Data Domain: DD Boost globale authenticatie en versleuteling

Summary: Dit artikel bevat informatie over DD Boost globale authenticatie en versleuteling die is ontleend aan de laatste bijgewerkte informatie uit de DD OS 7.13 Boost documentatie. In deze handleiding ziet PowerProtect DD System, "het beveiligingssysteem" of kortweg "het systeem" apparaten uit de PowerProtect DD serie met DD OS 7.4 of hoger en eerdere PowerProtect DD systemen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Boost-versleuteling en -authenticatie zijn afhankelijk van clientcompatibiliteit. Bekijk de informatie en tabellen hieronder.
U kunt authenticatie- en versleutelingsinstellingen op drie manieren opgeven, die verderop in dit document worden beschreven.

De globale coderingssterkte resetten en fouten wissen in Dell Data Domain.

Duur: 00:03:32 (uu:mm:ss)
Indien beschikbaar, kunnen de taalinstellingen voor ondertiteling (ondertiteling) worden gekozen met behulp van het CC-pictogram op deze videospeler.

In-flight-versleuteling
Met in-flight-versleuteling kunnen applicaties back-ups tijdens de vlucht versleutelen of data via LAN herstellen vanaf het beveiligingssysteem. Deze functie is geïntroduceerd om een veiligere datatransportcapaciteit te bieden.
Indien geconfigureerd, kan de client TLS gebruiken om de sessie tussen de client en het beveiligingssysteem te versleutelen. De specifieke coderingssuite die wordt gebruikt, is als volgt in de onderstaande tabel.

De specifieke coderingssuite die wordt gebruikt, is ADH-AES256-SHA, als de optie voor hoge versleuteling is geselecteerd, of ADHAES128-SHA, als de optie voor gemiddelde versleuteling is geselecteerd.

DD Boost Client 3.3 tot 7.0 en 7.5 na 7.5

  DDOS 7.5 en hoger
    Versleutelingsmedium Versleuteling hoog
DD Boost Client 3.3 t/m 7.0 en DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Client 7.5 en hoger Certificaten voor een enkele reis of twee manieren DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 naar 7.0 en 7.5 na 7.5 (vervolg)

  DDOS 7.4 en eerder
    Versleutelingsmedium Versleuteling hoog
DD Boost Client 3.3 t/m 7.0 en DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Client 7.5 en hoger Certificaten voor een enkele reis of twee manieren DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost Client 7.1 naar 7.4

  DDOS 7.5 en hoger
DD Boost Client 7.1 naar 7.4   Versleutelingsmedium Versleuteling hoog
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificaten voor een enkele reis of twee manieren DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 t/m 7.4 (vervolg)

  DDOS 7.4 en eerder
DD Boost Client 7.1 naar 7.4   Versleutelingsmedium Versleuteling hoog
ANON ADH-AES128- SHA ADH-AES256-- SHA
Certificaten voor een enkele reis of twee manieren DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Voor DDOS 7.12 en hoger is de verificatiemodusgeen en is de versleutelingssterkte standaard gemiddeld voor nieuwe installaties.

De standaard globale opties zijn achterwaarts compatibel, wat het volgende betekent:

  •  U hoeft de DD Boost-bibliotheek niet bij te werken. Alle bestaande clients en applicaties werken op dezelfde manier met de standaardinstellingen van de nieuwe opties.
  • Clients en applicaties die certificaten met TLS (Transport Layer Security) gebruiken, kunnen zonder wijzigingen blijven werken.

Globale authenticatie en versleuteling
DD Boost biedt wereldwijde authenticatie- en versleutelingsopties om systemen te beschermen tegen man-in-the-middle (MITM)-aanvallen.
De globale opties zorgen ervoor dat nieuwe clients worden beschermd, maar stellen u ook in staat om voor elke client verschillende waarden te configureren. Bovendien kunnen clientinstellingen de beveiliging alleen maar versterken, niet verminderen.
Door de globale verificatiemodus en versleutelingssterkte in te stellen, stelt u minimale verificatie- en versleutelingsniveaus vast. Alle verbindingspogingen van alle clients moeten aan deze niveaus voldoen of deze overtreffen.

Deze maatregelen zijn niet standaard ingeschakeld; De instellingen moeten handmatig worden gewijzigd.

De standaard globale opties zijn achterwaarts compatibel, wat het volgende betekent:

  • U hoeft de DD Boost-bibliotheek niet bij te werken.
    Alle bestaande clients en applicaties werken op dezelfde manier met de standaardinstellingen van de nieuwe opties.
  • Er is geen invloed op de prestaties omdat er geen versleuteling is toegevoegd.
  • Clients en applicaties die certificaten met TLS (Transport Layer Security) gebruiken, kunnen zonder wijzigingen blijven werken.
    Als de algemene instellingen afwijken van de standaardinstellingen, moeten bestaande clients mogelijk worden bijgewerkt.

Methoden voor het instellen van authenticatie en versleuteling
U kunt authenticatie- en versleutelingsinstellingen op drie manieren opgeven.

  • Verbindingsverzoek
    Dit doe je door gebruik te maken van de ddp_connect_with_config API in de clienttoepassing.
  • Instellingen
    per client U doet dit met behulp van CLI-opdrachten op het beveiligingssysteem.
  • Algemene instellingen
    U doet dit met behulp van CLI-opdrachten op het beveiligingssysteem.

Als zowel waarden per client als globale waarden zijn ingesteld, wordt de sterkere of hogere instelling afgedwongen. Elke client die verbinding probeert te maken met een zwakkere authenticatie- of versleutelingsinstelling wordt geweigerd.

Instellingen voor authenticatie en versleuteling
U kunt verschillende factoren in overweging nemen bij het bepalen van authenticatie- en versleutelingsinstellingen. Voor maximale veiligheid is het echter aan te raden om altijd de maximaal beschikbare instelling te kiezen.
Maximale beveiliging heeft invloed op prestaties. Als u een gecontroleerde omgeving hebt waar maximale beveiliging niet vereist is, kunt u beter andere instellingen gebruiken.

Algemene instellingen
De algemene instelling bepaalt de minimale niveaus van authenticatie en versleuteling. Verbindingspogingen die niet aan deze criteria voldoen, mislukken.

Instellingen per client
Als de instelling per client wordt gedefinieerd, moet de instelling die u kiest gelijk zijn aan of groter zijn dan de maximale instelling voor verificatie per client en de maximale algemene authenticatie-instelling.
Bijvoorbeeld:

  • Als een client is geconfigureerd om two-way password Authenticatie en de algemene authenticatie-instelling is two-way TLSDan two-way TLS Er moet authenticatie worden gebruikt.
  • Als de client is geconfigureerd met de authenticatie-instelling two-way TLS en de globale setting is two-way passwordsDan two-way TLS moet worden gebruikt.

Door de beller opgegeven waarden
Als de door de beller opgegeven waarden lager zijn dan de algemene instellingen of de instellingen per client, is de verbinding niet toegestaan. Als de door de beller opgegeven waarden echter hoger zijn dan de algemene instellingen of de instellingen per client, wordt de verbinding tot stand gebracht met behulp van de door de beller opgegeven waarden.
Als de beller bijvoorbeeld aangeeft dat two-way-password Maar de globale waarde of de waarde per klant is two-way, mislukt de verbindingspoging. Als de beller echter two-way En de globale en per-client waarden zijn two-way-password, two-way Er wordt gebruik gemaakt van authenticatie.

Authenticatie- en versleutelingsopties
U kunt een van de drie toegestane instellingen selecteren voor zowel de algemene als de authenticatie- en versleutelingsinstellingen.
Voor de instellingen per client zijn vijf verificatie-instellingen toegestaan en drie versleutelingsinstellingen (dezelfde versleutelingsinstellingen als die voor globaal).

Authenticatie- en versleutelingswaarden moeten gelijktijdig worden ingesteld vanwege afhankelijkheden.

Globale authenticatie- en versleutelingsopties
U heeft een reeks keuzes met de opties global-authentication-mode en global-encryption-strength.

Authenticatie-instellingen
De volgende lijst rangschikt de verificatiewaarden van zwak naar sterk:

  1. none
    Niet veilig; Dit is de standaardinstelling.

  2. anonymous
    Deze optie is niet beveiligd tegen MITM-aanvallen.
    Gegevens tijdens de vlucht worden versleuteld.

  3. one-way
    Voor deze methode zijn certificaten vereist.
    Dit is niet beveiligd tegen MITM-aanvallen.
    Gegevens tijdens de vlucht worden versleuteld.

  4. two-way-password
    Deze optie is beveiligd tegen MITM-aanvallen.
    Gegevens tijdens de vlucht worden versleuteld.

  5. two-way
    Voor deze optie is de gebruiker van certificaten vereist.
    Dit is de veiligste optie en is veilig tegen MITM-aanvallen.
    Gegevens tijdens de vlucht worden versleuteld.

Houd er rekening mee dat anonymous als one-way Zijn alleen toegestaan voor instellingen per client, niet voor algemene instellingen.

Versleutelingsinstellingen
In de volgende lijst worden de versleutelingswaarden gerangschikt van zwak naar sterk:

  1. none
    Niet veilig; Dit is de standaardinstelling.
    Kan alleen worden opgegeven als de authenticatie "none" is.

  2. medium
    Maakt gebruik van AES 128 en SHA-1

  3. high
    Maakt gebruik van AES 256 en SHA-1

Zowel medium als high gebruik SHA-1 afhankelijk van de clientversie en authenticatiemodus. Zie de tabel In-flight Encryption voor meer informatie.

Globale authenticatie
De drie opties voor de globale authenticatiemodus bieden verschillende beschermingsniveaus en achterwaartse compatibiliteit.
Globale authenticatie- en versleutelingswaarden kunnen alleen worden ingesteld via opdrachtregelinterface-opdrachten (CLI) op de DD Boost Server. De CLI-opdrachten die u gebruikt om deze waarden in te stellen, worden beschreven in de volgende secties.

geen

ddboost option set global-authentication-mode none
global-encryption-strength none

Dit is de minst veilige, maar meest achterwaarts compatibele optie.
U kunt kiezen uit none als uw systeem cruciale prestatievereisten heeft en u geen bescherming tegen MITM-aanvallen nodig heeft.
Uw systeem kan op dezelfde manier werken als voorheen zonder prestatieverlies als gevolg van TLS.
Als u een andere instelling voor verificatie selecteert dan none, kan de versleutelingsinstelling niet worden none.

Wachtwoord voor twee richtingen

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

De tweerichtingswachtwoordmethode voert tweerichtingsverificatie uit met behulp van TLS met PSK-verificatie (Pre-Shared Key). Zowel de client als het beveiligingssysteem worden geverifieerd met behulp van de vooraf vastgestelde wachtwoorden. Wanneer deze optie is geselecteerd, worden alle gegevens en berichten tussen de client en het beveiligingssysteem versleuteld.
Deze optie is de enige veilige optie die beschikbaar is met DD Boost voor OpenStorage en beschermt volledig tegen man-in-the-middle (MITM)-aanvallen.
De versleutelingssterkte moet gemiddeld of hoog zijn.
Wachtwoordverificatie in twee richtingen is uniek omdat het de enige methode is die zowel veilig is tegen MITM als kan worden gedaan zonder dat de beller dit specificeert.

Twee richtingen

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dit is de veiligste optie.
De tweerichtingsoptie maakt gebruik van TLS met certificaten. Tweerichtingsverificatie wordt bereikt met behulp van certificaten die door de applicatie worden verstrekt.
Deze instelling is compatibel met bestaand gebruik van certificaten. Globale authenticatie instellen op two-way Vereist dat alle applicaties die verbinding maken met het beveiligingssysteem certificaten ondersteunen en leveren.
Elke toepassing die geen certificaten ondersteunt en geen tweerichtingsverificatie specificeert en certificaten levert via de ddp_connect_with_config API mislukt.

De optie voor tweerichtingsverificatie is niet beschikbaar met DD Boost voor OpenStorage. Als de globale verificatiemodus is ingesteld op two-way, mislukken alle OST-toepassingen.

Achterwaartse compatibiliteitsscenario's
Oudere client en nieuw beveiligingssysteem
In dit geval wordt een applicatie met behulp van een Boost-bibliotheek gebruikt met DDOS 6.1 of hoger. In dit scenario kan de client geen tweerichtingswachtwoordverificatie uitvoeren, wat de volgende gevolgen heeft:

  • Alle algemene authenticatie-instellingen moeten worden ingesteld op: none of two-way aangezien de klant niet kan presteren two-way-password Verificatie.
    Instellingen voor verificatie per client kunnen elke waarde zijn, behalve two-way-password om dezelfde reden.
  • Alle algemene of per-client-instellingen van een wachtwoord in twee richtingen zorgen ervoor dat applicaties met oudere clientbibliotheken mislukken.
  • Het nieuwe beveiligingssysteem ondersteunt bestaande verbindingsprotocollen voor oude clients.

Nieuwe client en ouder beveiligingssysteem
Het oudere beveiligingssysteem kan niet functioneren two-way-password authenticatie, die de volgende gevolgen heeft:

  • Er zijn geen algemene authenticatie- of versleutelingsinstellingen.
  • De instelling voor verificatie van het beveiligingssysteem per client kan niet worden two-way password.
  • De client zal eerst proberen het nieuwe verbindingsprotocol of RPC te gebruiken. Bij een storing keert de client terug naar het oude protocol.
  • De client kan verbinding maken met andere verificatiemethoden, behalve two-way-password.

Voorbeelden van
instellingen voor authenticatie en versleutelingIn de volgende tabellen ziet u voorbeelden waarin instellingen worden opgegeven met behulp van aanroepen, instellingen per client en algemene instellingen, en of deze instellingen kunnen slagen.
In deze voorbeelden wordt ervan uitgegaan dat u een DD Boost-clientverbinding hebt met een beveiligingssysteem met DDOS 6.1 of hoger. Deze voorbeelden zijn niet van toepassing op een van de situaties die worden beschreven in Achterwaartse compatibiliteitsscenario's.

Als de algemene of per-clientinstelling tweerichtingsverificatie vereist, moet de beller dit specificeren en de benodigde certificaten verstrekken.

Eén instelling

Oproep specificeert Instellingen per client Algemene instellingen Gebruikte waarden
Geen Geen Geen GESLAAGD
Authenticatie: geen
Encryptie: geen
Authenticatie: tweerichtingswachtwoord
Encryptie: gemiddeld		 Geen Geen GESLAAGD Authenticatie: tweerichtingswachtwoord

Encryptie: gemiddeld
Geen Authenticatie: tweerichtingswachtwoord
Encryptie: gemiddeld		 Geen GESLAAGD Authenticatie: tweerichtingswachtwoord

Encryptie: gemiddeld
Geen Geen Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld GESLAAGD Authenticatie: tweerichtingswachtwoord

Encryptie: gemiddeld
Geen Geen Authenticatie: tweerichtingsversleuteling
: hoog		 MISLUKT
Tweerichtingsverkeer en hoog zijn vereist.
De klant moet een tweerichtingsverkeer opgeven en certificaten verstrekken.
Authenticatie: tweerichtingsversleuteling: hoog Geen Geen GESLAAGD Authenticatie: tweerichtingsverkeer

Encryptie: hoog

Meerdere instellingen

Oproep specificeert Instellingen per client Algemene instellingen Gebruikte waarden
Authenticatie: tweerichtingsversleuteling
: gemiddeld		 Geen Authenticatie: tweerichtingsversleuteling
: hoog		 MISLUKT Tweerichtingsverkeer en hoog zijn vereist.
Geen Authenticatie: tweerichtingsversleuteling
: hoog		 Authenticatie: tweerichtingswachtwoord
Encryptie: gemiddeld		 MISLUKT Tweerichtingsverkeer en hoog zijn vereist.
De klant moet een tweerichtingsverkeer opgeven en certificaten verstrekken.
Authenticatie: tweerichtingsversleuteling
: hoog		 Authenticatie: tweerichtingswachtwoord
Encryptie: hoog		 Authenticatie: tweerichtingsversleuteling
: gemiddeld		 GESLAAGD Authenticatie: tweerichtingsverkeer
Encryptie: hoog
Geen Authenticatie: tweerichtingswachtwoord
Encryptie: gemiddeld		 Authenticatie: tweerichtingsversleuteling
: gemiddeld		 MISLUKT Tweerichtingsverkeer en gemiddeld zijn vereist.
De klant moet een tweerichtingsverkeer opgeven en certificaten verstrekken.
Authenticatie: tweerichtingsversleuteling
: hoog		 Authenticatie: tweerichtingsversleuteling
: gemiddeld		 Authenticatie: tweerichtingsversleuteling
: gemiddeld		 GESLAAGD Authenticatie: tweerichtingsverkeer
Encryptie: hoog

 

Additional Information

Data Domain: De standaard verificatiemodus voor DDBoost-clients biedt geen over-the-wire-versleuteling.
Data Domain - Certificaten voor DD Boost beheren

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 06 شوال 1447
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.