Data Domain – DD Boost global godkendelse og kryptering

Boost-kryptering og -godkendelse afhænger af klientkompatibilitet, gennemse oplysningerne og tabellen nedenfor.
Du kan angive godkendelses- og krypteringsindstillinger på tre måder, som beskrives nærmere i dette dokument.

Kryptering
under flyvningKryptering under flyvning gør det muligt for programmer at kryptere backup under flyvning eller gendanne data via LAN fra beskyttelsessystemet. Denne funktion blev introduceret for at tilbyde en mere sikker datatransportfunktion.
Når den er konfigureret, kan klienten bruge TLS til at kryptere sessionen mellem klienten og beskyttelsessystemet. Den specifikke chifferpakke, der anvendes, er som følger i nedenstående tabel.

DD Boost Client 3.3 til 7.0 og 7.5 efter 7.5

DD Boost Client 3.3 til 7.0 og 7.5 Efter 7.5 (fortsat)

DD Boost-klient 7.1 til 7.4

DD Boost Client 7.1 til 7.4 (fortsat)

Global godkendelse og kryptering
DD Boost tilbyder globale godkendelses- og krypteringsmuligheder for at beskytte dit system mod man-in-the-middle-angreb (MITM).
De globale indstillinger sikrer, at nye klienter beskyttes, men giver dig også mulighed for at konfigurere forskellige værdier for hver klient. Derudover kan klientindstillinger kun styrke sikkerheden, ikke reducere den.
Indstilling af den globale godkendelsestilstand og krypteringsstyrke fastlægger minimumsniveauer for godkendelse og kryptering. Alle forbindelsesforsøg fra alle klienter skal opfylde eller overstige disse niveauer.

De globale standardindstillinger er bagudkompatible, hvilket betyder:

• Du behøver ikke at opdatere DD Boost-biblioteket.
  Alle eksisterende klienter og programmer fungerer på samme måde med standardindstillingerne for de nye indstillinger.
• Der er ingen indvirkning på ydeevnen, fordi der ikke er tilføjet kryptering.
• Klienter og programmer, der bruger certifikater med TLS (Transport Layer Security), kan fortsat fungere uden ændringer.
  BEMÆRK: Hvis de globale indstillinger er forskellige fra standardindstillingerne, skal eksisterende klienter muligvis opdateres.

Metoder til indstilling af godkendelse og kryptering
Du kan angive godkendelses- og krypteringsindstillinger på tre måder.

• Forbindelsesanmodning
  Det gør du ved hjælp af ddp_connect_with_config-API'en i klientprogrammet.
• Indstillinger
  pr. klient Det gør du ved hjælp af CLI-kommandoer på beskyttelsessystemet.
• Globale indstillinger
  Det gør du ved hjælp af CLI-kommandoer på beskyttelsessystemet.

Hvis der både angives værdier pr. klient og globalt, gennemtvinges den stærkere eller højere indstilling. Enhver klient, der forsøger at oprette forbindelse med en svagere godkendelses- eller krypteringsindstilling, afvises.

Indstillinger for godkendelse og kryptering
Du kan overveje flere faktorer, når du beslutter godkendelses- og krypteringsindstillinger. Det anbefales dog, at du altid vælger den maksimale tilgængelige indstilling for maksimal sikkerhed.
Maksimal sikkerhed påvirker ydeevnen. Hvis du har et kontrolleret miljø, hvor der ikke kræves maksimal sikkerhed, kan du bruge andre indstillinger.

Globale indstillinger
Den globale indstilling bestemmer minimumsniveauerne for godkendelse og kryptering. Forsøg på at oprette forbindelse, der ikke opfylder disse kriterier, mislykkes.

Indstillinger
pr. klientHvis indstillingen defineres pr. klient, skal den indstilling, du vælger, enten matche eller være større end den maksimale godkendelsesindstilling pr. klient og den maksimale globale godkendelsesindstilling.
For eksempel:

• Hvis en klient er konfigureret til at kræve "tovejsadgangskode"-godkendelse, og den globale godkendelsesindstilling er tovejs-TLS, skal der anvendes tovejs TLS-godkendelse.
• Hvis klienten er konfigureret med godkendelsesindstillingen "tovejs TLS", og den globale indstilling er "tovejsadgangskoder", skal "tovejs TLS" bruges.

Højere-specificerede værdier
Hvis de værdier, der er angivet for opkalder, er lavere end enten de globale indstillinger eller pr. klient, er forbindelsen ikke tilladt. Men hvis de værdier, der er angivet for opkalder, er højere end de globale indstillinger eller pr. klient, oprettes forbindelsen ved hjælp af de værdier, der er angivet for opkalder.
Hvis den, der ringer op, f.eks. angiver "tovejsadgangskode", men enten den globale værdi eller værdien pr. klient er "tovejs", mislykkes forbindelsesforsøget. Men hvis den, der ringer op, har angivet "tovejs", og de globale værdier og værdierne pr. klient er "tovejsadgangskode", bruges "tovejs"-godkendelse.

Indstillinger for
godkendelse og krypteringDu kan vælge en af tre tilladte indstillinger for både globale indstillinger og godkendelses- og krypteringsindstillinger.
For indstillingerne pr. klient tillades fem godkendelsesindstillinger og tre krypteringsindstillinger (de samme krypteringsindstillinger som dem for globale).

Globale godkendelses- og krypteringsmuligheder
Du har en række valgmuligheder med indstillingerne global-authentication-mode og global-encryption-strength.

Godkendelsesindstillinger
Følgende liste rangerer godkendelsesværdier fra svageste til stærkeste:

1. ingen
   Ikke sikker; dette er standardindstillingen.

2. anonym
   Denne indstilling er ikke sikker mod MITM-angreb.

   Data under flyvning krypteres.

3. 
   Denne metode kræver brug af certifikater.
   Dette er ikke sikkert mod MITM-angreb.
   In-fligh data krypteres.

4. tovejsadgangskode
   Denne indstilling er sikret mod MITM-angreb.
   In-fligh data krypteres.

5. tovejs
   Denne indstilling kræver brugeren af certifikater.
   Dette er den sikreste løsning og er sikker mod MITM-angreb.
   In-fligh data krypteres.

Krypteringsindstillinger
Følgende liste rangerer krypteringsværdier fra svageste til stærkeste:

1. ingen
   Ikke sikker; dette er standardindstillingen.
   Kan kun angives, hvis godkendelsen er "ingen".

2. medium
   Anvender AES 128 og SHA-1.

3. høj
   Beskæftiger AES 256 og SHA-1.

Global godkendelse
De tre globale indstillinger for godkendelsestilstand tilbyder forskellige niveauer af beskyttelse og bagudkompatibilitet.
Globale godkendelses- og krypteringsværdier kan kun angives via CLI-kommandoer (Command Line Interface) på DD Boost-serveren. De CLI-kommandoer, du bruger til at angive disse værdier, er beskrevet i følgende afsnit.

Ingen

ddboost option set global-authentication-mode none
global-encryption-strength none

"Ingen" er den mindst sikre, men mest bagudkompatible mulighed.
Du kan vælge "ingen", hvis dit system har afgørende krav til ydeevne, og du ikke har brug for beskyttelse mod MITM-angreb.
Dit system kan fungere på samme måde som før, uden at TLS forringer ydeevnen.
Når godkendelse er indstillet til "ingen", skal kryptering indstilles til "ingen". Hvis du vælger en anden indstilling for godkendelse end "ingen", kan krypteringsindstillingen ikke være "ingen".

Tovejsadgangskode

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Tovejsadgangskodemetoden udfører tovejsgodkendelse ved hjælp af TLS med forhåndsdelt nøglegodkendelse (PSK). Både klienten og beskyttelsessystemet godkendes ved hjælp af de tidligere oprettede adgangskoder. Når denne indstilling er valgt, krypteres alle data og meddelelser mellem klienten og beskyttelsessystemet.
Denne mulighed er den eneste sikre mulighed, der er tilgængelig med DD Boost til OpenStorage og beskytter fuldt ud mod man-in-the-middle-angreb (MITM).
Krypteringsstyrken skal være enten mellem eller høj.
Tovejs adgangskodegodkendelse er unik, fordi det er den eneste metode, der både er sikker mod MITM og kan udføres uden at den, der ringer op, angiver det.

Tovejs

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dette er den sikreste løsning.
Tovejsindstillingen anvender TLS med certifikater. Tovejsgodkendelse opnås ved hjælp af certifikater leveret af applikationen.
Denne indstilling er kompatibel med eksisterende brug af certifikater. Indstilling af den globale godkendelsesindstilling til "tovejs" kræver, at alle programmer, der opretter forbindelse til beskyttelsessystemet, understøtter og leverer certifikater.
Alle programmer, der ikke understøtter certifikater og ikke angiver tovejsgodkendelse og leverer certifikater via ddp_connect_with_config-API'en, mislykkes.

Scenarier
for bagudkompatibilitetÆldre klient og nyt beskyttelsessystem
I dette tilfælde anvendes et program, der bruger et Boost-bibliotek, med DDOS 6.1 eller nyere. I dette scenarie kan klienten ikke udføre tovejsadgangskodegodkendelse, hvilket har følgende konsekvenser:

• Alle globale godkendelsesindstillinger skal indstilles til "ingen eller "tovejs", da klienten ikke kan udføre "tovejsadgangskode"-godkendelse.
  Godkendelsesindstillinger pr. klient kan have en hvilken som helst værdi undtagen "tovejsadgangskode" af samme grund.
• Alle globale indstillinger eller individuelle klientindstillinger for tovejsadgangskode medfører, at programmer med ældre klientbiblioteker mislykkes.
• Det nye beskyttelsessystem understøtter eksisterende forbindelsesprotokoller for gamle klienter.

Ny klient og ældre beskyttelsessystem
Det ældre beskyttelsessystem kan ikke udføre "tovejsadgangskode"-godkendelse, som har følgende konsekvenser:

• Der er ingen globale godkendelses- eller krypteringsindstillinger.
• Indstillingen for beskyttelse af systemet pr. klient må ikke være "tovejsadgangskode".
• Klienten vil først forsøge at bruge den nye forbindelsesprotokol eller RPC. Ved fejl vender klienten tilbage til den gamle protokol.
• Klienten kan oprette forbindelse til andre godkendelsesmetoder undtagen "tovejsadgangskode".

Eksempler på
indstillinger for godkendelse og krypteringFølgende tabeller viser eksempler, hvor indstillinger angives ved hjælp af opkald, indstillinger pr. klient og globale indstillinger, og om disse indstillinger kan lykkes.
I disse eksempler antages det, at du har en DD Boost-klientforbindelse til et beskyttelsessystem med DDOS 6.1 eller nyere. Disse eksempler gælder ikke for nogen af de situationer, der er beskrevet i scenarier med bagudkompatibilitet.

Én indstilling

Flere indstillinger

Data Domain: Standardgodkendelsestilstanden for DDBoost-klienter giver ikke trådløs kryptering.
Data Domain – Administration af certifikater for DD Boost