Data Domain: Globalne uwierzytelnianie i szyfrowanie DD Boost

Summary: Ten artykuł zawiera informacje na temat globalnego uwierzytelniania i szyfrowania DD Boost, które zostały zaczerpnięte z najnowszych aktualnych informacji z dokumentacji DD OS 7.13 Boost. W tym przewodniku „System PowerProtect DD”, „system ochrony” lub po prostu „system” widzi urządzenia PowerProtect z serii DD z systemem operacyjnym DD w wersji 7.4 lub nowszej i starsze systemy PowerProtect DD. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Poprawa szyfrowania i uwierzytelniania zależy od zgodności klienta. Zapoznaj się z poniższymi informacjami i tabelami.
Ustawienia uwierzytelniania i szyfrowania można określić na trzy sposoby, które opisano w dalszej części tego dokumentu.

Resetowanie siły globalnego szyfrowania i usuwanie błędów w Dell Data Domain.

Czas trwania: 00:03:32 (gg:mm:ss)
Jeśli są dostępne, ustawienia języka napisów kodowanych można wybrać za pomocą ikony CC w tym odtwarzaczu wideo.

Szyfrowanie w locie
Szyfrowanie w locie umożliwia aplikacjom szyfrowanie kopii zapasowych w locie lub przywracanie danych przez sieć LAN z systemu ochrony. Ta funkcja została wprowadzona w celu zapewnienia bezpieczniejszego transportu danych.
Po skonfigurowaniu klient może używać protokołu TLS do szyfrowania sesji między klientem a systemem ochrony. Konkretny używany zestaw szyfrowania podano w poniższej tabeli.

Używany zestaw szyfrowania to ADH-AES256-SHA, jeśli wybrano opcję szyfrowania o wysokim poziomie szyfrowania, lub ADHAES128-SHA, jeśli wybrano opcję szyfrowania średniego .

DD Boost Client od 3.3 do 7.0 i 7.5 Po 7.5

  DDOS 7.5 i nowsze
    Szyfrowanie średnie Szyfrowanie wysokie
DD Boost Client od 3.3 do 7.0 i DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Client 7.5 i nowsze Certyfikaty jedno- lub dwukierunkowe DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client od 3.3 do 7.0 i 7.5 Po 7.5 (ciąg dalszy)

  DDOS 7.4 i starsze
    Szyfrowanie średnie Szyfrowanie wysokie
DD Boost Client od 3.3 do 7.0 i DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Client 7.5 i nowsze Certyfikaty jedno- lub dwukierunkowe DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost Client od 7.1 do 7.4

  DDOS 7.5 i nowsze
DD Boost Client od 7.1 do 7.4   Szyfrowanie średnie Szyfrowanie wysokie
ANON ADH-AES128-SHA ADH-AES256--SHA
Certyfikaty jedno- lub dwukierunkowe DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 do 7.4 (ciąg dalszy)

  DDOS 7.4 i starsze
DD Boost Client od 7.1 do 7.4   Szyfrowanie średnie Szyfrowanie wysokie
ANON ADH-AES128- SHA ADH-AES256-- SHA
Certyfikaty jedno- lub dwukierunkowe DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

W przypadku DDOS 7.12 i nowszych tryb uwierzytelniania w przypadku nowych instalacji domyślnie ustawia się na brak , a siła szyfrowania jest domyślnie średnia .

Domyślne opcje globalne są zgodne z poprzednimi wersjami, co oznacza, że:

  •  Nie trzeba aktualizować biblioteki DD Boost. Wszyscy istniejący klienci i aplikacje działają w ten sam sposób z domyślnymi ustawieniami nowych opcji.
  • Klienci i aplikacje korzystające z certyfikatów z transport layer security (TLS) mogą nadal działać bez zmian.

Globalne uwierzytelnianie i szyfrowanie
DD Boost oferuje globalne opcje uwierzytelniania i szyfrowania w celu ochrony systemów przed atakami typu man-in-the-middle (MITM).
Opcje globalne zapewniają ochronę nowych klientów, ale także umożliwiają skonfigurowanie różnych wartości dla każdego klienta. Ponadto ustawienia klienta mogą tylko wzmocnić bezpieczeństwo, a nie je zmniejszyć.
Ustawienie trybu uwierzytelniania globalnego i siły szyfrowania określa minimalne poziomy uwierzytelniania i szyfrowania. Wszystkie próby połączenia przez wszystkich klientów muszą spełniać lub przekraczać te poziomy.

Te środki nie są domyślnie włączone; Ustawienia należy zmienić ręcznie.

Domyślne opcje globalne są zgodne z poprzednimi wersjami, co oznacza, że:

  • Nie trzeba aktualizować biblioteki DD Boost.
    Wszyscy istniejący klienci i aplikacje działają w ten sam sposób z domyślnymi ustawieniami nowych opcji.
  • Nie ma to wpływu na wydajność, ponieważ nie ma dodatkowego szyfrowania.
  • Klienci i aplikacje korzystające z certyfikatów z transport layer security (TLS) mogą nadal działać bez zmian.
    jeśli ustawienia globalne różnią się od ustawień domyślnych, może być konieczna aktualizacja istniejących klientów.

Metody ustawiania uwierzytelniania i szyfrowania
Ustawienia uwierzytelniania i szyfrowania można określić na trzy sposoby.

  • Prośba o
    połączenie Można to zrobić za pomocą przycisku ddp_connect_with_config Interfejs API w aplikacji klienckiej.
  • Ustawienia
    dla poszczególnych klientów Można to zrobić za pomocą poleceń CLI w systemie ochrony.
  • Ustawienia
    globalne Można to zrobić za pomocą poleceń CLI w systemie ochrony.

Jeśli ustawiono zarówno wartości dla poszczególnych klientów, jak i globalne, wymuszane jest silniejsze lub wyższe ustawienie. Każdy klient, który próbuje połączyć się ze słabszym ustawieniem uwierzytelniania lub szyfrowania, jest odrzucany.

Ustawienia uwierzytelniania i szyfrowania
Przy podejmowaniu decyzji o ustawieniach uwierzytelniania i szyfrowania można wziąć pod uwagę kilka czynników. Zaleca się jednak, aby zawsze wybierać maksymalne dostępne ustawienie w celu zapewnienia maksymalnego bezpieczeństwa.
Maksymalne zabezpieczenia wpływają na wydajność. Jeśli masz kontrolowane środowisko, w którym nie są wymagane maksymalne zabezpieczenia, możesz użyć innych ustawień.

Ustawienia globalne
Ustawienie globalne określa minimalne poziomy uwierzytelniania i szyfrowania. Próby połączenia, które nie spełniają tych kryteriów, kończą się niepowodzeniem.

Ustawienia dla poszczególnych klientów
Jeśli ustawienie jest zdefiniowane dla poszczególnych klientów, wybrane ustawienie musi być zgodne z maksymalnym ustawieniem uwierzytelniania według klienta i maksymalnym ustawieniem uwierzytelniania globalnego.
Na przykład:

  • Jeśli klient jest skonfigurowany do wymagania two-way password uwierzytelnianie, a globalne ustawienie uwierzytelniania to two-way TLSNastępnie two-way TLS Należy użyć uwierzytelniania.
  • Jeśli klient jest skonfigurowany z ustawieniem uwierzytelniania two-way TLS a otoczenie globalne to two-way passwordsNastępnie two-way TLS muszą być użyte.

Wartości określone przez wywołującego
Jeśli wartości określone przez obiekt wywołujący są niższe niż ustawienia globalne lub według klienta, połączenie nie jest dozwolone. Jeśli jednak wartości określone przez obiekt wywołujący są wyższe niż ustawienia globalne lub dla klienta, połączenie jest nawiązywane przy użyciu wartości określonych przez obiekt wywołujący.
Na przykład, jeśli obiekt wywołujący określi two-way-password Jednak wartość globalna lub na klienta to two-way, próba połączenia nie powiodła się. Jeśli jednak wywołujący określił two-way a wartości globalne i na klienta to two-way-password, two-way Używane jest uwierzytelnianie.

Opcje uwierzytelniania i szyfrowania
Możesz wybrać jedno z trzech dozwolonych ustawień zarówno dla ustawień globalnych, jak i ustawień uwierzytelniania i szyfrowania.
W przypadku ustawień dla poszczególnych klientów dozwolonych jest pięć ustawień uwierzytelniania i trzy ustawienia szyfrowania (takie same ustawienia szyfrowania jak w przypadku ustawień globalnych).

wartości uwierzytelniania i szyfrowania muszą być ustawione jednocześnie ze względu na zależności.

Globalne opcje uwierzytelniania i szyfrowania
Dostępnych jest wiele opcji, w tym global-authentication-mode i global-encryption-strength.

Ustawienia uwierzytelniania
Poniższa lista klasyfikuje wartości uwierzytelniania od najsłabszej do najsilniejszej:

  1. none
    Niezabezpieczony; Jest to ustawienie domyślne.

  2. anonymous
    Ta opcja nie jest zabezpieczona przed atakami MITM.
    Dane w locie są szyfrowane.

  3. one-way
    Ta metoda wymaga użycia certyfikatów.
    Nie jest to zabezpieczenie przed atakami MITM.
    Dane w locie są szyfrowane.

  4. two-way-password
    Ta opcja jest zabezpieczona przed atakami MITM.
    Dane w locie są szyfrowane.

  5. two-way
    Ta opcja wymaga użytkownika certyfikatów.
    Jest to najbezpieczniejsza opcja, chroniąca przed atakami MITM.
    Dane w locie są szyfrowane.

Należy pamiętać, że anonymous i one-way są dozwolone tylko w przypadku ustawień dla klienta, a nie dla ustawień globalnych.

Ustawienia szyfrowania
Poniższa lista klasyfikuje wartości szyfrowania od najsłabszej do najsilniejszej:

  1. none
    Niezabezpieczony; Jest to ustawienie domyślne.
    Można określić tylko wtedy, gdy uwierzytelnianie ma wartość "none".

  2. medium
    Wykorzystuje standardy AES 128 i SHA-1.

  3. high
    Wykorzystuje AES 256 i SHA-1

Zarówno medium i high zastosuj algorytm SHA-1 w zależności od wersji klienta i trybu uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z tabelą In-flight Encryption.

Uwierzytelnianie globalne
Trzy opcje trybu uwierzytelniania globalnego oferują różne poziomy ochrony i zgodność z poprzednimi wersjami.
Globalne wartości uwierzytelniania i szyfrowania można ustawić tylko za pomocą poleceń interfejsu wiersza poleceń (CLI) na serwerze DD Boost. Polecenia interfejsu wiersza polecenia używane do ustawiania tych wartości zostały opisane w poniższych sekcjach.

brak

ddboost option set global-authentication-mode none
global-encryption-strength none

Jest to najmniej bezpieczna, ale najbardziej zgodna z poprzednimi wersjami opcja.
Możesz wybrać opcję none jeśli Twój system ma kluczowe wymagania dotyczące wydajności i nie potrzebujesz ochrony przed atakami MITM.
System może działać w taki sam sposób jak wcześniej bez pogorszenia wydajności z powodu protokołu TLS.
W przypadku wybrania innego ustawienia uwierzytelniania niż none, ustawienie szyfrowania nie może być none.

Hasło dwukierunkowe

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Metoda hasła dwukierunkowego przeprowadza uwierzytelnianie dwukierunkowe przy użyciu protokołu TLS z uwierzytelnianiem za pomocą klucza wstępnego (PSK). Zarówno klient, jak i system ochrony są uwierzytelniane za pomocą wcześniej ustalonych haseł. Po wybraniu tej opcji wszystkie dane i komunikaty między klientem a systemem ochrony są szyfrowane.
Ta opcja jest jedyną bezpieczną opcją dostępną w DD Boost for OpenStorage i chroni w pełni przed atakami typu man-in-the-middle (MITM).
Siła szyfrowania musi być średnia lub wysoka.
Uwierzytelnianie dwukierunkowym hasłem jest unikatowe, ponieważ jest to jedyna metoda, która jest zarówno zabezpieczona przed MITM, jak i może być wykonana bez określania jej przez dzwoniącego.

Dwukierunkowe

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Jest to najbezpieczniejsza opcja.
Opcja dwukierunkowa wykorzystuje protokół TLS z certyfikatami. Uwierzytelnianie dwukierunkowe odbywa się przy użyciu certyfikatów udostępnianych przez aplikację.
To ustawienie jest zgodne z istniejącym użyciem certyfikatów. Ustawianie uwierzytelniania globalnego na two-way Wymaga, aby wszystkie aplikacje łączące się z systemem ochrony obsługiwały i dostarczały certyfikaty.
Dowolna aplikacja, która nie obsługuje certyfikatów i nie określa uwierzytelniania dwukierunkowego oraz udostępnia certyfikaty za pośrednictwem ddp_connect_with_config Interfejs API kończy się niepowodzeniem.

opcja uwierzytelniania dwukierunkowego nie jest dostępna w przypadku DD Boost for OpenStorage. Jeśli tryb uwierzytelniania globalnego ma wartość two-way, wszystkie aplikacje OST kończą się niepowodzeniem.

Scenariusze zgodności z poprzednimi wersjami
Starszy klient i nowy system ochrony
W takim przypadku aplikacja korzystająca z biblioteki Boost jest używana z DDOS 6.1 lub nowszym. W tym scenariuszu klient nie może wykonywać uwierzytelniania dwukierunkowego za pomocą hasła, co ma następujące konsekwencje:

  • Wszystkie globalne ustawienia uwierzytelniania muszą mieć wartość none lub two-way Ponieważ klient nie może wykonać two-way-password Uwierzytelniania.
    Ustawienia uwierzytelniania dla poszczególnych klientów mogą mieć dowolną wartość z wyjątkiem two-way-password z tego samego powodu.
  • Wszelkie globalne ustawienia hasła dwukierunkowego lub dla poszczególnych klientów powodują niepowodzenie aplikacji ze starszymi bibliotekami klienckimi.
  • Nowy system ochrony obsługuje istniejące protokoły połączeń dla starych klientów.

Nowy klient i starszy system
ochronyStarszy system ochrony nie może działać two-way-password uwierzytelnianie, które ma następujące konsekwencje:

  • Brak globalnych ustawień uwierzytelniania i szyfrowania.
  • Ustawienie uwierzytelniania systemu ochrony poszczególnych klientów nie może być two-way password.
  • Klient najpierw spróbuje użyć nowego protokołu połączenia lub RPC. Po awarii klient powraca do starego protokołu.
  • Klient może łączyć się za pomocą innych metod uwierzytelniania z wyjątkiem two-way-password.

Przykłady
ustawień uwierzytelniania i szyfrowaniaW poniższych tabelach przedstawiono przykłady, w których ustawienia są określane przy użyciu wywołań, ustawień dla klienta i ustawień globalnych oraz czy te ustawienia mogą zakończyć się pomyślnie.
W tych przykładach założono, że klient DD Boost ma połączenie z systemem ochrony z DDOS 6.1 lub nowszym. Przykłady te nie dotyczą sytuacji opisanych w scenariuszach zgodności z poprzednimi wersjami.

jeśli ustawienie globalne lub dla poszczególnych klientów wymaga uwierzytelniania dwukierunkowego, wywołujący musi je określić i podać niezbędne certyfikaty.

Jedno ustawienie

Wywołanie określa Ustawienia dla poszczególnych klientów Ustawienia globalne Wykorzystane wartości
None None None SUCCEEDS
Uwierzytelnianie: brak
Szyfrowanie: brak
Uwierzytelnianie: dwukierunkowe hasło
Szyfrowanie: średnie		 None None POWODZENIEM Uwierzytelnianie: dwukierunkowe
hasło
Szyfrowanie: średnie
None Uwierzytelnianie: dwukierunkowe hasło
Szyfrowanie: średnie		 None POWODZENIEM Uwierzytelnianie: dwukierunkowe
hasło
Szyfrowanie: średnie
None None Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie POWODZENIEM Uwierzytelnianie: dwukierunkowe
hasło
Szyfrowanie: średnie
None None Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie		 NIEPOWODZENIA
Wymagane są dwukierunkowe i wysokie.
Klient musi określić dwukierunkowość i dostarczyć certyfikaty.
Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie None None POWODZENIEM Uwierzytelnianie: dwukierunkowe

Szyfrowanie: wysokie

Wiele ustawień

Wywołanie określa Ustawienia dla poszczególnych klientów Ustawienia globalne Wykorzystane wartości
Uwierzytelnianie: dwukierunkowe
Szyfrowanie: średnie		 None Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie		 NIEPOWODZENIE Wymagane są dwukierunkowe i wysokie.
None Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie		 Uwierzytelnianie: dwukierunkowe hasło
Szyfrowanie: średnie		 NIEPOWODZENIA Wymagane są dwukierunkowe i wysokie.
Klient musi określić dwukierunkowość i dostarczyć certyfikaty.
Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie		 Uwierzytelnianie: dwukierunkowe hasło
Szyfrowanie: wysokie		 Uwierzytelnianie: dwukierunkowe
Szyfrowanie: średnie		 POWODZENIEM Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie
None Uwierzytelnianie: dwukierunkowe hasło
Szyfrowanie: średnie		 Uwierzytelnianie: dwukierunkowe
Szyfrowanie: średnie		 NIEPOWODZENIA Wymagany
jest dwukierunkowy i średni.Klient musi określić dwukierunkowość i dostarczyć certyfikaty.
Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie		 Uwierzytelnianie: dwukierunkowe
Szyfrowanie: średnie		 Uwierzytelnianie: dwukierunkowe
Szyfrowanie: średnie		 POWODZENIEM Uwierzytelnianie: dwukierunkowe
Szyfrowanie: wysokie

 

Additional Information

Data Domain: Domyślny tryb uwierzytelniania dla klientów DDBoost nie zapewnia szyfrowania za pośrednictwem sieci przewodowej.
Data Domain — zarządzanie certyfikatami dla DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 06 شوال 1447
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.