Data Domain: Globální ověřování a šifrování DD Boost

Vyšší šifrování a ověřování závisí na kompatibilitě klienta. Prostudujte si níže uvedené informace a tabulky.
Nastavení ověřování a šifrování můžete zadat třemi způsoby, které jsou popsány dále v tomto dokumentu.

Šifrování za provozu
Šifrování za provozu umožňuje aplikacím šifrovat přenášená data, zálohovat nebo obnovovat data z bezpečnostního systému přes síť LAN. Tato funkce byla zavedena v rámci nabídky bezpečnějšího přenosu dat.
Při konfiguraci může klient pomocí protokolu TLS šifrovat relaci mezi klientem a bezpečnostním systémem. Konkrétní použitá šifrovací sada je uvedena v následující tabulce.

DD Boost Client 3.3 až 7.0 a 7.5 po verzi 7.5

DD Boost Client 3.3 až 7.0 a 7.5 po verzi 7.5 (pokračování)

DD Boost Client 7.1 až 7.4

DD Boost Client 7.1 až 7.4 (pokračování)

U systému DDOS 7.12 a novějších není režim ověřovánínastaven None a síla šifrování je ve výchozím nastavení nastavena na hodnotu Medium pro nové instalace.

Výchozí globální možnosti jsou zpětně kompatibilní, což znamená:

•  Knihovnu DD Boost není nutné aktualizovat. Všichni stávající klienti a aplikace fungují stejným způsobem s výchozím nastavením nových možností.
• Klienti a aplikace, které používají certifikáty s protokolem TLS (Transport Layer Security), můžou dál pracovat beze změn.

Globální ověřování a šifrování
Software DD Boost nabízí možnosti globálního ověřování a šifrování a chrání systémy před útoky MITM (Man-in-the-Middle).
Globální možnosti zajišťují, že noví klienti jsou chráněni, ale také umožňují nakonfigurovat různé hodnoty pro každého klienta. Nastavení klienta navíc může zabezpečení pouze posílit, nikoli snížit.
Nastavení globálního režimu ověřování a síly šifrování stanoví minimální úrovně ověřování a šifrování. Všechny pokusy o připojení všemi klienty musí splňovat nebo přesahovat tyto úrovně.

Výchozí globální možnosti jsou zpětně kompatibilní, což znamená:

• Knihovnu DD Boost není nutné aktualizovat.
  Všichni stávající klienti a aplikace fungují stejným způsobem s výchozím nastavením nových možností.
• Nemá to žádný vliv na výkon, protože není přidáno žádné šifrování.
• Klienti a aplikace, které používají certifikáty s protokolem TLS (Transport Layer Security), můžou dál pracovat beze změn.
  Pokud se globální nastavení liší od výchozích nastavení, může být nutné aktualizovat stávající klienty.

Metody nastavení ověřování a šifrování
Nastavení ověřování a šifrování můžete zadat třemi způsoby.

• Požadavek
  na připojení: To provedete pomocí příkazu ddp_connect_with_config Rozhraní API v klientské aplikaci.
• Nastavení
  pro jednotlivé klienty: To lze provést pomocí příkazů rozhraní příkazového řádku v systému ochrany.
• Globální nastavení
  To lze provést pomocí příkazů CLI v systému ochrany.

Pokud jsou nastaveny hodnoty pro klienta i globální hodnoty, vynucovat se bude silnější nebo vyšší nastavení. Každý klient, který se pokusí připojit se slabším nastavením ověřování nebo šifrování, bude odmítnut.

Nastavení ověřování a šifrování
Při rozhodování o nastavení ověřování a šifrování můžete vzít v úvahu několik faktorů. Pro maximální zabezpečení však doporučujeme vždy zvolit maximální dostupné nastavení.
Maximální zabezpečení má vliv na výkon. Pokud máte kontrolované prostředí, kde není vyžadováno maximální zabezpečení, můžete použít jiná nastavení.

Globální nastavení
Globální nastavení určuje minimální úrovně ověřování a šifrování. Pokusy o připojení, které tato kritéria nesplňují, se nezdaří.

Nastavení pro jednotlivé klienty
Pokud je nastavení definováno pro jednotlivé klienty, musí se zvolené nastavení shodovat nebo být vyšší než nastavení maximálního ověřování pro jednotlivé klienty a nastavení maximálního globálního ověřování.
Například:

• Pokud je klient nakonfigurován tak, aby vyžadoval two-way password autentizace a nastavení globálního ověřování je two-way TLSPak two-way TLS Musí být použito ověřování.
• Pokud je klient nakonfigurován s nastavením ověřování two-way TLS a globální nastavení je two-way passwordsPak two-way TLS musí být použity.

Hodnoty podle volajícího
Pokud jsou hodnoty podle volajícího nižší než globální nastavení nebo nastavení pro jednotlivé klienty, připojení není povoleno. Pokud jsou však hodnoty určené volajícím vyšší než globální nastavení nebo nastavení pro jednotlivé klienty, je připojení navázáno pomocí hodnot zadaných volajícím.
Pokud například volající určí two-way-password Ale buď globální hodnota, nebo hodnota pro jednotlivé klienty je two-way, pokus o připojení se nezdaří. Pokud však volající zadal two-way a globální hodnoty a hodnoty pro jednotlivé klienty jsou two-way-password, two-way Používá se ověřování.

Možnosti ověřování a šifrování
Můžete vybrat jedno ze tří povolených nastavení pro globální nastavení a nastavení ověřování a šifrování.
Pro nastavení pro jednotlivé klienty je povoleno pět nastavení ověřování a tři nastavení šifrování (stejné nastavení šifrování jako pro globální nastavení).

Možnosti globálního ověřování a šifrování
Máte řadu možností s global-authentication-mode a global-encryption-strength.

Nastavení ověřování
Následující seznam seřadí hodnoty ověřování od nejslabší po nejsilnější:

1. none
   Není zabezpečený; Toto je výchozí nastavení.

2. anonymous
   Tato možnost není zabezpečena proti útokům MITM.
   Přenášená data jsou šifrována.

3. one-way
   Tato metoda vyžaduje použití certifikátů.
   To není zabezpečené proti útokům MITM.
   Přenášená data jsou šifrována.

4. two-way-password
   Tato možnost je zabezpečená proti útokům MITM.
   Přenášená data jsou šifrována.

5. two-way
   Tato možnost vyžaduje uživatele certifikátů.
   Toto je nejbezpečnější možnost a je zabezpečená proti útokům MITM.
   Přenášená data jsou šifrována.

Nastavení šifrování
Následující seznam seřadí hodnoty šifrování od nejslabšího po nejsilnější:

1. none
   Není zabezpečený; Toto je výchozí nastavení.
   Lze zadat pouze v případě, že ověřování je "none".

2. medium
   Zaměstnává AES 128 a SHA-1

3. high
   Zaměstnává AES 256 a SHA-1

Globální ověřování
Tři možnosti global-authentication-mode nabízejí různé úrovně ochrany a zpětné kompatibility.
Globální hodnoty ověřování a šifrování lze nastavit pouze prostřednictvím příkazů rozhraní příkazového řádku (CLI) na serveru DD Boost. Příkazy rozhraní příkazového řádku, které používáte k nastavení těchto hodnot, jsou popsány v následujících částech.

žádné

ddboost option set global-authentication-mode none
global-encryption-strength none

Jedná se o nejméně zabezpečenou, ale nejvíce zpětně kompatibilní možnost.
Můžete si vybrat none pokud má váš systém zásadní požadavky na výkon a nepotřebujete ochranu před útoky MITM.
Váš systém může fungovat stejným způsobem jako dříve, aniž by došlo ke snížení výkonu v důsledku protokolu TLS.
Pokud pro ověřování vyberete jiné nastavení než none, nastavení šifrování nemůže být none.

obousměrné heslo

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Metoda obousměrného hesla provádí obousměrné ověřování pomocí protokolu TLS s ověřováním pomocí předem sdíleného klíče (PSK). Klient i bezpečnostní systém se ověřují pomocí dříve vytvořených hesel. Je-li vybrána tato možnost, jsou šifrována všechna data a zprávy mezi klientem a bezpečnostním systémem.
Jedná se o jedinou možnost zabezpečení, která je k dispozici u softwaru DD Boost for OpenStorage a plně chrání před útoky MITM (Man-in-the-Middle).
Síla šifrování musí být „medium“ nebo „high“.
Obousměrné ověřování heslem je jedinečné, protože je to jediná metoda, která je zabezpečená proti útokům MITM a lze ji provést, aniž by ji volající zadal.

Obousměrný

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Jedná se o nejbezpečnější možnost.
Možnost „two-way“ využívá protokol TLS s certifikáty. Obousměrného ověřování je dosaženo pomocí certifikátů poskytovaných aplikací.
Toto nastavení je kompatibilní se stávajícím použitím certifikátů. Nastavení globálního ověřování na two-way Vyžaduje, aby všechny aplikace, které se připojují k bezpečnostnímu systému, podporovaly a poskytovaly certifikáty.
Libovolná aplikace, která nepodporuje certifikáty a neurčuje obousměrné ověřování a poskytuje certifikáty prostřednictvím ddp_connect_with_config Rozhraní API se nezdařilo.

Scénáře zpětné kompatibility
Starší klient a nový bezpečnostní systém
V takovém případě se se systémem DDOS 6.1 nebo novějším používá aplikace používající knihovnu Boost. V tomto scénáři klient nemůže provádět obousměrné ověřování heslem, což má následující důsledky:

• Všechna nastavení globálního ověřování musí být nastavena na none nebo two-way Vzhledem k tomu, že klient nemůže provádět two-way-password Ověřování.
  Nastavení ověřování pro jednotlivé klienty může mít libovolnou hodnotu s výjimkou two-way-password ze stejného důvodu.
• Jakékoli globální nastavení nebo nastavení „two-way password“ pro jednotlivé klienty způsobí selhání aplikací se staršími klientskými knihovnami.
• Nový bezpečnostní systém podporuje stávající protokoly připojení pro staré klienty.

Nový klient a starší systém
ochranyStarší ochranný systém nedokáže fungovat two-way-password ověřování, které má následující důsledky:

• Neexistují žádná nastavení globálního ověřování nebo šifrování.
• Nastavení ověřování systému ochrany pro jednotlivé klienty nemůže být two-way password.
• Klient se nejprve pokusí použít nový protokol připojení neboli RPC. V případě selhání se klient vrátí ke starému protokolu.
• Klient se může připojit pomocí jiných metod ověřování s výjimkou two-way-password.

Příklady
nastavení ověřování a šifrováníV následujících tabulkách jsou uvedeny příklady, ve kterých jsou nastavení zadána pomocí volání, nastavení pro jednotlivé klienty a globální nastavení a zda tato nastavení mohou být úspěšná.
Tyto příklady předpokládají, že máte klienta DD Boost připojení k bezpečnostnímu systému se systémem DDOS 6.1 nebo novějším. Tyto příklady se nevztahují na žádnou ze situací popsaných ve scénářích zpětné kompatibility.

Jedno nastavení

Více nastavení

Data Domain: Výchozí režim ověřování pro klienty DDBoost neposkytuje šifrování přes síť.
Data Domain – Správa certifikátů pro software DD Boost