 two-way 由於客戶端無法執行 two-way-password 身份驗證。
  每用戶端身份驗證設定可以是除 two-way-password 出於同樣的原因。
• 雙向密碼的任何全域或依用戶端設定都會導致具有較舊用戶端程式庫的應用程式失敗。
• 新的保護系統支援舊用戶端現有的連線通訊協定。

新用戶端和舊保護系統
舊版保護系統無法執行 two-way-password 身份驗證，具有以下影響：

• 沒有全域認證或加密設定。
• 每用戶端保護系統身份驗證設定不能為 two-way password。
• 用戶端將首先嘗試使用新的連接協定或 RPC。失敗時，用戶端將還原到舊協定。
• 用戶端可以使用其他身份驗證方法進行連接，但 two-way-password。

認證與加密設定範例
下表顯示了使用調用、每用戶端設置和全域設置指定設置的範例，以及這些設置是否可以成功。
這些範例假設您有 DD Boost 用戶端連線至具有 DDOS 6.1 或更新版本的 Protection 系統。這些範例不適用於回溯相容性情境中描述的任一情況。

一個設定

多重設定

Data Domain：DDBoost 用戶端的預設認證模式不提供線上加密。
Data Domain - 管理 DD Boost 憑證