Data Domain — konfiguracja FIPS i najlepsze praktyki
Summary: System plików DD, SMS, usługa Apache HTTP, klient LDAP i SSH Daemon używają algorytmów zgodnych ze standardem FIPS 140-2, gdy FIPS jest włączona.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Aby zalogować się przy włączonym standardzie FIPS w systemie ochrony lub wystąpieniu DDVE przy użyciu SSH, minimalna obsługiwana wersja SSH to OpenSSH 5.9p1.
Włączanie autoryzacji zabezpieczeń
Włączać i wyłączać zasady autoryzacji zabezpieczeń można za pomocą interfejsu wiersza polecenia.
Informacje o zadaniu
UWAGA: Należy zainstalować licencję DD Retention Lock Compliance. Nie można wyłączyć zasad autoryzacji w systemach zgodności DD Retention Lock Compliance.
Kroki
1. Zaloguj się do interfejsu wiersza poleceń przy użyciu nazwy użytkownika i hasła dyrektora ds. bezpieczeństwa.
2. Aby włączyć zasady autoryzacji dyrektora ds. bezpieczeństwa, wprowadź: #
Następujące polecenia zawsze wymagają autoryzacji dyrektora ds. bezpieczeństwa:
Przycisk trybu FIPS umożliwia włączanie i wyłączanie trybu zgodności ze standardem FIPS 140-2.
Kroki
1. Wybierz pozycję Ustawienia administracji >.
2. Kliknij opcję FIPS Mode, aby włączyć lub wyłączyć tryb zgodności ze standardem FIPS 140-2.
Wyniki
Włączenie trybu zgodności ze standardem FIPS 140-2 DDOS:
● wymusza zmianę hasła dla konta sysadmin i jednego konta dyrektora ds. bezpieczeństwa (jeśli aktywna jest opcja dyrektora ds. bezpieczeństwa).
● powoduje ponowne uruchomienie, a więc przerwę w dostępie do systemu plików.
● zezwala tylko aplikacjom z klientami zgodnymi ze standardem FIPS na dostęp do systemu plików po zakończeniu ponownego uruchamiania.
Konfiguracja FIPS
Skrócona instrukcja obsługi usług i zgodności ze standardem FIPS po włączeniu funkcji FIPS w systemie.
NIS
Jeśli włączony jest tryb FIPS, upewnij się, że serwer NIS używa algorytmu SHA512 do wyznaczania wartości haszowania haseł użytkowników. Dotyczy to zarówno istniejących użytkowników sieciowej usługi informacyjnej, jak i nowych użytkowników dodanych do serwera sieciowej usługi informacyjnej. Jeśli serwer NIS jest już skonfigurowany, wcześniej obsługiwani użytkownicy NIS mogą nie być w stanie się zalogować. Wszystkie hasła użytkowników należy ponownie haszować przy użyciu algorytmu SHA512.
Protokół LDAP
Jeśli usługa SNMP nie jest wymagana, wyłącz usługę SNMP.
Jeśli usługa SNMP jest wymagana i włączona, poniżej znajduje się lista konfiguracji SNMP, które są wymagane przed włączeniem
trybu FIPS.
● SNMP musi być skonfigurowany z SNMP V3.
● Protokół uwierzytelniania użytkownika SNMP musi być skonfigurowany jako SHA256.
● Protokół prywatności użytkownika SNMP musi być skonfigurowany jako AES.
Protokoły SNMP v2/SNMP v1 nie implementują zabezpieczeń kryptograficznych, a gdy system ma
włączony standard FIPS, należy używać tylko protokołu SNMP v3.
Tryb FIPS w systemie operacyjnym z uruchomionym klienta DD Boost
Tryb FIPS można włączyć w systemie operacyjnym z uruchomioną aplikacją, która używa klienta DD Boost do łączenia się z systemem DD
, bez znajomości aplikacji i bez włączania trybu FIPS w systemie DD. W takim scenariuszu należy dokonać jednej z następujących konfiguracji:
Włączanie autoryzacji zabezpieczeń
Włączać i wyłączać zasady autoryzacji zabezpieczeń można za pomocą interfejsu wiersza polecenia.
Informacje o zadaniu
UWAGA: Należy zainstalować licencję DD Retention Lock Compliance. Nie można wyłączyć zasad autoryzacji w systemach zgodności DD Retention Lock Compliance.
Kroki
1. Zaloguj się do interfejsu wiersza poleceń przy użyciu nazwy użytkownika i hasła dyrektora ds. bezpieczeństwa.
2. Aby włączyć zasady autoryzacji dyrektora ds. bezpieczeństwa, wprowadź: #
authorization policy set security-officer enabled
Następujące polecenia zawsze wymagają autoryzacji dyrektora ds. bezpieczeństwa:
# system fips-mode disable # system fips-mode enable
Włączanie trybu FIPS
Przycisk trybu FIPS umożliwia włączanie i wyłączanie trybu zgodności ze standardem FIPS 140-2.
Kroki
1. Wybierz pozycję Ustawienia administracji >.
2. Kliknij opcję FIPS Mode, aby włączyć lub wyłączyć tryb zgodności ze standardem FIPS 140-2.
Wyniki
Włączenie trybu zgodności ze standardem FIPS 140-2 DDOS:
● wymusza zmianę hasła dla konta sysadmin i jednego konta dyrektora ds. bezpieczeństwa (jeśli aktywna jest opcja dyrektora ds. bezpieczeństwa).
● powoduje ponowne uruchomienie, a więc przerwę w dostępie do systemu plików.
● zezwala tylko aplikacjom z klientami zgodnymi ze standardem FIPS na dostęp do systemu plików po zakończeniu ponownego uruchamiania.
Konfiguracja FIPS
The DD file system, SMS, Apache HTTP service, LDAP client, and SSH Daemon use FIPS 140-2 compliant algorithms when FIPS is enabled. To enable FIPS compliance mode, run the following command: system fips-mode enable. NOTE: Enabling or disabling FIPS compliance mode results in a system reboot and interrupts any ongoing backup or replication activities. NOTE: Enabling FIPS mode invalidates all local users passwords. The passwords for sysadmin and one of the security officers are forced to change during enabling FIPS mode. The other local users require sysadmin to change their passwords for them by running user change password. NOTE: All backup application using DD local users must restart the backups using new DD local user passwords. This is applicable for all protocols. DDOS uses FIPS certified libraries including Dell OpenSSL Cryptographic Library, BSafe, Crypto J, Cert-J, and SSL-K. ● Dell OpenSSL Cryptographic Library v2.5 ● EMC Crypto-C Micro Edition 4.1.4 cryptographic module To disable FIPS compliance mode, run the following command: system fips-mode disable.
Skrócona instrukcja obsługi usług i zgodności ze standardem FIPS po włączeniu funkcji FIPS w systemie.
| Usługa | Obsługa standardu FIPS | Uwaga dotycząca konfiguracji |
| SSH | Tak | Zgodność przez włączenie certyfikatu FIPS |
| HTTPS | Tak | Zgodność przez włączenie certyfikatu FIPS |
| Telnet | Nie | Domyślnie wyłączone; nie należy włączać dla FIPS |
| FTP/FTPS | Nie | Domyślnie wyłączone; nie należy włączać dla FIPS |
| SMS | Tak | Zgodność przez włączenie certyfikatu FIPS |
| Szyfrowanie danych | Tak | Zgodność przez włączenie certyfikatu FIPS |
| Replikacja danych | Tak | Użyj uwierzytelniania dwukierunkowego |
| NIS | Tak | Użyj algorytmu SHA512 do haszowania haseł użytkowników |
| LDAP | Tak | Użyj uwierzytelniania TLS |
| Protokół SNMP | Tak | Użyj protokołu SNMPV3 |
| DD Boost | Tak | Klient DD Boost musi być w wersji 7.3 lub nowszej |
| Active Directory | Nie | Brak zgodności ze standardem FIPS |
| CIFS | Nie | Ustawienie trybu niezależnego od FIPS |
| NFS | Nie | Brak zgodności ze standardem FIPS |
| Usługi Secure Remote Services | Nie | Opcja domyślnie wyłączona |
Szyfry SSH, MAC i algorytmy wymiany kluczy
Gdy standard FIPS jest włączony:
● Można ustawić tylko zatwierdzone szyfry SSH i MAC zatwierdzone przez FIPS 140-2. Role użytkowników admin i limited-admin mogą ustawiać szyfry i
adresy MAC, które można skonfigurować za pomocą następującego polecenia: adminaccess ssh option set ciphers
● Lista szyfrów, lista adresów MAC i lista KEX (algorytmy wymiany kluczy) w pliku konfiguracyjnym SSHD ustawia się na domyślną listę
szyfrów, adresów MAC i KEX zgodnych ze standardem FIPS. Stare ustawienia zostaną utracone.
Gdy tryb zgodności ze standardem FIPS jest wyłączony, lista szyfrów, lista adresów MAC i lista KEX (algorytmów wymiany kluczy) w pliku konfiguracyjnym SSHD
jest ustawiana na domyślną systemową listę szyfrów, MAC i KEX. Stare ustawienia zostaną utracone.
Następujące szyfry są obsługiwane w systemach lub DDVE z włączonym systemem DDOS z włączonym certyfikatem FIPS:
Szyfry, adresy MAC i algorytmy wymiany kluczy
| Szyfry | ● aes128-ctr ● aes192-ctr ● aes256-ctr |
| MAC | ● hmac-sha2-256-etm@openssh.com ● hmac-sha2-512-etm@openssh.com ● hmac-sha2-256 ● hmac-sha2-512 |
| algorytmy wymiany kluczy (KEX) | ● ecdh-sha2-nistp256 ● ecdh-sha2-nistp384 ● ecdh-sha2-nistp521 ● diffie-hellman-group16-sha512 ● diffie-hellman-group18-sha512 ● diffie-hellman-group14-sha256 |
The cipher list can always be changed by running the adminaccess ssh options set ciphers command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH ciphers. If non-FIPS compliant ciphers are used, user would see an error. The MAC list can always be changed by running the adminaccess ssh options set macs command. When FIPS is enabled, users can only configure SSH service to use FIPS complaint SSH macs. If non-FIPS compliant macs are used, user would see an error.
HTTPS
Usługa HTTPS Apache używa tej samej listy szyfrów co SMS.
Szyfrowanie danych w stanie spoczynku
Jeśli szyfrowanie danych w stanie spoczynku jest włączone, domyślnie jest ono zgodne ze standardem FIPS.
TLS cipher-list for management communications and replication control path In case of replication, data-path is FIPS-compliant when it is enabled with two-way authentication. If FIPS mode is enabled on the destination DD system, then Replication will not be allowed from DD systems running DDOS versions prior to DDOS 7.0. When FIPS mode is enabled, even if other ciphers were set with the adminaccess option set cipher-list command, DDOS only uses FIPS-compliant ciphers for the following communication interfaces: ● For DDMC communications to managed DD-systems ● For Replication control path ● By the Data Domain System Management (GUI) ● For REST APIs The cipher list can be configured with the adminaccess option set cipher-list command.
| Aplikacja | Domyślna lista szyfrowania TLS |
| Domyślne zestawy szyfrowania dla konfiguracji replikacji i interfejsów API REST to: | ● ECDHE-RSA-AES256-GCM-SHA384 |
| Domyślne pakiety szyfrowania dla interfejsu użytkownika to: | ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES256-SHA384 ● ECDHE-RSA-AES128-SHA256 |
NIS
Jeśli włączony jest tryb FIPS, upewnij się, że serwer NIS używa algorytmu SHA512 do wyznaczania wartości haszowania haseł użytkowników. Dotyczy to zarówno istniejących użytkowników sieciowej usługi informacyjnej, jak i nowych użytkowników dodanych do serwera sieciowej usługi informacyjnej. Jeśli serwer NIS jest już skonfigurowany, wcześniej obsługiwani użytkownicy NIS mogą nie być w stanie się zalogować. Wszystkie hasła użytkowników należy ponownie haszować przy użyciu algorytmu SHA512.
Protokół LDAP
When FIPS is enabled, the LDAP client that runs on a system or DDVE must use TLS. # authentication ldap ssl enable method start_tls Otherwise, enabling FIPS compliance mode fails. On a fresh install and upgrade, LDAP SSL ciphers are not explicitly set. When FIPS compliance mode is enabled, the LDAP SSL ciphers are set to the following: ● ECDHE-RSA-AES256-GCM-SHA384 ● ECDHE-RSA-AES256-SHA384 ● DHE-RSA-AES256-GCM-SHA384 ● DHE-RSA-AES256-SHA256 ● AES256-GCM-SHA384 ● AES256-SHA256 ● ECDHE-RSA-AES128-GCM-SHA256 ● ECDHE-RSA-AES128-SHA256 ● DHE-RSA-AES128-GCM-SHA256 ● DHE-RSA-AES128-SHA256 ● AES128-GCM-SHA256 ● AES128-SHA256 The configured cipher-list should be: ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSAAES256-SHA256:AES256-GCM-SHA384:AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSAAES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:AES128-GCM-SHA256:AES128- SHA256 When FIPS is disabled, it is set to "", an empty string.SNMP
Jeśli usługa SNMP nie jest wymagana, wyłącz usługę SNMP.
Jeśli usługa SNMP jest wymagana i włączona, poniżej znajduje się lista konfiguracji SNMP, które są wymagane przed włączeniem
trybu FIPS.
● SNMP musi być skonfigurowany z SNMP V3.
● Protokół uwierzytelniania użytkownika SNMP musi być skonfigurowany jako SHA256.
● Protokół prywatności użytkownika SNMP musi być skonfigurowany jako AES.
Protokoły SNMP v2/SNMP v1 nie implementują zabezpieczeń kryptograficznych, a gdy system ma
włączony standard FIPS, należy używać tylko protokołu SNMP v3.
Tryb FIPS w systemie operacyjnym z uruchomionym klienta DD Boost
Tryb FIPS można włączyć w systemie operacyjnym z uruchomioną aplikacją, która używa klienta DD Boost do łączenia się z systemem DD
, bez znajomości aplikacji i bez włączania trybu FIPS w systemie DD. W takim scenariuszu należy dokonać jednej z następujących konfiguracji:
● The DD Boost client on that operating system must be version >=7.1. ● The password hash for users on all DD systems that this client connects to must be sha512. This can be changed using the adminaccess option set password-hash sha512 CLI.
Jeśli tryb FIPS jest włączony w systemie operacyjnym bez żadnej z powyższych konfiguracji, wszystkie połączenia tego klienta z dowolnym systemem DD zakończą się niepowodzeniem.
Klient DD Boost z włączonym trybem FIPS
Po włączeniu trybu FIPS w systemie aplikacje uzyskujące dostęp do systemu przy użyciu protokołu DD Boost powinny korzystać z wersji 7.3 bibliotek klienckich DD Boost. Gwarantuje to, że operacje są zgodne ze standardem FIPS i używają algorytmów zgodnych ze standardem FIPS. Czasami aplikacja może spowodować, że biblioteki klienckie DD Boost przejdą w tryb FIPS, jeśli aplikacja obsługuje FIPS i została zaktualizowana w celu przejścia do trybu FIPS w bibliotece klienta. W takim przypadku nie tylko algorytmy zgodne ze standardem FIPS będą używane, ale implementacje tych algorytmów będą korzystać z bibliotek certyfikowanych przez FIPS.
Gdy włączony jest tryb FIPS, hasła ustawione w systemie używanym przez DD Boost do uzyskiwania dostępu do systemu muszą mieć skrót o wartościach SHA512. Użytkownik z hasłem ze skrótem MD5 nie będzie mógł połączyć się z systemem z włączonym standardem FIPS.
UWAGA: Biblioteka klienta Boost używana przez aplikację musi mieć wersję >=7.1, aby aplikacja mogła pomyślnie połączyć się z systemem DD z systemem DDOS w wersji >=7.1 z włączonym trybem FIPS. Wersja biblioteki klienta DD Boost dostarczana z aplikacją jest określana przez dostawcę aplikacji. Listę wszystkich klientów Boost, które łączyły się z systemem DD w ciągu ostatnich 24 godzin, można uzyskać z wiersza polecenia ddboost show connections. Kolumna wersji wtyczki powinna być widoczna, aby określić, czy jakikolwiek klient z wtyczką Boost starszą niż 7.1.x.x łączy się obecnie z tym systemem DD. Po włączeniu trybu FIPS w systemie DD wszystkie takie klienty nie będą mogły nawiązać połączenia i należy je uaktualnić. Skontaktuj się z dostawcą aplikacji, aby ustalić wersję biblioteki klienta DD Boost używaną przez określoną wersję aplikacji, aby sprawdzić, czy aplikacja może być używana z systemem DD z włączonym trybem FIPS.
Protokół Telnet
Protokół Telnet nie jest zgodny ze standardem FIPS i jest domyślnie wyłączony.
Protokół FTP/FTPS
FTP/FTPS nie jest zgodny ze standardem FIPS i jest domyślnie wyłączony.
Usługa Active Directory
Usługa Active Directory nie jest zgodna ze standardem FIPS.
Usługa Active Directory działa po jej skonfigurowaniu i włączeniu funkcji FIPS.
Serwer CIFS
Serwer CIFS w DDOS jest niezależny od ustawienia trybu FIPS. Nawet jeśli klient włączy tryb FIPS, CIFS nadal działa w
trybie niezgodnym ze standardem FIPS.
Aby wyłączyć lub uniemożliwić CIFS akceptowanie połączeń od klientów: sysadmin@localhost#
cifs disable
NFS
NFS nie jest zgodny ze standardem FIPS.
● NFS nadal działa w trybie niezgodnym z FIPS.
● NFS można wyłączyć za pomocą polecenia nfs disable.
Bramka zabezpieczeń (SCG)
SCG to bezpieczne, dwukierunkowe połączenie między produktami Dell EMC a działem obsługi klienta Dell EMC. SCG jest domyślnie wyłączona i nadal działa w trybie niezgodnym ze standardem FIPS.
Standardy STIG agencji DISA
| Włącz szyfrowanie zatwierdzone przez standard FIPS 140-2. | W przypadku połączeń zabezpieczonych DD obsługuje tylko szyfry zatwierdzone przez FIPS 140-2. DD zaleca korzystanie z interfejsu użytkownika lub interfejsu wiersza poleceń w celu włączenia trybu FIPS: ● Interfejs użytkownika: Administration > Setting > FIPS mode ● Interfejs wiersza poleceń: system fips-mode enable |
| Korzystanie z serwera uwierzytelniania do uwierzytelniania użytkowników przed udzieleniem uprawnień administratora. | DD obsługuje wiele protokołów serwerów nazw, takich jak LDAP, NIS i AD. DD zaleca korzystanie z protokołu OpenLDAP z włączonym standardem FIPS. DD zarządza tylko kontami lokalnymi. DD zaleca korzystanie z interfejsu użytkownika lub interfejsu CLI w celu skonfigurowania protokołu LDAP. ● Interfejs użytkownika: Administration > Access > Authentication ● Interfejs wiersza poleceń: Polecenia LDAP uwierzytelniania Usługa Active Directory może również zostać skonfigurowany do logowania użytkowników z włączonym standardem FIPS. Jednak dostęp do danych CIFS z użytkownikami AD nie jest już obsługiwany w tej konfiguracji. |
| Urządzenie sieciowe musi uwierzytelnić punkty końcowe zarządzania siecią SNMP przed ustanowieniem połączenia lokalnego, zdalnego lub sieciowego przy użyciu uwierzytelniania dwukierunkowego opartego na kryptografice. | DD obsługuje protokół SNMPV3 zgodny ze standardem FIPS. DD zaleca korzystanie z interfejsu użytkownika lub interfejsu CLI w celu skonfigurowania protokołu SNMPV3. ● Interfejs użytkownika: Administration > Settings > SNMP ● Interfejs wiersza poleceń: polecenia narzędzia SNMP |
| Użyj kryptograficznego algorytmu haszowania zatwierdzonego przez standard FIPS 140-2. | System musi korzystać z modułu kryptograficznego zatwierdzonego przez FIPS 140-2 algorytm haszujący do generowania skrótów haseł do kont. Systemy muszą stosować skróty kryptograficzne dla haseł przy użyciu algorytmów z rodziny SHA-2 lub następców zatwierdzonych przez standard FIPS 140-2. Stosowanie niezatwierdzonych algorytmów może skutkować słabymi skrótami haseł są bardziej podatne na złamanie zabezpieczeń. UWAGA: W podręczniku informacyjnym polecenia DDOS opisano sposób korzystania z adminaccess option set password-hash {md5 | sha512} polecenia mającego na celu ustawienie haszowania kryptograficznego zatwierdzonego przez standard FIPS 140-2 w systemie. Zmiana algorytmu wyznaczania wartości skrótu nie powoduje zmiany wartości skrótu dla wszystkich istniejących haseł. Wszelkie istniejące hasła, które zostały zhaszowane za pomocą md5, nadal będą miały format md5 wartości skrótu po zmianie algorytmu haszowania hasła do sha512. Hasła te należy zresetować tak, aby została obliczona nowa wartość skrótu sha512. |
Additional Information
Certyfikaty z podpisem zewnętrznym
Urząd certyfikacji (CA) jest w formacie certyfikatu publicznego (PEM) w celu ustanowienia zaufanego połączenia między jednostką zewnętrzną a każdym systemem.
Jeśli system korzysta z zewnętrznego menedżera kluczy, wymaga certyfikatu hosta PKCS12 i certyfikatu CA w formacie PEM (klucz publiczny) w celu ustanowienia zaufanego połączenia między zewnętrznym serwerem menedżera kluczy i wszystkimi zarządzanymi przez niego systemami.
Podpisanie certyfikatu wymaga formatu PKCS10. Klucz certyfikatu publicznego może mieć format PKCS12 (klucz publiczny plus prywatny) lub format PEM. Format PEM certyfikatu hosta jest używany tylko z funkcją żądania podpisania certyfikatu (CSR).
Poszczególne certyfikaty hosta mogą być importowane dla HTTPS i komunikacji z zewnętrznym menedżerem kluczy.
Obsługiwane jest importowanie certyfikatu hosta w formacie PKCS12. Jeśli w systemie istnieje CSR, można zaimportować certyfikat hosta w formacie PEM po podpisaniu CSR przez urząd certyfikacji.
UWAGA: Do zaimportowania certyfikatu wymagane jest hasło systemowe.
W przypadku systemu DD z obsługą standardu FIPS plik PKCS12 musi być zgodny ze standardem FIPS. Podczas szyfrowania pliku PKCS12 należy użyć zgodnych algorytmów szyfrowania. Zalecamy użycie „PBE-SHA1-3DES” do szyfrowania klucza i certyfikatu w pliku PKCS12.
DD Encryption zapewnia wbudowane szyfrowanie, co oznacza, że podczas przyswajania danych strumień jest deduplikowany, kompresowany i szyfrowany przy użyciu klucza szyfrowania przed zapisaniem w grupie RAID. Oprogramowanie DD Encryption korzysta z bibliotek RSA BSAFE, które są zatwierdzone pod kątem standardu FIPS 140-2.
Bramka Secure Connect Gateway (SCG)
Bramka Secure Connect Gateway to oparte na protokole IP rozwiązanie do zautomatyzowanej łączności z domem i zdalnej pomocy technicznej, które tworzy zarówno ujednoliconą architekturę, jak i wspólny punkt dostępu do działań zdalnej pomocy technicznej wykonywanych na produkcie. Rozwiązanie SCG IP
wykonuje następujące czynności:
● zapewnia ciągłe monitorowanie, diagnozowanie i naprawę drobnych problemów ze sprzętem;
● wykorzystuje najbardziej zaawansowane szyfrowanie, uwierzytelnianie, audyt i autoryzację dla zdalnego wsparcia o bardzo wysokim poziomie bezpieczeństwa;
● zapewnia zgodność z przepisami korporacyjnymi i rządowymi, dostarczając dzienniki wszystkich zdarzeń dostępu;
● zapewnia łatwą integrację i konfigurację z siecią zarządzania pamięcią masową i zaporami sieciowymi;
● zapewnia maksymalną ochronę infrastruktury informacyjnej. Sesje oparte na protokole IP umożliwiają szybkie przesyłanie i rozwiązywanie problemów;
● konsoliduje zdalną obsługę informacji za pomocą klienta SCG;
● zapewnia zdalny dostęp do ośrodka odzyskiwania po awarii i sprawia, że odzyskiwanie danych po nieplanowanych zdarzeniach jest bezproblemowe;
● chroni informacje w ruchu lub w spoczynku. Szyfrowanie AES 256 podczas przesyłania informacji chroni informacje.
● zmniejsza koszty i bałagan w centrum danych oraz przyspiesza czas rozwiązywania problemów. Eliminacja kosztów modemu/linii telefonicznej przekłada się na niższe koszty.
UWAGA: Bramka SCG nie jest zgodna ze standardem FIPS.
UWAGA: korzystanie z protokołu FTP lub niezabezpieczonej poczty e-mail podczas łączenia się z SCG może stanowić zagrożenie dla bezpieczeństwa.
Dodawanie jednostki chmury do Amazon Web Services S3
AWS oferuje szereg klas pamięci masowej. Macierz zgodności dostawców rozwiązań chmurowych dostępna od E-Lab Navigator zawiera aktualne informacje na temat obsługiwanych klas pamięci masowej.
Informacje o tym zadaniu
W celu zwiększenia bezpieczeństwa funkcja Cloud Tier używa podpisu w wersji 4 dla wszystkich żądań platformy AWS. Podpis za pomocą programu Signature w wersji 4 jest domyślnie włączony.
Następujące punkty końcowe są używane przez dostawcę chmury AWS w zależności od klasy pamięci masowej i regionu. Przed skonfigurowaniem jednostek chmury należy upewnić się, że system DNS jest w stanie rozpoznać te nazwy hostów.
Punkty końcowe zgodne ze standardem FIPS są dostępne dla AWS Government Cloud.
Począwszy od DDOS 7.8, region us-east-1 nie obsługuje już starszej wersji s3.amazonaws.com punktów końcowych. Region us-east-1 wymaga teraz s3.us-east-1.amazonaws.com punktu końcowego. Sprawdź, czy zapora jest otwarta, aby nawiązać połączenie z nowym punktem końcowym przed uaktualnieniem do DDOS 7.8.
s3.fips.us-gov-west-1.amazonaws.com
Affected Products
Data DomainArticle Properties
Article Number: 000211241
Article Type: How To
Last Modified: 03 Jul 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.