Data Domain: DD Boost küresel kimlik doğrulama ve şifreleme
Summary: Bu makalede, DD OS 7.13 Boost belgelerindeki en son ve güncel bilgilerden alınan DD Boost genel kimlik doğrulaması ve şifrelemesi hakkında bilgiler yer almaktadır. Bu rehberde, "PowerProtect DD Sistemi", "koruma sistemi" veya sadece "sistem", DD OS 7.4 veya sonraki sürümleri ve daha önceki PowerProtect DD sistemlerini çalıştıran PowerProtect DD Serisi Cihazları ifade eder. ...
Instructions
Şifreleme ve kimlik doğrulamanın artırılması, istemci uyumluluğuna bağlıdır. Aşağıdaki bilgileri ve tabloları inceleyin.
Kimlik doğrulama ve şifreleme ayarlarını, bu belgede daha ayrıntılı olarak açıklanan üç şekilde belirtebilirsiniz.
Dell Data Domain'de Genel Şifreleme Gücünü Sıfırlama ve Hataları Temizleme.
Süre: 00:03:32 (ss:dd:ss)
Varsa altyazı (altyazılar) dil ayarları bu video oynatıcıdaki CC simgesi kullanılarak seçilebilir.
Aktarım Sırasında Şifreleme
Aktarım Sırasında Şifreleme, uygulamaların koruma sisteminden gelen yedekleme veya geri yükleme verilerini aktarım sırasında LAN üzerinden şifrelemesini sağlar. Bu özellik, daha güvenli bir veri aktarımı sağlamak üzere sunulmuştur.
İstemci, yapılandırıldığında istemci ile koruma sistemi arasındaki oturumu şifrelemek için TLS'yi kullanabilir. Kullanılan özel şifre paketi, aşağıdaki tabloda belirtildiği gibidir.
DD Boost Client 3.3 ila 7.0 ve 7.5 ve 7.5 Sonrası
| DDOS 7.5 ve Sonrası | |||
|---|---|---|---|
| Şifreleme Orta | Şifreleme Yüksek | ||
| DD Boost Client 3.3 ila 7.0 ve DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Client 7.5 ve Sonrası | Tek Yönlü veya İki Yönlü Sertifikalar | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost Client 3.3 ila 7.0 ve 7.5 ve 7.5 sonrası (devamı)
| DDOS 7.4 ve Öncesi | |||
|---|---|---|---|
| Şifreleme Orta | Şifreleme Yüksek | ||
| DD Boost Client 3.3 ila 7.0 ve DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| Client 7.5 ve Sonrası | Tek Yönlü veya İki Yönlü Sertifikalar | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost Client 7.1 ila 7.4
| DDOS 7.5 ve Sonrası | |||
|---|---|---|---|
| DD Boost Client 7.1 ila 7.4 | Şifreleme Orta | Şifreleme Yüksek | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| Tek Yönlü veya İki Yönlü Sertifikalar | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost Client 7.1 ila 7.4 (devamı)
| DDOS 7.4 ve Öncesi | |||
|---|---|---|---|
| DD Boost Client 7.1 ila 7.4 | Şifreleme Orta | Şifreleme Yüksek | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| Tek Yönlü veya İki Yönlü Sertifikalar | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
DDOS 7.12 ve sonraki sürümlerde, Kimlik Doğrulama modu yoktur ve yeni yüklemeler için Şifreleme Gücü varsayılan olarak orta düzeydedir.
Varsayılan genel seçenekler geriye dönük olarak uyumludur, yani şu anlama gelir:
- DD Boost kitaplığını güncelleştirmeniz gerekmez. Mevcut tüm istemciler ve uygulamalar, yeni seçeneklerin varsayılan ayarlarıyla aynı şekilde çalışır.
- Aktarım katmanı güvenliğine (TLS) sahip sertifikalar kullanan istemciler ve uygulamalar, hiçbir değişiklik olmadan çalışmaya devam edebilir.
Genel kimlik doğrulama ve şifreleme
DD Boost, sistemleri ortadaki adam (MITM) saldırılarına karşı savunmak için küresel kimlik doğrulama ve şifreleme seçenekleri sunar.
Genel seçenekler yeni istemcilerin korunmasını sağlar ancak her istemci için farklı değerler yapılandırmanıza da olanak tanır. Ek olarak, istemci ayarları güvenliği azaltamaz, yalnızca güçlendirebilir.
Genel kimlik doğrulama modunun ve şifreleme gücünün ayarlanması, minimum kimlik doğrulama ve şifreleme düzeylerini belirler. Tüm istemcilerin tüm bağlantı girişimleri bu düzeyleri karşılamalı veya aşmalıdır.
Varsayılan genel seçenekler geriye dönük olarak uyumludur, yani şu anlama gelir:
- DD Boost kitaplığını güncellemeniz gerekmez.
Mevcut tüm istemciler ve uygulamalar, yeni seçeneklerin varsayılan ayarlarıyla aynı şekilde çalışır. - Ek şifreleme olmadığı için performans üzerinde herhangi bir etkisi yoktur.
- Aktarım katmanı güvenliğine (TLS) sahip sertifikalar kullanan istemciler ve uygulamalar, hiçbir değişiklik olmadan çalışmaya devam edebilir.
Genel ayarlar varsayılan ayarlardan farklıysa mevcut istemcilerin güncelleştirilmesi gerekebilir.
Kimlik doğrulama ve şifrelemeyi ayarlama yöntemleri
Kimlik doğrulama ve şifreleme ayarlarını üç şekilde belirtebilirsiniz.
- Bağlantı isteği
Bunu kullanarakddp_connect_with_configİstemci uygulamasında API. - İstemci başına ayarlar
Koruma sisteminde CLI komutlarını kullanarak bu işlemi gerçekleştirebilirsiniz. - Genel ayarlar
Bu işlemi, koruma sistemindeki CLI komutlarını kullanarak gerçekleştirebilirsiniz.
Hem istemci başına hem de genel değerler ayarlanırsa daha güçlü veya daha yüksek olan ayar zorlanır. Daha zayıf bir kimlik doğrulama veya şifreleme ayarıyla bağlanmaya çalışan tüm istemciler reddedilir.
Kimlik doğrulama ve şifreleme ayarları
Kimlik doğrulama ve şifreleme ayarlarına karar verirken birkaç faktörü göz önünde bulundurabilirsiniz. Ancak, maksimum güvenlik için her zaman mevcut maksimum ayarı seçmeniz önerilir.
Maksimum güvenlik, performansı etkiler. Maksimum güvenliğin gerekli olmadığı denetimli bir ortamınız varsa diğer ayarları kullanmak isteyebilirsiniz.
Genel ayarlar
Genel ayar, minimum kimlik doğrulama ve şifreleme düzeylerini belirler. Bu kriterleri karşılamayan bağlantı girişimleri başarısız olur.
İstemci başına ayarlar
Ayar istemci bazında tanımlanmışsa seçtiğiniz ayar, istemci başına kimlik doğrulama için maksimum ayar ve maksimum genel kimlik doğrulama ayarıyla eşleşmeli veya bunlardan büyük olmalıdır.
Örneğin:
- Bir istemci gerektirecek şekilde yapılandırılmışsa
two-way passwordKimlik doğrulama ve genel kimlik doğrulama ayarı şu şekildedir:two-wayTLSSonratwo-way TLSKimlik doğrulama kullanılmalıdır. - İstemci, kimlik doğrulama ayarıyla yapılandırılmışsa
two-way TLSVe genel ayartwo-way passwordsSonratwo-way TLSkullanılmalıdır.
Arayan tarafından belirtilen değerler
Arayan tarafından belirtilen değerler genel veya istemci başına ayarlardan düşükse bağlantıya izin verilmez. Ancak, arayan tarafından belirtilen değerler genel veya istemci başına ayarlardan yüksekse, bağlantı arayanın belirttiği değerler kullanılarak yapılır.
Örneğin, arayan şunları belirtirse two-way-password Ancak değer genel veya istemci başına two-way, bağlantı girişimi başarısız olur. Ancak, arayan belirttiyse two-way Global ve istemci başına değerler ise two-way-password, two-way Kimlik doğrulama kullanılır.
Kimlik doğrulama ve şifreleme seçenekleri
Hem genel hem de kimlik doğrulama ve şifreleme ayarları için izin verilen üç ayardan birini seçebilirsiniz.
İstemci başına ayarlar için beş kimlik doğrulama ayarına ve üç şifreleme ayarına (genel ayarlarla aynı şifreleme ayarları) izin verilir.
Genel kimlik doğrulama ve şifreleme seçenekleri
genel-kimlik-doğrulama-modu ve genel-şifreleme-gücü ile birlikte bir dizi seçeneğiniz vardır.
Kimlik doğrulama ayarları
Aşağıdaki liste, kimlik doğrulama değerlerini en zayıftan en güçlüye doğru sıralar:
-
none
Güvenli değil; Bu, varsayılan ayardır. -
anonymous
Bu seçenek MITM saldırılarına karşı güvenli değildir.
Aktarımdaki veriler şifrelenir. -
one-way
Bu yöntem sertifikaların kullanılmasını gerektirir.
Bu, MITM saldırılarına karşı güvenli değildir.
Aktarımdaki veriler şifrelenir. -
two-way-password
Bu seçenek MITM saldırılarına karşı güvenlidir.
Aktarımdaki veriler şifrelenir. -
two-way
Bu seçenek, sertifikaların kullanıcısını gerektirir.
Bu en güvenli seçenektir ve MITM saldırılarına karşı güvenlidir.
Aktarımdaki veriler şifrelenir.
anonymous ve one-way yalnızca istemci başına ayarlar için izin verilir, genel ayarlar için izin verilmez.
Şifreleme ayarları
Aşağıdaki liste, şifreleme değerlerini en zayıftan en güçlüye doğru sıralar:
-
none
Güvenli değil; Bu, varsayılan ayardır.
Yalnızca kimlik doğrulama "none" ise belirtilebilir. -
medium
AES 128 ve SHA-1'i kullanır -
high
AES 256 ve SHA-1'i kullanır
medium ve high İstemci sürümüne ve Kimlik Doğrulama moduna bağlı olarak SHA-1'i kullanın. Daha fazla bilgi için Uçuş Sırasında Şifreleme tablosuna bakın.
Genel kimlik doğrulama
Üç genel kimlik doğrulama modu seçenekleri, farklı koruma düzeyleri ve geriye dönük uyumluluk sunar.
Genel kimlik doğrulama ve şifreleme değerleri, yalnızca DD Boost Sunucusundaki komut satırı arayüzü (CLI) komutları aracılığıyla ayarlanabilir. Bu değerleri ayarlamak için kullanabileceğiniz CLI komutları aşağıdaki bölümlerde açıklanmaktadır.
yok
ddboost option set global-authentication-mode none global-encryption-strength none
Bu, en az güvenli ancak geriye dönük olarak en uyumlu seçenektir.
Şunları seçebilirsiniz none sisteminiz önemli performans gereksinimlerine sahipse ve MITM saldırılarına karşı korumaya ihtiyacınız yoksa.
Sisteminiz, TLS nedeniyle herhangi bir performans düşüşü yaşamadan önceki gibi çalışabilir.
Kimlik doğrulama için none, şifreleme ayarı yapılamaz none.
iki yönlü şifre
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
İki yönlü parola yöntemi, önceden paylaşılan anahtar (PSK) kimlik doğrulaması ile TLS kullanarak iki yönlü kimlik doğrulama gerçekleştirir. Hem istemcinin hem de koruma sisteminin kimliği, önceden belirlenmiş parolalar kullanılarak doğrulanır. Bu seçenek belirlendiğinde, istemci ile koruma sistemi arasındaki tüm veriler ve mesajlar şifrelenir.
Bu seçenek, DD Boost for OpenStorage ile kullanılabilen tek güvenli seçenektir ve ortadaki adam (MITM) saldırılarına karşı tam koruma sağlar.
Şifreleme gücü orta veya yüksek olmalıdır.
İki yönlü parola kimlik doğrulaması, hem MITM'ye karşı güvenli olan hem de arayan belirtmeden yapılabilen tek yöntem olduğundan benzersizdir.
Iki yönlü
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Bu en güvenli seçenektir.
İki yönlü seçenek, sertifikalarla TLS kullanır. İki yönlü kimlik doğrulama, uygulama tarafından sağlanan sertifikalar kullanılarak gerçekleştirilir.
Bu ayar, sertifikaların mevcut kullanımıyla uyumludur. Genel kimlik doğrulamayı two-way Koruma sistemine bağlanan tüm uygulamaların sertifikaları desteklemesini ve tedarik etmesini gerektirir.
Sertifikaları desteklemeyen ve iki yönlü kimlik doğrulamayı belirtmeyen ve ddp_connect_with_config API başarısız olur.
two-way, tüm OST uygulamaları başarısız olur.
Geriye dönük uyumluluk senaryoları
Eski istemci ve yeni koruma sistemi
Bu durumda, Boost kitaplığı kullanan bir uygulama DDOS 6.1 veya sonraki sürümlerle kullanılır. Bu senaryoda istemci, iki yönlü parola kimlik doğrulaması gerçekleştiremez ve bu da aşağıdaki sonuçlara yol açar:
- Tüm genel kimlik doğrulama ayarları,
noneveyatwo-wayistemci performans gösteremediği içintwo-way-passwordKimlik doğrulama.
İstemci başına kimlik doğrulama ayarları, aşağıdakiler dışında herhangi bir değer olabilirtwo-way-passwordaynı sebepten dolayı. - İki yönlü parolanın genel veya istemci başına ayarları, eski istemci kitaplıklarına sahip uygulamaların başarısız olmasına neden olur.
- Yeni koruma sistemi, eski istemciler için mevcut bağlantı protokollerini destekler.
Yeni istemci ve daha eski koruma sistemi
Eski koruma sistemi çalışamıyor two-way-password Kimlik doğrulaması, aşağıdaki sonuçlara sahiptir:
- Genel kimlik doğrulama veya şifreleme ayarları yoktur.
- İstemci başına koruma sistemi kimlik doğrulama ayarı
two-way password. - İstemci önce yeni bağlantı protokolünü veya RPC'yi kullanmayı dener. Hata durumunda istemci eski protokole geri döner.
- İstemci, aşağıdakiler dışında diğer kimlik doğrulama yöntemleriyle bağlanabilir:
two-way-password.
Kimlik doğrulama ve şifreleme ayarı örnekleri
Aşağıdaki tablolarda, ayarların çağrılar, istemci başına ayarlar ve genel ayarlar kullanılarak belirtildiği ve bu ayarların başarılı olup olamayacağı örnekleri gösterilmektedir.
Bu örneklerde, DDOS 6.1 veya sonraki sürümlere sahip bir koruma sistemine DD Boost istemci bağlantınız olduğu varsayılmaktadır. Bu örnekler, Geriye Dönük Uyumluluk Senaryoları'nda açıklanan durumların hiçbiri için geçerli değildir.
Tek ayar
| Çağrı belirtir | İstemci başına ayarlar | Genel ayarlar | Kullanılan değerler |
|---|---|---|---|
| None | None | None | SUCCEEDS Kimlik Doğrulama: none Encryption: none |
| Kimlik doğrulama: iki yönlü şifre Şifreleme: orta |
None | None | BAŞARILI Kimlik Doğrulama: iki yönlü parola Şifreleme: orta |
| None | Kimlik doğrulama: iki yönlü şifre Şifreleme: orta |
None | BAŞARILI Kimlik Doğrulama: iki yönlü parola Şifreleme: orta |
| None | None | Kimlik doğrulama: iki yönlü parola Şifreleme: orta | BAŞARILI Kimlik Doğrulama: iki yönlü parola Şifreleme: orta |
| None | None | Kimlik doğrulama: iki yönlü Şifreleme: yüksek |
BAŞARISIZ: İki yönlü ve yüksek gereklidir. İstemcinin iki yönlü bir belirtmesi ve sertifikalar sağlaması gerekir. |
| Kimlik doğrulama: iki yönlü Şifreleme: yüksek | None | None | BAŞARILI Kimlik Doğrulama: iki yönlü Şifreleme: yüksek |
Çoklu Ayarlar
| Çağrı belirtir | İstemci başına ayarlar | Genel ayarlar | Kullanılan değerler |
|---|---|---|---|
| Kimlik doğrulama: iki yönlü Şifreleme: orta |
None | Kimlik doğrulama: iki yönlü Şifreleme: yüksek |
BAŞARISIZ: İki yönlü ve yüksek gereklidir. |
| None | Kimlik doğrulama: iki yönlü Şifreleme: yüksek |
Kimlik doğrulama: iki yönlü şifre Şifreleme: orta |
BAŞARISIZ: İki yönlü ve yüksek gereklidir. İstemcinin iki yönlü bir belirtmesi ve sertifikalar sağlaması gerekir. |
| Kimlik doğrulama: iki yönlü Şifreleme: yüksek |
Kimlik doğrulama: iki yönlü parola Şifreleme: yüksek |
Kimlik doğrulama: iki yönlü Şifreleme: orta |
BAŞARILI Kimlik Doğrulama: iki yönlü Şifreleme: yüksek |
| None | Kimlik doğrulama: iki yönlü şifre Şifreleme: orta |
Kimlik doğrulama: iki yönlü Şifreleme: orta |
BAŞARISIZ: İki yönlü ve orta gereklidir. İstemcinin iki yönlü bir belirtmesi ve sertifikalar sağlaması gerekir. |
| Kimlik doğrulama: iki yönlü Şifreleme: yüksek |
Kimlik doğrulama: iki yönlü Şifreleme: orta |
Kimlik doğrulama: iki yönlü Şifreleme: orta |
BAŞARILI Kimlik Doğrulama: iki yönlü Şifreleme: yüksek |
Additional Information
Data Domain: DDBoost İstemcileri için varsayılan Kimlik Doğrulama Modu, Kablo Üzerinden Şifreleme Sağlamaz.
Data Domain - DD Boost için sertifikaları yönetme