Домен даних: Глобальна автентифікація та шифрування DD Boost

Summary: У цій статті надається інформація про глобальну автентифікацію та шифрування DD Boost, яка базується на останніх актуальних даних з документації DD OS 7.13 Boost. У цьому посібнику «PowerProtect DD System», «система захисту» або просто «система» розглядає пристрої серії PowerProtect DD під роботою DD OS 7.4 або новіших і більш ранніх систем PowerProtect DD. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Покращення шифрування та автентифікація залежать від сумісності з клієнтами. Ознайомтеся з інформацією та таблицями нижче.
Ви можете зазначити налаштування автентифікації та шифрування трьома способами, які описані далі в цьому документі.

Як скинути глобальну силу шифрування та очистити помилки в домені даних Dell.

Тривалість: 00:03:32 (hh:mm:ss)
Коли доступно, налаштування мови субтитрів (субтитри) можна вибрати за допомогою іконки CC на цьому відеоплеєрі.

Шифрування
в польотіШифрування під час польоту дозволяє додаткам шифрувати резервне копіювання або відновлювати дані під час польоту через локальну мережу з системи захисту. Цю функцію було впроваджено для забезпечення більш безпечної можливості передачі даних.
Після налаштування клієнт може використовувати TLS для шифрування сесії між клієнтом і системою захисту. Конкретний набор шифрів, що використовується, наведений у таблиці нижче.

Конкретний набір шифрів — це або ADH-AES256-SHA, якщо вибрано опцію високого шифрування, або ADHAES128-SHA, якщо вибрано опцію середнього шифрування.

Клієнт DD Boost 3.3 до 7.0 і 7.5 після 7.5

  DDOS 7.5 і далі
    Засіб шифрування Високий рівень шифрування
Клієнт DD Boost 3.3 до 7.0 та DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Клієнт 7.5 і далі Односторонні або двосторонні сертифікати DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

Клієнт DD Boost 3.3 до 7.0 і 7.5 після 7.5 (продовження)

  DDOS 7.4 і раніше
    Засіб шифрування Високий рівень шифрування
Клієнт DD Boost 3.3 до 7.0 та DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Клієнт 7.5 і далі Односторонні або двосторонні сертифікати DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

Клієнт DD Boost з 7.1 по 7.4

  DDOS 7.5 і далі
Клієнт DD Boost з 7.1 по 7.4   Засіб шифрування Високий рівень шифрування
ANON ADH-AES128-SHA ADH-AES256--SHA
Односторонні або двосторонні сертифікати DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

Клієнт DD Boost 7.1 по 7.4 (продовження)

  DDOS 7.4 і раніше
Клієнт DD Boost з 7.1 по 7.4   Засіб шифрування Високий рівень шифрування
ANON ADH-AES128- SHA ADH-AES256-- SHA
Односторонні або двосторонні сертифікати DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Для DDOS 7.12 і новіших версій режим автентифікаціївідсутній , а Encryption Strength за замовчуванням є середнім для нових встановлень.

Стандартні глобальні опції є зворотно сумісними, що означає:

  •  Вам не потрібно оновлювати бібліотеку DD Boost. Усі існуючі клієнти та додатки працюють однаково з налаштуваннями нових опцій за замовчуванням.
  • Клієнти та додатки, які використовують сертифікати з транспортним рівнем безпеки (TLS), можуть продовжувати працювати без змін.

Глобальна автентифікація та шифрування
DD Boost пропонує глобальну автентифікацію та шифрування для захисту систем від атак «людина посередині» (MITM).
Глобальні опції забезпечують захист нових клієнтів, а також дозволяють налаштовувати різні значення для кожного клієнта. Крім того, налаштування клієнта можуть лише посилити безпеку, а не зменшувати її.
Встановлення глобального режиму автентифікації та сили шифрування встановлює мінімальні рівні автентифікації та шифрування. Усі спроби підключення з боку всіх клієнтів повинні відповідати або перевищувати ці рівні.

Ці заходи за замовчуванням не ввімкнені; Налаштування потрібно змінювати вручну.

Стандартні глобальні опції є зворотно сумісними, що означає:

  • Вам не потрібно оновлювати бібліотеку DD Boost.
    Усі існуючі клієнти та додатки працюють однаково з налаштуваннями нових опцій за замовчуванням.
  • Це не впливає на продуктивність, оскільки немає додаткового шифрування.
  • Клієнти та додатки, які використовують сертифікати з транспортним рівнем безпеки (TLS), можуть продовжувати працювати без змін.
    Якщо глобальні налаштування відрізняються від стандартних, існуючі клієнти можуть потребувати оновлення.

Методи налаштування автентифікації та шифрування
Ви можете задати налаштування автентифікації та шифрування трьома способами.

  • Запит
    на підключення Ви робите це, використовуючи ddp_connect_with_config API у клієнтському додатку.
  • Налаштування
    для кожного клієнта Ви робите це, використовуючи команди CLI у системі захисту.
  • Глобальні налаштування
    Ви робите це за допомогою CLI-команд у системі захисту.

Якщо встановлено як значення для клієнта, так і для глобального рівня, застосовується сильніше або вище налаштування. Будь-який клієнт, який намагається підключитися з слабшим налаштуванням автентифікації або шифрування, відхиляється.

Налаштування
автентифікації та шифруванняПри виборі налаштувань автентифікації та шифрування можна враховувати кілька факторів. Однак рекомендується завжди обирати максимально доступне налаштування для максимальної безпеки.
Максимальна безпека впливає на продуктивність. Якщо у вас контрольоване середовище, де не потрібна максимальна безпека, можливо, варто скористатися іншими налаштуваннями.

Глобальні налаштування
Глобальне налаштування визначає мінімальні рівні автентифікації та шифрування. Спроби підключення, які не відповідають цим критеріям, зазнають невдачі.

Налаштування
для кожного клієнтаЯкщо налаштування визначені для кожного клієнта, обране налаштування має або відповідати, або бути більшим за максимальний налаштування автентифікації для кожного клієнта та максимальний глобальний налаштувань автентифікації.
Наприклад:

  • Якщо клієнт налаштований так, щоб вимагати two-way password Аутентифікація та налаштування глобальної автентифікації мають вигляд two-way TLS, тоді two-way TLS Потрібно використовувати автентифікацію.
  • Якщо клієнт налаштований з налаштуванням автентифікації two-way TLS а глобальне оточення — two-way passwords, тоді two-way TLS потрібно використовувати.

Значення
, визначені викликачемЯкщо значення, визначені викликачем, нижчі за глобальні або налаштування для кожного клієнта, з'єднання не дозволяється. Однак, якщо значення, визначені викликачем, вищі за глобальні або налаштування для клієнта, з'єднання здійснюється за допомогою значень, визначених викликаючим.
Наприклад, якщо абонент вкаже two-way-password Але або глобальне, або значення для клієнта дорівнює two-way, спроба підключення не вдається. Однак, якщо абонент вказав two-way а глобальні та індивідуальні значення для клієнта — two-way-password, two-way використовується автентифікація.

Опції
автентифікації та шифруванняВи можете вибрати одне з трьох дозволених налаштувань як для глобального, так і для аутентифікації та шифрування.
Для налаштувань для кожного клієнта дозволено п'ять налаштувань автентифікації та три налаштування шифрування (ті ж самі налаштування шифрування, що й для глобального).

Значення автентифікації та шифрування мають встановлюватися одночасно через залежності.

Глобальна аутентифікація та опції
шифруванняУ вас є широкий вибір варіантів: режим глобальної автентифікації та потужності глобального шифрування.

Налаштування
автентифікаціїНаступний список ранжує значення автентифікації від найслабших до найсильніших:

  1. none
    Не безпечно; Це налаштування за замовчуванням.

  2. anonymous
    Ця опція не є захищеною від атак MITM.
    Дані під час польоту шифруються.

  3. one-way
    Цей метод вимагає використання сертифікатів.
    Це не є захищеним від атак MITM.
    Дані під час польоту шифруються.

  4. two-way-password
    Цей варіант захищений від атак MITM.
    Дані під час польоту шифруються.

  5. two-way
    Ця опція вимагає від користувача сертифікатів.
    Це найнадійніший варіант і захищений від MITM-атак.
    Дані під час польоту шифруються.

Майте на увазі, що anonymous та one-way дозволені лише для налаштувань для кожного клієнта, а не для глобальних налаштувань.

Налаштування
шифруванняНаступний список ранжує значення шифрування від найслабших до найсильніших:

  1. none
    Не безпечно; Це налаштування за замовчуванням.
    Можна вказати лише якщо автентифікація дорівнює «жодному».

  2. medium
    Використовує AES 128 та SHA-1

  3. high
    Використовує AES 256 та SHA-1

Обидва medium та high використовуйте SHA-1 залежно від версії клієнта та режиму автентифікації. Дивіться таблицю шифрування на борту для отримання додаткової інформації.

Глобальна автентифікація
Три варіанти глобального режиму автентифікації пропонують різні рівні захисту та зворотну сумісність.
Глобальні значення автентифікації та шифрування можна встановлювати лише за допомогою команд інтерфейсу командного рядка (CLI) на сервері DD Boost. Команди CLI, які ви використовуєте для встановлення цих значень, описані в наступних розділах.

жодних

ddboost option set global-authentication-mode none
global-encryption-strength none

Це найменш безпечний, але найбільш зворотно сумісний варіант
.Ви можете обрати none якщо ваша система має важливі вимоги до продуктивності і вам не потрібен захист від MITM-атак.
Ваша система може працювати так само, як і раніше,
без погіршення продуктивності через TLS.Якщо вибрати інше налаштування автентифікації, ніж none, налаштування шифрування не може бути none.

Двосторонній пароль

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Двосторонній метод пароля виконує двосторонню автентифікацію за допомогою TLS з автентифікацією з попередньо спільним ключем (PSK). І клієнт, і система захисту автентифікуються за допомогою раніше встановлених паролів. Коли цей варіант вибрано, усі дані та повідомлення між клієнтом і системою захисту зашифровуються.
Ця опція є єдиною безпечною опцією з DD Boost для OpenStorage і повністю захищає від атак «людина посередині» (MITM).
Сила шифрування має бути середньою або високою.
Двостороння автентифікація паролем унікальна тим, що це єдиний метод, який є захищеним від MITM і можливим без вказівки абонента.

Двосторонній

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Це найнадійніший варіант
.Двосторонній варіант використовує TLS із сертифікатами. Двостороння автентифікація здійснюється за допомогою сертифікатів, наданих додатком.
Це налаштування сумісне з існуючим використанням сертифікатів. Встановлення глобальної автентифікації на two-way вимагає, щоб усі додатки, які підключаються до системи захисту, підтримували та надають сертифікати.
Будь-який додаток, який не підтримує сертифікати, не визначає двосторонню автентифікацію та не надає сертифікати через ddp_connect_with_config API не працює.

Опція двосторонньої автентифікації недоступна в DD Boost для OpenStorage. Якщо глобальний режим автентифікації встановлений на two-way, усі застосунки OST не вдаються.

Сценарії
зворотної сумісностіСтарий клієнт і нова система
захистуУ цьому випадку використовується додаток, що використовує бібліотеку Boost, з DDOS 6.1 або новішою версією. У цьому випадку клієнт не може виконувати двосторонню автентифікацію за паролем, що має такі наслідки:

  • Будь-які налаштування глобальної автентифікації мають бути встановлені на none або two-way оскільки клієнт не може виконувати two-way-password Автентифікація.
    Налаштування автентифікації для кожного клієнта можуть бути будь-якими значеннями, окрім two-way-password З тієї ж причини.
  • Будь-які глобальні або індивідуальні налаштування двосторонніх паролів призводять до збоїв у застосунках зі старими клієнтськими бібліотеками.
  • Нова система захисту підтримує існуючі протоколи підключення для старих клієнтів.

Новий клієнт і стара система
захистуСтара система захисту не може працювати two-way-password Автентифікація, яка має такі наслідки:

  • Глобальної автентифікації чи налаштувань шифрування немає.
  • Налаштування автентифікації системи захисту для кожного клієнта не можуть бути two-way password.
  • Клієнт спочатку спробує скористатися новим протоколом з'єднання або RPC. Після невдачі клієнт повертається до старого протоколу.
  • Клієнт може підключатися до інших методів автентифікації, крім two-way-password.

Приклади
налаштувань автентифікації та шифруванняУ наступних таблицях наведено приклади, коли налаштування задаються за допомогою викликів, налаштувань для кожного клієнта та глобальних налаштувань, а також чи можуть ці налаштування бути успішними.
Ці приклади припускають, що у вас є клієнтське підключення DD Boost до системи захисту з DDOS 6.1 або новішою версією. Ці приклади не застосовуються до жодної з ситуацій, описаних у Сценаріях зворотної сумісності.

Якщо глобальне або індивідуальне налаштування вимагає двосторонньої автентифікації, абонент повинен це вказати і надати необхідні сертифікати.

Один із сетингів

Виклик вказує Налаштування для кожного клієнта Глобальні налаштування Використані значення
Немає Немає Немає УСПІШНО
Автентифікація: немає
Шифрування: немає
Автентифікація: двосторонній пароль
Шифрування: середній		 Немає Немає УСПІШНО
Автентифікація: двосторонній пароль
Шифрування: носій
Немає Автентифікація: двосторонній пароль
Шифрування: середній		 Немає УСПІШНО
Автентифікація: двосторонній пароль
Шифрування: носій
Немає Немає Автентифікація: двосторонній пароль Шифрування: середній УСПІШНО
Автентифікація: двосторонній пароль
Шифрування: носій
Немає Немає Автентифікація: двостороннє
Шифрування: високе		 ПРОВАЛИ
Обов'язкові двосторонні та високі зв'язки.
Клієнт повинен вказати двосторонній зв'язок і надати сертифікати.
Автентифікація: двостороннє Шифрування: високе Немає Немає УСПІШНО
Автентифікація: двостороннє
Шифрування: високе

Декілька налаштувань

Виклик вказує Налаштування для кожного клієнта Глобальні налаштування Використані значення
Автентифікація: двостороннє
Шифрування: носій		 Немає Автентифікація: двостороннє
Шифрування: високе		 ПРОВАЛИ Обов'язкові двосторонні та високі зв'язки.
Немає Автентифікація: двостороннє
Шифрування: високе		 Автентифікація: двосторонній пароль
Шифрування: середній		 ПРОВАЛИ Обов'язкові двосторонні та високі зв'язки.
Клієнт повинен вказати двосторонній зв'язок і надати сертифікати.
Автентифікація: двостороннє
Шифрування: високе		 Автентифікація: двосторонній пароль
Шифрування: високе		 Автентифікація: двостороннє
Шифрування: носій		 УСПІШНО Автентифікація: двостороннє
Шифрування: високе
Немає Автентифікація: двосторонній пароль
Шифрування: середній		 Автентифікація: двостороннє
Шифрування: носій		 FAILS Потрібні двосторонній і середній зв'язок.
Клієнт повинен вказати двосторонній зв'язок і надати сертифікати.
Автентифікація: двостороннє
Шифрування: високе		 Автентифікація: двостороннє
Шифрування: носій		 Автентифікація: двостороннє
Шифрування: носій		 УСПІШНО Автентифікація: двостороннє
Шифрування: високе

 

Additional Information

Домен даних: Стандартний режим автентифікації для клієнтів DDBoost не забезпечує безпроводне шифрування.
Домен даних — Управління сертифікатами для DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 06 شوال 1447
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.