Data Domain: Ofte stillede spørgsmål om kryptering

Oversigt: Denne videnartikel indeholder en samling ofte stillede spørgsmål (FAQ) om DARE (Data Domain Data At Rest Encryption) på en konsolideret placering for at lette referencen.

Berørte produkter

Denne artikel gælder for Denne artikel gælder ikke for Denne artikel er ikke knyttet til et bestemt produkt. Det er ikke alle produktversioner, der er identificeret i denne artikel.

Udforsk andre ressourcer

Instruktioner

Konfiguration af kryptering

Spørgsmål: Hvordan konfigureres DARE (Data at Rest Encryption) på Data Domain?

Svar: DARE kan konfigureres med følgende trin:

Tilføj en krypteringslicens.
1. Få tilføjet en licensfil med en gyldig krypteringslicens.
2. Brug nedenstående kommando til at opdatere e-licensen i Data Domain ved hjælp af den tilgængelige licensfil:
```
# elicense update
```
Tilføj en sikkerhedsansvarlig, og aktivér autorisationer som sikkerhedsansvarlig.
1. Tilføj en bruger med rollen "sikkerhed" (hvis der ikke allerede findes en) ved hjælp af kommandoen:
```
# user add <username> role security
```
2. Aktivér autorisation af sikkerhedsansvarlig ved at logge på som sikkerhedsansvarlig og køre kommandoen:
```
> authorization policy set security-officer enabled
```
Skift tilbage til en admin-konto, og aktiver DARE ved at køre kommandoen:
```
# filesys encryption enable
```

Spørgsmål: Hvilke platforme understøttes med DARE?

Svar: DAR-funktionen understøttes på alle Data Domain-systemer med undtagelse af EDP-systemer (Encryption Disablement Project).

Spørgsmål: Hvordan kan jeg gemme data i klar tekst på Data Domain?

Svar: Brugere kan sikre, at dataene gemmes i klar tekst og ikke krypteres i Data Domain ved at bekræfte, at kryptering er slået fra i opsætningen.

Kryptering kan deaktiveres i Data Domain ved hjælp af kommandoen:

# filesys encryption disable

Spørgsmål: Hvilke sikkerhedskopieringsprogrammer og -protokoller understøttes af DARE?

Svar: DAR-funktionen er uafhængig af det underliggende sikkerhedskopieringsprogram eller den protokol, der anvendes af Data Domain.

Spørgsmål: Hvilke krypteringsalgoritmer kan bruges?

Svar: Data Domain-krypteringssoftwaren understøtter AES 128- eller 256-bit algoritmer ved hjælp af CBC (Cipher Block Chaining) eller Galois Counter Mode (GCM).

GCM er en driftsform for symmetriske kryptografiske nøgleblokcifre. Det er en godkendt krypteringsalgoritme designet til at give både godkendelse og privatliv (fortrolighed). Som navnet antyder, kombinerer GCM den velkendte tællertilstand for kryptering med den nye Galois-godkendelsestilstand. Godkendelsesaspektet af GCM garanterer, at de data, der blev krypteret, blev udført af Data Domain-systemet og ikke blev "injiceret" på anden måde. Dette adskiller sig fra CBC, hvor data er krypteret (privatlivsaspekt), men der er ingen kontrol af ægtheden af de krypterede data.

I CBC-tilstand er hver blok af almindelig tekst eksklusiv ORed (XOR) med den forrige chiffertekstblok, før den krypteres. På denne måde afhænger hver chiffertekstblok af alle almindelige tekstblokke, der er behandlet indtil det tidspunkt. For at gøre hver meddelelse unik skal der også bruges en initialiseringsvektor i den første blok. CBC garanterer kun privatlivets fred (fortrolighed) af dataene gennem kryptering. Der udføres ingen godkendelse af krypteringsalgoritmen eller -processen.

Spørgsmål: Hvordan kan krypteringsalgoritmen ændres?

Svar: Brug nedenstående kommando til at indstille en bestemt krypteringsalgoritme:

# filesys encryption algorithm set {aes_128_cbc | aes_256_cbc | aes_128_gcm | aes_256_gcm}

Spørgsmål: Hvordan sikrer jeg, at kryptering udføres på allerede eksisterende data, når kryptering er aktiveret?

Svar: Vi kan tvinge Data Domain-filsystemet til at kryptere de allerede eksisterende data ved hjælp af nedenstående kommando:

# filesys encryption apply-changes

Dette gør den næste rene cyklus betydeligt længere og mere ressourcekrævende end normalt.

Spørgsmål: Hvordan deaktiverer jeg kryptering?

Svar: Deaktiver krypteringsfunktionen i Data Domain ved hjælp af følgende kommando:

# filesys encryption disable

Dette deaktiverer kun kryptering for indgående data. Eksisterende krypterede data forbliver krypterede, indtil de dekrypteres manuelt ved hjælp af kommandoen 'filesys encryption apply-changes'.

Spørgsmål: Hvilke krypteringskommandoer kræver genstart af filsystemet for at træde i kraft?

Svar: Følgende krypteringskommandoer kræver genstart af filsystemet for at træde i kraft:

filesys encryption enable|disable - Aktiverer eller deaktiverer kryptering på Data Domain.
filesys encryption algorithm set - Giver brugeren mulighed for at vælge en kryptografisk algoritme.
filesys encryption algorithm reset - Nulstiller krypteringsalgoritmen til AES 256 i CBC-tilstand (standard).

Spørgsmål: Hvilke krypteringskommandoer kræver deaktivering af filsystemet for at indstille eller bruge dem?

Svar: Data Domain-filsystemet skal deaktiveres, for at du kan angive eller bruge følgende krypteringskommandoer:

encryption passphrase change
encryption lock|unlock

Generelle krypteringsspørgsmål

Spørgsmål: Understøttes DARE på alle Data Domain-systemer?

Svar: DAR-softwareindstillingen understøttes på Data Domain-systemer, der ikke er en del af EDP (Encryption Disablement Project). Disse systemer, der ikke tillader kryptering at blive aktiveret, og sælges hovedsageligt i Rusland-regionen.

Spørgsmål: Hvordan udføres kryptografi på Data Domain-systemer?

Svar: Kryptografi udføres ved hjælp af OpenSSL- og RSA BSafe-bibliotekerne. RSA BSafe er et FIPS 140-2-valideret kryptografibibliotek.

Spørgsmål: Hvilken version af BSafe bruger Data Domain?

Svar: Fra og med DDOS 7.10 er de BSafe-versioner, der er i brug, "BSAFE Micro Edition Suite 4.4.0.0" og "BSAFE Crypto-C Micro Edition: 4.1.4.0."

Spørgsmål: Hvad er de tilgængelige brugergrænseflader til konfiguration af kryptering i DDOS?

Svar: Kryptering kan konfigureres ved hjælp af kommandolinjen, webgrænsefladen eller ved hjælp af REST API'er. REST API-understøttelse blev tilføjet i DDOS version 8.0.

Spørgsmål: Er selektiv kryptering af data mulig? Kan du kun lide et mtree eller en fil?

Svar: Selektiv kryptering er IKKE mulig. Kryptering kan kun aktiveres eller deaktiveres i hele systemet og ikke selektivt. For systemer med cloud-understøttelse kan kryptering aktiveres eller deaktiveres på cloudniveau- og cloudenhedsniveau.

Spørgsmål: Overføres eller gemmes kryptografiske nøgler eller kontoadgangskoder i klar tekst eller under svage cifre, f.eks. når en enhed godkender, i datafil, i programmer eller i godkendelsesmapper?

Svar: Absolut ikke.

Spørgsmål: Hvilken version af OpenSSL bruger Data Domain?

Svar: Fra og med DDOS 7.10 er OpenSSL-versionen "OpenSSL 1.0.2zd-fips."

Spørgsmål: Hvordan beskytter DARE mod dataadgang fra brugere og programmer?

Svar:

Kryptering af data i hvile handler om at kryptere de data, som findes på diskens undersystem. Kryptering eller dekryptering sker ved komprimeringslaget. Brugere eller programmer sender og modtager klare tekstdata til Data Domain, men alle data, der fysisk befinder sig på Data Domain, er krypterede.
Al kryptering sker under filsystemet og navneområdet og er usynlig for brugerne eller programmerne. Hvis en bruger eller et program allerede har autoriseret adgang til en fil eller mappe, kan dataene læses i deres oprindelige format uanset kryptering.
Data Domain-kryptering er designet således, at hvis en ubuden gæst omgår andre netværkssikkerhedskontroller og får adgang til krypterede data, er dataene ulæselige og ubrugelige for den pågældende person uden de korrekte kryptografiske nøgler.

Spørgsmål: Sker kryptering efter deduplikering?

Svar: Ja, kryptering sker på deduplikerede data. Data krypteres, før de gemmes på disken.

Spørgsmål: Hvordan sikrer Data Domain datasikkerheden?

Svar: Data sikres ved hjælp af DAR-funktionen. Når enheden fjernes (head-swap, filsystemlås), fjernes adgangsudtrykket desuden fra systemet. Denne adgangssætning bruges til at kryptere krypteringsnøgler, så dataene beskyttes yderligere.

Spørgsmål: Hvilke advarsler genereres med kryptering?

Svar: Påmindelser genereres i følgende tilfælde:

Når der er kompromitterede krypteringsnøgler til stede
Når krypteringsnøgletabellen er fuld, og der ikke kan føjes flere nøgler til systemet
Når eksport af automatisk nøgle mislykkes
Når automatisk nøglerotation mislykkes
Når kryptering er deaktiveret
Når systemets adgangsudtryk ændres

Spørgsmål: Er der nogen sikkerhedscertificering for DDOS?

Svar: Data Domain-systemer overholder FIPS 140-2.

Spørgsmål: Hvor er krypteringsnøglen gemt?

Svar: Krypteringsnøgler gemmes vedvarende i en samlingspartition i DDOS.

Spørgsmål: Hvis nogen trækker en harddisk ud af et Data Domain, kan de så dekryptere data fra det?

Svar: Krypteringsnøgler krypteres ved hjælp af systemadgangsudtrykket, som er gemt i systemhovedet. Selvom krypteringsnøgler er gemt på disken, kan krypteringsnøgler ikke dekrypteres uden systemets adgangsudtryk. Så uden at kende nøglen, der bruges til at kryptere dataene, er dekryptering ikke mulig fra en harddisk.

Spørgsmål: Hvilke kryptografiske nøgler og adgangskoder er nødvendige for gendannelse, især til genoprettelse efter nedbrud?

Svar: Nøgler kan eksporteres til en sikker fil og opbevares eksternt i forhold til systemet. Gendannelse af denne fil sker ved hjælp af teknik. På tidspunktet for genoprettelse skal kunden også kende det adgangsudtryk, der blev brugt sammen med kommandoen til eksport af nøgler.

Spørgsmål: Hvordan kan filsystemet låses, før systemet flyttes til en anden placering?

Svar: Nedenfor er proceduren for låsning af systemet:

Deaktiver filsystemet:
```
# filesys disable
```

Lås filsystemet, og indtast et nyt adgangsudtryk (dette kræver godkendelse hos en sikkerhedsbruger):

# filesys encryption lock
This command requires authorization by a user having a 'security' role.
Please present credentials for such a user below.
        Username: secuser
        Password:
Enter the current passphrase:
Enter new passphrase:
Re-enter new passphrase:
Passphrases matched.
The filesystem is now locked.

Den nye adgangssætning må IKKE gå tabt eller glemmes. Uden dette adgangsudtryk kan filsystemet ikke låses op, hvilket betyder, at data på Data Domain ikke er tilgængelige.

For at låse systemet op, når det når en fjernplacering, skal du bruge nedenstående kommando:

# filesys encryption unlock
This command requires authorization by a user having a 'security' role.
Please present credentials for such a user below.
        Username: secuser
        Password:
Enter the passphrase:
The passphrase has been verified. Use 'filesys enable' to start the filesystem.

Filsystemet kan nu aktiveres og bruges som normalt.

Spørgsmål: Gør '`storage sanitize`' kommando har noget forhold til filsystemkryptering?

Svar: Nej, filsystemkryptering og lagerrensning er to uafhængige funktioner.

Spørgsmål: Understøttes over-the-wire-kryptering for EDP-systemer?

Svar: DAR- og over-the-wire-kryptering understøttes ikke for EDP-systemer.

Systemadgangsudtryk

Spørgsmål: Hvad er systemadgangsudtrykket?

Svar: DDOS er i stand til at sikre legitimationsoplysninger i systemet ved at angive et adgangsudtryk på systemniveau. Adgangsudtrykket er en menneskelig læsbar nøgle, som f.eks. et smartcard, der bruges til at generere en maskinanvendelig AES 256-krypteringsnøgle.

Det giver to fordele:

Det giver administratoren mulighed for at ændre adgangsudtrykket uden at skulle manipulere krypteringsnøglerne. Ændring af adgangsudtrykket ændrer indirekte krypteringen af nøglerne, men påvirker ikke brugerdata. Ændring af adgangsudtrykket ændrer ikke den underliggende Data Domain-systemkrypteringsnøgle. Det ændrer krypteringen af Data Domain-systemnøglen, men systemnøglen forbliver den samme.
Det gør det muligt at levere et fysisk Data Domain-system med en krypteringsnøgle på systemet, men uden at adgangsudtrykket gemmes på det. På denne måde, hvis boksen stjæles under transit, kan en angriber ikke let gendanne dataene, da systemet kun har krypterede nøgler og krypterede data.

Adgangsudtrykket gemmes internt i en skjult del af Data Domain-lagersystemet. Dette gør det muligt for Data Domain-systemet at starte og fortsætte med at give dataadgang uden administratorindblanding.

Oprettelse eller ændring af adgangssætningen:

Systemadgangsudtrykket kan oprettes ved hjælp af CLI, når en administrator har godkendt med Data Domain.
Systemadgangsudtrykket kan ændres ved hjælp af CLI, når en administrator og en bruger med sikkerhedsrollen (f.eks. en sikkerhedsansvarlig) har godkendt Data Domain. Det betyder, at ingen enkelt administrator kan foretage ændringer uafhængigt.

Spørgsmål: Hvornår bruges adgangsudtrykket?

Svar: Systemadgangsudtrykket bruges som en primær nøgle af forskellige DDOS-komponenter, herunder filsystemkryptering, cloudadgang, certifikatstyring, DD Boost-tokens, systemkonfigurationsmoduler i skalerbare miljøer og licensoplysninger. DDOS indeholder mekanismer til at indstille og ændre dette systemadgangsudtryk. Den indeholder også indstillinger til at styre, om systemets adgangsudtryk gemmes på disken, hvilket især bruges til at øge sikkerheden, når Data Domain transporteres.

Spørgsmål: Hvordan bruges adgangsudtrykket til sikker transport af Data Domain?

Svar: Processen bruger 'filesys encryption lock' kommando, som giver brugeren mulighed for at låse filsystemet ved at ændre adgangssætningen. Brugeren indtaster et nyt adgangsudtryk, der krypterer krypteringsnøglen igen, men det nye adgangsudtryk gemmes ikke. Krypteringsnøglerne kan ikke gendannes, før filsystemet låses op ved hjælp af 'filesys encryption unlock' kommando.

Processen er beskrevet i Data Domain Security Configuration Guides.

Spørgsmål: Hvad sker der, hvis adgangsudtrykket ændres? Kan der stadig opnås adgang til data?

Svar: Ja, ændring af adgangsudtrykket ændrer ikke den underliggende Data Domain-systemkrypteringsnøgle, kun krypteringen af krypteringsnøglen. Som sådan påvirkes dataadgangen ikke.

Spørgsmål: Hvordan kan jeg finde ud af, om der er angivet et adgangsudtryk på systemet?

Svar: Hvis der er angivet et adgangsudtryk på systemet, skal du køre 'system passphrase set' kommando kaster en fejl, der angiver, at adgangsudtrykket allerede er indstillet.

Spørgsmål: Hvad sker der, hvis adgangsudtrykket går tabt eller glemmes?

Svar: Hvis kunden mister adgangsudtrykket, mens boksen er låst, mister kunden sine data. Der er ingen bagdør eller alternativ måde at få adgang til det på. Uden en god proces til styring af denne adgangssætning kunne dette ske ved et uheld, og de ville ikke være i stand til at gendanne nøglen eller dataene. Den krypterede nøgle kan dog aldrig gå tabt eller blive ødelagt på grund af systemets integrerede beskyttelsesmekanismer.

Spørgsmål: Findes der en mekanisme til at nulstille et mistet adgangsudtryk til systemet?

Svar: I visse scenarier kan systemets adgangsudtryk kun nulstilles med magt ved hjælp af kundesupport. Force-update-mekanismen, der blev introduceret i DDOS 7.2, kan kun bruges til dette, hvis specifikke betingelser er opfyldt. Flere detaljer kan findes i denne artikel: Data Domain: Sådan nulstilles et mistet adgangsudtryk til systemet i DDOS v7.2 eller nyere (log på Dell Support påkrævet).

Spørgsmål: Er der mulighed for at undgå at gemme systemadgangsudtrykket på Data Domain?

Svar: Systemadgangsudtrykket gemmes som standard på en skjult placering i Data Domain-systemet. Kommandoen 'system passphrase option store-on-disk' kan bruges til at ændre dette og undgå at gemme adgangsudtrykket på disken.

Embedded Key Manager (EKM)

Kommando på øverste niveau:

# filesys encryption embedded-key-manager <option>

Spørgsmål: Understøttes nøglerotation med EKM?

Svar: Ja, nøglerotation pr. Data Domain-system understøttes med Embedded Key Manager. Via brugergrænsefladen eller CLI kan administratoren oprette en nøglerotationsperiode (ugentligt eller månedligt).

Spørgsmål: Er der et gebyr for den integrerede nøgleadministrationsfunktionalitet?

Svar: Der er intet gebyr for denne funktionalitet. Den er inkluderet som en del af standardsoftwarelicensmuligheden Data Domain Encryption.

Spørgsmål: Kan jeg skifte fra lokal til ekstern nøglehåndtering?

Svar: Ja, eksterne nøgleadministratorer kan aktiveres når som helst. De lokale nøgler, der bruges, forbliver dog på Data Domain. Eksterne nøgleadministratorer kan ikke administrere de lokale nøgler. Eksisterende data kræver ikke genkryptering. Hvis overholdelsesdata skal krypteres igen med EKM-nøgler, skal det gøres manuelt ved hjælp af 'filesys encryption apply-changes') med den nye RW -tasten. Det er ikke obligatorisk at ødelægge EKM-nøgler efter en switch.

Ændring af nøgleadministratorer skifter automatisk den aktive nøgle til nøglen fra KMIP.

Eksempel på, hvordan KMIP-nøglens MUID ser ud, når der sker en switch:

Key-ID     Key MUID                                                                    State                     Key Manger Type
1               be1                                                                    Deactivated               DataDomain

2               49664EE855DF71CB7DC08309414C2B4C76ECB112C8D10368C37966E4E2E38A68       Activated-RW              KeySecure

Spørgsmål: Hvad sker der, når tasterotation deaktiveres eller aktiveres?

Svar: Nøglerotation er som standard deaktiveret. I dette scenarie krypteres alle data med den eksisterende aktive nøgle. Hvis nøglerotation er aktiveret, krypteres dataene med den seneste aktive nøgle baseret på den konfigurerede rotationsfrekvens.

Eksterne nøgleadministratorer

Spørgsmål: Hvilke eksterne nøgleadministratorer understøtter Data Domain?

Svar: Data Domain understøtter nedenstående eksterne nøgleadministratorer:

Gemalto KeySecure (understøttelse tilføjet i DDOS version 7.2)
Vormetric (understøttelse tilføjet i DDOS version 7.3)
CipherTrust (understøttelse tilføjet i DDOS version 7.7)
IBM GKLM (understøttelse tilføjet i DDOS version 7.9)

Spørgsmål: Kræves der en separat licens for at muliggøre integration med en ekstern nøglehåndtering?

Svar: Ja, der kræves en separat licens fra den respektive leverandør for at integrere en ekstern nøgleadministrator med Data Domain.

Spørgsmål: Hvor mange nøgleadministratorer kan bruges ad gangen?

Svar: Kun én nøglehåndtering kan være aktiv ad gangen på et Data Domain.

Spørgsmål: Hvor kan jeg finde flere oplysninger om, hvordan jeg konfigurerer eksterne KMIP-nøgleadministratorer?

Svar: KMIP-integrationsvejledningen til DDOS indeholder detaljerede oplysninger om konfiguration af de forskellige eksterne nøgleadministratorer, der understøttes af Data Domain.

Spørgsmål: Hvordan administreres certifikater for eksterne nøgleadministratorer i Data Domain?

Svar: Konfiguration af den eksterne nøglehåndtering kræver, at der genereres et CA-certifikat (som kan være selvsigneret eller signeret af tredjepart) og et værtscertifikat. Når konfigurationen er udført på den eksterne nøglehåndteringsserver, skal CA-certifikatet og værtscertifikatet importeres til Data Domain-systemet. Derefter kan den eksterne nøglehåndtering konfigureres og aktiveres.

Spørgsmål: Hvad er et nøglecenter?

Svar: Et nøglecenter fungerer som den oprindeligt betroede delte enhed mellem peers og udsteder signerede certifikater for at gøre det muligt for hver part at have tillid til den anden. Et certifikat fungerer generelt som identiteten af en server eller klient.

Spørgsmål: Hvad er et CA-signeret certifikat? Hvad er et lokalt CA-signeret certifikat?

Svar: Et CA-signeret certifikat er et certifikat, der er udstedt og signeret af et offentligt betroet nøglecenter. Der er automatisk tillid til et CA-signeret certifikat. Et lokalt nøglecenter kan udstede signerede certifikater, da den private signeringsnøgle er gemt i nøglehåndteringssystemet. Et eksternt nøglecenter gemmer ikke den private nøgle. I stedet bruges en ekstern CA som en betroet enhed til forskellige grænseflader og tjenester inde i systemet.

Spørgsmål: Hvordan opretter jeg en anmodning om certifikatsignering på et Data Domain?

Svar: En anmodning om datadomænesignering (CSR) kan genereres ved hjælp af nedenstående kommando. På denne måde vises den private nøgle aldrig for den eksterne nøglehåndtering.

# adminaccess certificate cert-signing-request

Spørgsmål: Er det muligt at skifte mellem nøgleadministratorer?

Svar: Skift fra ekstern nøglehåndtering til integreret nøglehåndtering er tilladt og er problemfri. Skift fra integreret nøglehåndtering til eksterne nøgleadministratorer kræver dog passende certifikatinstallation og konfiguration. Skift mellem to eksterne nøgleadministratorer (f.eks.: KMIP-CipherTrust, DSM-Ciphertrust, CipherTrust til GKLM) er også tilladt. Overflytning af nøgler understøttes også (se KMIP-integrationsvejledningen for at få flere oplysninger).

Spørgsmål: Hvad sker der, når den eksterne nøglehåndteringsforbindelse går ned? Er mine data stadig tilgængelige?

Svar: Ja, data er stadig tilgængelige, når vi ikke kan oprette forbindelse til nøglehåndteringen, da en kopi af nøglerne også gemmes i Data Domain. Nye nøgler kan ikke oprettes, og nøgletilstande kan ikke synkroniseres, når der ikke er forbindelse til den eksterne nøglehåndtering.

Spørgsmål: Er det muligt kun at gemme nøgler i den eksterne nøglehåndtering og ikke i Data Domain?

Svar: En kopi af nøglerne gemmes altid i Data Domain-systemet til DIA-formål (Data Invulnerability Architecture). Denne indstilling kan ikke ændres.

Spørgsmål: Påvirkes ydeevnen af integration med KMIP?

Svar: Nej, der er ingen påvirkning af ydeevnen på grund af brugen af eksterne nøgleadministratorer.

Spørgsmål: Er det muligt at udnytte KMIP-løsningen til udvalgte Data Domains i miljøet?

Svar: Ja, kunderne har fuld fleksibilitet, når de skal vælge den relevante krypteringsmetode til deres Data Domains. De kan fortsætte med at udnytte Data Domains integrerede nøglehåndtering på nogle systemer og krypteringsnøglerotationen ved hjælp af KMIP på andre systemer i deres miljø.

Spørgsmål: Er kommunikationen mellem Data Domain og KMIP sikker?

Svar: Ja, Data Domain kommunikerer via X509-certifikatets gensidigt godkendte sessioner med TLS'en. Data Domain CLI kan bruges til at importere det relevante X509-certifikat til Data Domain-systemet. Dette certifikat bruges derefter til at etablere den sikre kanal mellem Data Domain og KMIP.

Vigtig livscyklusadministration

Spørgsmål: Hvilke vigtige administrationsfunktioner findes der med Data Domain-kryptering?

Svar: En nøgleadministrator styrer generering, distribution og livscyklusadministration af flere krypteringsnøgler. Et beskyttelsessystem kan enten bruge den integrerede nøglehåndtering eller en KMIP-kompatibel ekstern nøglehåndtering. Kun én nøglehåndtering kan være i kraft ad gangen. Når kryptering er aktiveret på et beskyttelsessystem, er Embedded Key Manager aktiveret som standard. Hvis der er konfigureret en ekstern nøglehåndtering, erstatter den den integrerede nøglehåndtering og forbliver i kraft, indtil den deaktiveres manuelt. Skift fra Embedded Key Manager til External Key Manager eller omvendt resulterer i, at der føjes en ny nøgle til systemet. Fra og med DDOS 7.1 kræver dette ikke genstart af filsystemet.

Spørgsmål: Hvad er de forskellige nøgletilstande på Data Domain?

De forskellige nøgletilstande på Data Domain er som følger:

Activated-RW: Der er kun én nøgle i denne tilstand på et Data Domain ad gangen, og den bruges til at læse og skrive data. Denne nøgle bruges også af affaldsindsamlingsprocessen til at kryptere containere igen.
Pending-Activated: Der er kun én nøgle i denne tilstand på et Data Domain ad gangen. Dette identificerer den nøgle, der bliver Activated-RW Efter næste genstart af filsystemet. Denne tilstand eksisterer kun på tidspunktet for aktivering af kryptering. Pending-activated Nøgler oprettes ikke på noget andet tidspunkt.
Activated-RO: Eksterne nøgleadministratorer kan have flere aktiverede nøgler. Den seneste nøgle er i Activated-RW, og resten er i denne tilstand. Nøgler kan gå i denne tilstand på Data Domain, når den ikke kan synkronisere tilstand med nøglehåndteringen.
Deactivated: Dette bruges til at læse eksisterende data på Data Domain-systemet.
Compromised: Når en ekstern nøglehåndteringsnøgle kompromitteres, ændres den til denne tilstand efter næste nøglesynkronisering.
Marked-For-Destroyed: Når en kunde markerer en nøgle til destruktion, ændres nøglen til denne tilstand. Når affaldsindsamlingen køres, krypteres alle beholdere med Marked-For-Destroyed nøglerne krypteres igen ved hjælp af Activated-RW -tasten.
Destroyed: En nøgle i Marked-For-Destroyed Tilstanden går i denne tilstand, når der ikke er knyttet nogen data til den.
Destroyed-compromised: En nøgle i Compromised Tilstanden går i denne tilstand, når der ikke er knyttet nogen data til den.

Spørgsmål: Kan krypteringsnøgler eksporteres til genoprettelse efter nedbrud?

Svar: Nøgler kan eksporteres manuelt ved hjælp af nedenstående kommando.

# filesys encryption keys export

Data Domain eksporterer også nøgler som standard, når der tilføjes en ny nøgle, eller når en nøgle slettes fra systemet.

Eksporterede filer findes i /ddr/var/.security bibliotek i krypteret format. Denne fil kan kopieres fra Data Domain og gemmes et sikkert sted til brug i enhver katastrofegendannelsestilstand senere.

Bemærk: Import af nøgler til genoprettelse efter nedbrud kræver indgriben fra kundesupport, da gendannelsesprocessen afhænger af den type katastrofe, der er opstået. Vi kan importere den eksporterede nøglefil ved hjælp af følgende kommando.

# filesys encryption keys import <filename>

Spørgsmål: Er den nøgle, der genereres af KMIP, gemt på Data Domain?

Svar: Ja, krypteringsnøglen fra KMIP gemmes krypteret på Data Domain.

Spørgsmål: Hvordan anvendes en nøgletilstandsændring i KMIP-enheden på Data Domain?

Svar: Nøglesynkronisering sker dagligt. Hvis der er en ny nøgle tilgængelig, eller en nøgles tilstand ændres, opdaterer synkroniseringen tabellen for den lokale nøgle. Data Domain modtager vigtige opdateringer fra KMIP hver dag ved midnat.

Spørgsmål: Er det muligt manuelt at synkronisere nøgletilstandene mellem Data Domain og KMIP?

Svar: Ja, Data Domain CLI eller brugergrænsefladen kan bruges til manuelt at synkronisere nøgletilstandene mellem Data Domain og KMIP. Kommandoen for dette er 'filesys encryption keys sync'.

Spørgsmål: Er det muligt at ændre det tidspunkt, hvor Data Domain modtager vigtige opdateringer fra KMIP?

Svar: Nej, det er ikke muligt at ændre det tidspunkt, hvor Data Domain modtager vigtige opdateringer fra KMIP.

Spørgsmål: Er der en grænse for antallet af nøgler, der gemmes på Data Domain?

Svar: Fra og med DDOS 7.8 kan Data Domain-systemet maksimalt have 1.024 nøgler på systemet. Der er kun én nøgle i Activated-RW Staten; Alle andre nøgler kan være i enhver anden tilstand.

Spørgsmål: Kan forskellige nøgler bruges til forskellige datasæt på Data Domain?

Svar: Nej, Data Domain understøtter kun én aktiv nøgle i systemet ad gangen. Alle indgående data krypteres ved hjælp af den aktuelle aktive nøgle. Taster kan ikke styres ved en finere granularitet (f.eks. pr. MTree).

Spørgsmål: Er der nogen meddelelse, når den maksimale nøglegrænse er nået?

Svar: Ja, der vises en advarsel, når den maksimale nøglegrænse på 1024 er nået.

Spørgsmål: Hvordan rydder jeg advarslen om den maksimale nøglegrænse?

Svar: En af tasterne skal slettes for at rydde advarslen om maksimal nøglegrænse.

Spørgsmål: Kan jeg se mængden af data, der er knyttet til en bestemt nøgle på Data Domain?

Svar: Ja, dette kan ses på Data Domain, men kan ikke ses på KMIP-serveren. Data Domain CLI og brugergrænsefladen giver brugeren mulighed for at se mængden af data, der er knyttet til en bestemt nøgle. Kommandoen for dette er 'filesys encryption keys show summary'.

Spørgsmål: Kan jeg se alderen på nøglerne på Data Domain?

Svar: Ja, det kan ses for EKM-nøgler ved hjælp af brugergrænsefladen.

Spørgsmål: Fungerer den gamle nøgle, selvom tidsperioden er udløbet for at gøre den nye nøgle effektiv?

Svar: Der er ingen udløbsdato for krypteringsnøgler. Gamle nøgler bliver skrivebeskyttede efter tasterotation, og de forbliver i DDOS.

Spørgsmål: Slettes krypteringsnøgler automatisk, når der ikke er knyttet nogen data til dem på Data Domain?

Svar: Nej, nøglen slettes ikke automatisk. Brugeren skal eksplicit slette nøglen ved hjælp af Data Domain CLI eller brugergrænseflade.

Spørgsmål: Kan en nøgle slettes, selvom der er knyttet data til den på Data Domain?

Svar: Nej, hvis en nøgle har data tilknyttet, kan den ikke slettes. Data skal krypteres igen med en anden nøgle for at slette en nøgle, der har data tilknyttet.

Spørgsmål: Hvis en nøgle slettes i KMIP'en, slettes nøglen så også fra Data Domains nøgleliste?

Svar: Nej, brugeren skal uafhængigt slette nøglen ved hjælp af Data Domain CLI eller brugergrænseflade.

Spørgsmål: Kræves der en KMIP på alle placeringer i et Data Domain-miljø med flere lokationer?

Svar: Nej, det er ikke nødvendigt at have en KMIP på hvert websted med et Data Domain. En KMIP-server kan bruges til dem alle. Det anbefales at have en separat nøgleklasse for hvert Data Domain-system, når de bruger den samme KMIP-server.

Spørgsmål: Hvis en nøgle er kompromitteret, er der så en proces til at hente de data, der er krypteret med den gamle nøgle?

Svar: Hvis dette sker, skal kunden markere nøglen som kompromitteret i KMIP-serveren. Derefter på Data Domain:

Kør 'filesys encryption keys sync'.
Kør 'filesys encryption apply-changes'.
Start en rensning af filsystemet.
1. Rengøring krypterer alle data, der blev krypteret med den kompromitterede nøgle ved hjælp af en nyere nøgle.
2. Når rensningen er udført, ændres den gamle nøgletilstand til Compromised-Destroyed.
Slet den gamle nøgle.

Kryptering og replikering

Spørgsmål: Er Data Domain-replikering understøttet og interoperabel med DARE?

Svar: Ja, Data Domain-replikering kan bruges sammen med DARE. Dette gør det muligt at replikere krypterede data ved hjælp af alle forskellige former for replikering. Hver type replikering fungerer unikt med kryptering og tilbyder det samme sikkerhedsniveau.

Spørgsmål: Skal kilde- og destinationssystemerne køre den samme DDOS-version for at bruge kryptering?

Svar: Kilden og destinationen kan være på forskellige DDOS-versioner for at bruge DARE med replikering, hvis de er kompatible til replikering (se Data Domain Administration Guide for kompatibilitetsmatrixen).

Spørgsmål: Hvordan fungerer replikering med kryptering?

Svar: Det afhænger af, hvilken form for replikering der bruges.

Hvis den konfigurerede replikering er mtree-replikering (MREPL) eller MFR (Managed File Replication):

DARE kan licenseres eller aktiveres på enten kilden eller destinationen uafhængigt afhængigt af, hvad kunden ønsker at opnå.
Når kryptering er aktiveret for både kilde og destination:
- Data, der indtages til kilden, krypteres med kildesystemets krypteringsnøgle.
- Kilden dekrypterer de lokale data, krypterer dem igen ved hjælp af destinationssystemets krypteringsnøgle og replikerer derefter de krypterede data til destinationen.
Når kryptering er deaktiveret for kilden, og kryptering er aktiveret for destinationen:
- Data, der indtages til kilden, krypteres ikke.
- Når der replikeres, krypterer kilden dataene ved hjælp af destinationssystemets krypteringsnøgle og replikerer derefter de krypterede data til destinationssystemet.
Når kryptering er aktiveret for kilden, og kryptering er deaktiveret for destinationen:
- Data, der indtages i kildesystemet, krypteres med kildesystemets krypteringsnøgle.
- Kilden dekrypterer dataene og replikerer derefter de ukrypterede data til destinationssystemet.
Hvis kryptering er aktiveret på replikaen, efter replikeringskonteksten er konfigureret, krypteres alle nye segmenter, der nu replikeres, ved kilden til replikaen. Alle segmenter, der var placeret på replikaen, før kryptering blev aktiveret, forbliver i en ikke-krypteret tilstand, medmindre der anvendes ændringer, og der køres rensning på destinationen.

Hvis den konfigurerede replikering er samlingsreplikering (CREPL):

Både kilde- og destinationssystemerne skal køre samme DDOS-udgivelse.
Kryptering skal enten være aktiveret eller deaktiveret på begge. Der kan heller ikke være en uoverensstemmelse i krypteringskonfigurationen. Krypteringsnøgler er de samme med kilde og destination.
Når kryptering er aktiveret for både kilde og destination:
- Alle data, der indtages i kildesystemet, krypteres ved hjælp af kildesystemets krypteringsnøgle.
- Ved replikering sender kilden krypterede data til destinationssystemet i krypteret tilstand.
- Destinationen har samme nøgle som kilden, da samlingsreplikering handler om en nøjagtig replika af kildesystemet.
- Der kan ikke skrives data til destinationen uden replikering, da destinationen er skrivebeskyttet systemet.
Når kryptering er deaktiveret for både kilde og destination:
- Data, der indtages i kildesystemet, krypteres ikke.
- Når du replikerer, sender kilden dataene i en ukrypteret tilstand, og de forbliver ukrypterede på destinationen.
- Der kan ikke skrives data til destinationen uden replikering, da destinationen er skrivebeskyttet systemet.

Spørgsmål: Er destinationens nøgle gemt på ubestemt tid på kildedatadomænet?

Svar: Destinationens krypteringsnøgle gemmes aldrig på Data Domain-kildesystemet. Den opbevares kun i hukommelsen (krypteret), mens replikeringssessionen er aktiv. Dette gælder for alle typer replikering undtagen samlingsreplikering. I samlingsreplikering findes det samme sæt krypteringsnøgler på både kilde og destination.

Spørgsmål: Kan kryptering aktiveres på et indsamlingsreplikeringssystem, når replikeringskonteksten er etableret?

Svar: Ja, i dette tilfælde skal kryptering være aktiveret på både kilde og destination. Replikeringskonteksten skal deaktiveres, før krypteringen kan konfigureres. Alle nye replikerede segmenter krypteres på replikaen. Alle segmenter, der findes på replikaen, før kryptering aktiveres, forbliver i en ikke-krypteret tilstand.

Spørgsmål: Kan DARE aktiveres samtidig med over-the-wire-krypteringsfunktionen til Data Domain-replikering?

Svar: Ja, både OTW-kryptering (over-the-wire) og DARE kan aktiveres samtidigt for at opnå forskellige sikkerhedsmål.

Spørgsmål: Hvad sker der, hvis både DAR- og OTW-kryptering aktiveres samtidigt?

Svar: Kilden krypterer først data ved hjælp af destinationskrypteringsnøglen. Derefter krypteres allerede krypterede data endnu en gang ved OTW-kryptering, mens disse data sendes til destinationen. På destinationen, efter OTW-dekryptering er udført, gemmes data i et krypteret format, der blev krypteret ved hjælp af destinationens krypteringsnøgle.

Spørgsmål: Når kryptering er aktiveret på både kilden og destinationen, skal de så have den samme adgangssætning?

Svar: Hvis den konfigurerede replikering er samlingsreplikering, skal adgangsudtrykket være det samme. Til andre former for replikering (f.eks. MREPL, MFR) kan systemerne have andre adgangsudtryk.

Spørgsmål: Når kryptering er aktiveret på destinationen, krypteres både de replikerede data og data fra et andet adgangspunkt (f.eks. via lokal sikkerhedskopiering)? Er der en måde at adskille de to på destinationen, så kun de replikerede mapper krypteres?

Svar: Nej, alle data krypteres på destinationen uanset indgangspunktet. Kryptering kan ikke kun aktiveres eller deaktiveres ved granularitet på MTree- eller mappeniveau. Dette gælder ikke for CREPL.

Spørgsmål: Hvordan foregår nøgleudvekslingen mellem kilde og destination under MREPL eller MFR?

Svar: I replikeringsfasen sender destinationen sikkert sin aktuelle krypteringsalgoritme og nøgleoplysninger til kilden. Replikeringskontekster godkendes altid med en delt hemmelighed. Denne delte hemmelighed bruges til at etablere en "session" -nøgle ved hjælp af en Diffie-Hellman-nøgleudvekslingsprotokol. Denne sessionsnøgle bruges til at kryptere og dekryptere Data Domain-krypteringsnøglen.

Spørgsmål: Hvilken type algoritme bruger OTW-kryptering til at kryptere replikeringstrafik?

Svar: Når replikeringsgodkendelsestilstand er indstillet til "envejs" eller "tovejs", bruges Ephemeral Diffie-Hellman (DHE) til udveksling af sessionsnøgler. Servergodkendelse sker ved hjælp af RSA. AES 256-bit GCM-kryptering bruges til at indkapsle de replikerede data over ledningen. Krypteringsindkapslingslaget fjernes straks, når det lander på destinationssystemet.

"One-way" angiver, at kun destinationscertifikatet er certificeret. "Tovejs" angiver, at både oprindelses- og destinationscertifikaterne er verificeret. Der skal skabes gensidig tillid, før du kan bruge denne godkendelsestilstand, og begge sider af forbindelsen skal aktivere denne funktion, for at krypteringen kan fortsætte.

Når replikeringsgodkendelsestilstanden er indstillet til "anonym", bruges Anonymous Diffie-Hellman (ADH) til udveksling af sessionsnøgler. I dette tilfælde godkender kilden og destinationen ikke hinanden før nøgleudvekslingen. "Anonym" bruges som standard, hvis godkendelsestilstanden ikke er angivet.

Spørgsmål: Fungerer nøglerotation uden genstart af filsystemet med alle typer replikering?

Svar: Nøglerotation uden genstart af filsystemet fungerer med alle typer replikering undtagen biblioteksreplikering (som ikke længere understøttes) og deltareplikering (også kendt som Low Bandwidth Optimization eller LBO).

Spørgsmål: Hvordan beskyttes destinationens krypteringsnøgle under nøgleudvekslingen i mangel af certifikater eller PKI-nøglepar?

Svar: Der er en delt hemmelighed mellem alle Data Domain-replikeringspar, der bruges til at oprette en delt sessionsnøgle ved hjælp af en Diffie-Hellman-nøgleudveksling. Den delte nøgle bruges til at kryptere destinationens krypteringsnøgle.

Der er forskel på den delte hemmelighed, der bruges til replikeringsgodkendelse, og den delte sessionsnøgle, som tildeles ved hjælp af Diffie-Hellman-nøgleudvekslingsprotokollen. Den delte hemmelighed, der bruges til replikeringsgodkendelse, oprettes af Data Domain-softwaren, første gang to Data Domains ønsker at oprette en replikeringskontekst. Det aftales også gennem en Diffie-Hellman-udveksling ved hjælp af parametre, der er indlejret i koden. Dette gemmes vedvarende i systemerne for at godkende hver replikeringssession mellem de to systemer. Replikeringssessionsnøglen (nøglen, der bruges til at kryptere destinationens krypteringsnøgle) oprettes ved hjælp af en anden Diffie-Hellman-udveksling med den tidligere etablerede delte hemmelighed, hvorved den sikre nøgleudvekslingsprotokol køres. Denne nøgle er ikke vedvarende og findes kun, mens replikeringskonteksten er aktiv.

Spørgsmål: Skal begge systemer i et replikeringspar bruge den samme eksterne nøglehåndteringsløsning (som KMIP Key Manager), eller kan et af systemerne bruge ekstern nøglehåndtering, og et andet system kan bruge integreret nøglehåndtering?

Svar: Bortset fra samlingsreplikering er det ikke nødvendigt for begge systemer i et replikeringspar at bruge samme nøglehåndtering.

Ved samlingsreplikering skal begge Data Domain-systemer konfigureres med den samme nøglestyring. Det er dog kun kilden, der synkroniserer nøgler med nøglehåndteringen, og disse nøgler sendes også over til destinationen. Med andre replikeringstyper kan forskellige nøgleadministratorer bruges med kilden og destinationen.

Kryptering og migrering

Spørgsmål: Understøttes datamigration på systemer med DARE aktiveret?

Svar: Ja, datamigration understøttes på systemer, hvor kryptering er aktiveret. Krypteringskonfigurationen på kilde- og destinationssystemer skal matches som en forudsætning, før datamigreringen påbegyndes. Det anbefales også at eksportere og sikkerhedskopiere krypteringsnøgler på kildesystemet til DIA-formål, før migreringen påbegyndes.

Spørgsmål: Understøttes datamigrering på både aktivt niveau og cloudniveau med DARE aktiveret?

Svar: Ja, datamigration understøttes til migrering på både aktivt niveau og på cloudniveau for krypteringsaktiverede systemer. Listen over markerede forudsætningsattributter anvendes ud fra, hvilket niveau kryptering er aktiveret på.

Spørgsmål: Hvilke krypteringsindstillinger bevares som en del af overførslen?

Svar: Krypterede data og krypteringsnøgler overføres, som de er, men indstillinger som nøglehåndtering, systemadgangsudtryk og anden krypteringskonfiguration skal bekræftes manuelt og matches for at gennemføre datamigreringen. Eventuelle eksisterende nøglehåndteringscertifikater overføres også til destinationssystemet. Konfigurationen af Encryption Key Manager skal konfigureres igen på destinationssystemet efter overførslen.

Spørgsmål: Hvilke kontroller af krypteringskompatibilitet udføres mellem kilde og destination under migreringen?

Svar: Systemadgangsudtryk, krypteringsstatus, nøglehåndteringskonfigurationsoplysninger og indstillinger for system-FIPS-tilstand er nogle af de krypteringsindstillinger, der skal være identiske på kilde- og destinationssystemer, for at migreringen kan lykkes. Denne KB-artikel (log på Dell Support påkrævet) beskriver trinnene til migrering mellem systemer med cloud-funktionalitet. De samme indstillinger gælder også for migrering på aktivt niveau.

Spørgsmål: Understøttes migrering mellem EDP-systemer?

Svar: Datamigration understøttes mellem to systemer, hvis et af dem begge er omfattet af proceduren i forbindelse med uforholdsmæssigt store underskud, eller begge er systemer uden proceduren i forbindelse med uforholdsmæssigt store underskud. Datamigration er tilladt fra et EDP-system til et ikke-EDP-system, hvis OTW-krypteringen udtrykkeligt er deaktiveret ved hjælp af MIGRATION_ENCRYPTION systemparameter.

Kryptering og Cloud Tier

Spørgsmål: Understøttes kryptering på cloudniveau?

Svar: Ja, kryptering understøttes på cloudniveau. Det er deaktiveret som standard. Den 'cloud enable' kommandoprompter til at vælge, om kryptering skal aktiveres på skyniveauet eller ej.

Spørgsmål: Understøttes KMIP og eksterne nøgleadministratorer med cloudniveauet?

Svar: Ja, KMIP og eksterne nøgleadministratorer understøttes med Cloud Tier fra DDOS 7.8 og frem.

Spørgsmål: Med hvilken granularitet kan kryptering aktiveres i skyen?

Svar: Kryptering kan aktiveres og deaktiveres på hver cloudenhed og hvert niveau uafhængigt af hinanden.

Spørgsmål: Har cloud-enheder uafhængige nøgler?

Svar: Nej, nøgleadministration er fælles for både aktive niveauer og cloudniveauer i Data Domain. Nøgler kopieres over til den respektive enheds-, niveau- eller samlingspartition, når kryptering er aktiveret. Hvis kryptering er aktiveret på aktiv og ikke på cloud, afspejles aktive niveaunøgler ikke på cloud og omvendt. Dette gælder også for cloud-enhederne. F.eks.: Hvis cp1 har kryptering aktiveret, og cp2 ikke har kryptering aktiveret, så cp1 Taster reflekterer ikke over cp2.

Spørgsmål: Kan nøgler slettes fra skyen?

Svar: Nej, sletning af nøgler fra skyen understøttes ikke.

Spørgsmål: Hvor administreres datakrypteringsnøgler til cloudenheder?

Svar: Nøglerne er knyttet til en collection partition (CP), og hver cloudenhed er en separat CP. En kopi af nøgler fra alle CP'er gemmes i den aktive partition.

Spørgsmål: Hvordan gendanner jeg skynøgler under it-katastrofegendannelse?

Svar: Ikonet cpnameval spejles til skyen som en del af CP-gendannelsen, og krypteringsnøglerne gendannes til cpnameval. Derefter ddr_key_util værktøj bruges til at gendanne nøglerne.

Bemærk: Genoprettelse efter nedbrud kræver hjælp fra kundesupport.

Spørgsmål: Kan dataflytning køre, når kryptering kun er aktiveret for cloudniveauet?

Svar: Nej, kryptering skal være aktiveret på både cloud- og aktivniveau, for at dataflytning kan køre.

Spørgsmål: Kan en ekstern nøglehåndtering bruges sammen med cloudniveauet?

Svar: Ja, ekstern nøglehåndtering kan bruges sammen med Cloud Tier. Denne funktion understøttes fra DDOS 7.8 og fremefter. Alle handlinger (undtagen ødelæggelse eller sletning af en nøgle, der bruges til det aktive niveau) er også gyldige for Cloud Tier med hensyn til ekstern nøglehåndtering.

Kryptering og affaldsindsamling

Spørgsmål: Hvilken rolle spiller affaldsindsamlingsprocessen (GC) i DARE? Er der en indvirkning på ydeevnen, når du aktiverer kryptering for første gang?

Svar: Aktivering af DARE for første gang har indflydelse på GC-ydeevnen. Når GC kører, læser den data fra eksisterende beholdere på disken og skriver dem til nye beholdere. Når DARE er aktiveret, skal disse data muligvis læses, dekrypteres, og dekomprimeres, før de komprimeres igen, krypteres og skrives tilbage til disken. Når kryptering er aktiveret på et Data Domain, der indeholder en betydelig mængde allerede eksisterende data, og 'filesys encryption apply-changes' kommando køres, den næste GC-cyklus forsøger at kryptere alle eksisterende data på systemet. Det betyder, at alle data skal læses, dekomprimeres, komprimeres, krypteres og skrives ud på disken. Som et resultat, den første GC efter at have kørt 'filesys encryption apply-changes' kan tage længere tid end normalt. Sørg for, at de har tilstrækkelig ledig plads på Data Domain-systemet til at lade rensningen køre til færdiggørelse, uden at Data Domain-systemet bliver fuldt (ellers mislykkes sikkerhedskopieringer).

Spørgsmål: Påvirker ydeevnen ved igangværende rene cyklusser?

Svar: Ja, der er en påvirkning af ydeevnen. Påvirkningen afhænger generelt af mængden af data, der indtages og gendannes mellem rene cyklusser.

Spørgsmål: Hvor lang tid tager det at kryptere eksisterende data?

Brug denne KB-artikel til at estimere tiden: Data Domain: Beregning af, hvor lang tid kryptering i hvile tager at anvende.

Kryptering og headswap

Spørgsmål: Hvis et Data Domain med DARE konfigureret gennemgår et headswap, er diskene så stadig tilgængelige med den nye hovedenhed?

Svar: Krypteringsnøglen er ikke bundet til selve Data Domain-systemhovedet, så diskene kan flyttes til et andet Data Domain-hoved, og nøglen er stadig tilgængelig der. Filsystemet er låst på det nye hoved og skal låses op med 'filesys encryption unlock' kommando og systemets adgangssætning.

Spørgsmål: Hvad gør jeg, hvis adgangsudtrykket går tabt på tidspunktet for headswap-handlingen?

Svar: Hvis adgangsudtrykket går tabt, skal du tilslutte det gamle hoved og samarbejde med support om at nulstille adgangssætningen. Tilslut derefter det nye hoved igen, og afslut headswap-proceduren.

Kryptering og ydeevne

Spørgsmål: Hvad er den observerede indvirkning på lagerforbruget, når DARE anvendes?

Svar: Indvirkningen på lagerforbruget er ubetydelig, med ca. 1% overhead forbundet med lagring af nogle krypteringsparametre med brugerdata.

Spørgsmål: Hvad er den observerede indvirkning på gennemstrømning (skriver og læser), når DARE bruges?

Svar: Påvirkningen af overførselshastigheden, når der anvendes kryptering, kan variere afhængigt af protokollen og platformen. Generelt er følgende procentdele konservative forringelser af ydeevnen i samlet gennemløb:

CBC-tilstand

Første fuld: ~10 % forringelse af ydeevnen ved skrivninger
Trinvise: ~5 % forringelse af ydeevnen ved skrivninger
Gendanner: 5-20 % forringelse af ydeevnen ved læsning

GCM-tilstand

Første fuld: 10-20 % forringelse af ydeevnen på skrivninger
Trinvise: 5-10 % forringelse af ydeevnen på skrivninger
Gendanner: 5-20 % forringelse af ydeevnen ved læsning

Disse tal er specifikke for overhead af data i hvilekryptering. Over tråden registreres kryptering separat.

Bedste praksis

Spørgsmål: Hvad er bedste praksis vedrørende central rotationspolitik?

Svar: Automatisk nøglerotationspolitik er som standard ikke aktiveret. Det anbefales at rotere krypteringsnøgler ofte. Når et system er konfigureret med en ekstern KMIP-nøglehåndtering, anbefales det at rotere taster ofte for at håndtere eventuelle vigtige kompromitteringsscenarier i fremtiden. Når KMIP er konfigureret med Cloud Tier, er det foreslåede nøglerotationsinterval ugentligt. Når KMIP kun er konfigureret for det aktive niveau, er den foreslåede nøglerotationspolitik månedlig. Dette kan dog øges eller nedsættes baseret på indtagelseshastigheden. Hvis den integrerede nøglehåndtering er konfigureret, anbefales en nøglerotationspolitik et sted mellem 1-3 måneder.

Spørgsmål: Hvad er bedste praksis med KMIP-nøgleklasse, hvis den samme KMIP-server bruges til mange Data Domains?

Svar: Det anbefales at have en separat nøgleklasse for hvert Data Domain, når de bruger den samme KMIP-server. På den måde påvirker nøglerotation udført på et system ikke tilstanden for den nøgle, der findes i andre systemer.

Flere oplysninger

Anden dokumentation relateret til Data Domain Encryption (administratorvejledning, kommandoreferencevejledning og sikkerhedskonfigurationsvejledning) kan findes her: Dokumenter om PowerProtect- og Data Domain-kerne

Se denne video: