Data Domain: autenticazione e crittografia globali di DD Boost

La crittografia e l'autenticazione Boost dipendono dalla compatibilità del client. Consultare le informazioni e la tabella riportate di seguito.
È possibile specificare le impostazioni di autenticazione e crittografia in tre modi descritti più avanti in questo documento.

Crittografia in-flight
La crittografia in-flight consente alle applicazioni di crittografare il backup in-flight o ripristinare i dati tramite LAN dal sistema di protezione. Questa funzione è stata introdotta per offrire una funzionalità di trasporto dei dati più sicura.
Se configurato, il client può utilizzare TLS per crittografare la sessione tra il client e il sistema di protezione. La suite di crittografia specifica utilizzata è indicata nella tabella riportata di seguito.

DD Boost Client da 3.3 a 7.0 e 7.5 e versioni successive

DD Boost Client da 3.3 a 7.0 e 7.5 e versioni successive (continua)

Client DD Boost da 7.1 a 7.4

Client DD Boost da 7.1 a 7.4 (continua)

Autenticazione e crittografia globali
DD Boost offre opzioni di autenticazione e crittografia globali per difendere il sistema da attacchi man-in-the-middle (MITM).
Le opzioni globali garantiscono la protezione dei nuovi client, ma consentono anche di configurare valori diversi per ogni client. Inoltre, le impostazioni client possono solo rafforzare la sicurezza, non ridurla.
L'impostazione della modalità di autenticazione globale e del livello di crittografia stabilisce i livelli minimi di autenticazione e crittografia. Tutti i tentativi di connessione da parte di tutti i client devono soddisfare o superare questi livelli.

Le impostazioni predefinite a livello globale sono compatibili con le versioni precedenti, ovvero:

• Non è necessario aggiornare la libreria DD Boost.
  Tutti i client e le applicazioni esistenti operano allo stesso modo con le impostazioni predefinite delle nuove opzioni.
• Non vi è alcun impatto sulle prestazioni perché non è presente alcuna crittografia aggiuntiva.
• I client e le applicazioni che utilizzano certificati con Transport Layer Security (TLS) possono continuare a funzionare senza modifiche.
  NOTA: se le impostazioni globali sono diverse dalle impostazioni predefinite, potrebbe essere necessario aggiornare i client esistenti.

Metodi di impostazione dell'autenticazione e della crittografia
È possibile specificare le impostazioni di autenticazione e crittografia in tre modi.

• Richiesta di connessione
  È possibile eseguire questa operazione utilizzando l'API ddp_connect_with_config nell'applicazione client.
• Impostazioni specifiche per client
  È possibile eseguire questa operazione utilizzando i comandi CLI sul sistema di protezione.
• Impostazioni globali
  È possibile eseguire questa operazione utilizzando i comandi CLI sul sistema di protezione.

Se vengono impostati sia valori specifici per client che valori globali, viene applicata l'impostazione più avanzata o più elevata. Ogni client che tenta di connettersi utilizzando una configurazione di autenticazione o crittografia più debole viene respinto.

Impostazioni di autenticazione e crittografia
È possibile prendere in considerazione diversi fattori quando si decidono le impostazioni di autenticazione e crittografia. Tuttavia, si consiglia di scegliere sempre l'impostazione più elevata disponibile per il livello massimo di sicurezza.
Il livello massimo di sicurezza influisce sulle prestazioni. In un ambiente controllato in cui non è richiesta la massima sicurezza, è possibile utilizzare altre impostazioni.

Impostazioni globali
L'impostazione globale determina i livelli minimi di autenticazione e crittografia. I tentativi di connessione che non soddisfano questi criteri hanno esito negativo.

Impostazioni specifiche per client
Se l'impostazione è definita per client, l'impostazione scelta deve essere uguale o maggiore dell'impostazione di autenticazione massima per client e dell'impostazione di autenticazione massima globale.
Ad esempio:

• Se un client è configurato per richiedere l'autenticazione di tipo "two-way password" e l'impostazione di autenticazione globale è "two-way TLS", è necessario utilizzare l'autenticazione "two-way TLS".
• Se il client è configurato con l'impostazione di autenticazione "two-way TLS" e l'impostazione globale è "two-way password", è necessario utilizzare l'autenticazione "two-way TLS".

Valori specificati dal chiamante
Se i valori specificati dal chiamante sono inferiori alle impostazioni globali o specifiche per client, la connessione non è consentita. Tuttavia, se i valori specificati dal chiamante sono superiori alle impostazioni globali o specifiche per client, la connessione viene effettuata utilizzando i valori specificati dal chiamante.
Ad esempio, se il chiamante specifica "two-way password" ma il valore globale o specifico per client è "two-way", il tentativo di connessione ha esito negativo. Tuttavia, se il chiamante ha specificato l'autenticazione "two-way" e i valori globali e specifici per client sono di tipo "two-way password", viene utilizzata l'autenticazione "two-way".

Opzioni di autenticazione e crittografia
È possibile selezionare una delle tre impostazioni consentite per le impostazioni globali e di autenticazione e crittografia.
Per le impostazioni specifiche per client, sono consentite cinque impostazioni di autenticazione e tre impostazioni di crittografia (le stesse impostazioni di crittografia utilizzate a livello globale).

Opzioni di autenticazione e crittografia globali
Sono disponibili diverse opzioni con global-authentication-mode e global-encryption-strength.

Impostazioni di autenticazione
Il seguente elenco classifica i valori di autenticazione dal più debole al più avanzato:

1. none
   Nessuna protezione; questa è l'impostazione predefinita.

2. anonymous
   Questa opzione non protegge da attacchi MITM.

   I data in-flight sono crittografati.

3. one-way
   Questo metodo richiede l'uso di certificati.
   Non protegge da attacchi MITM.
   I data in-flight sono crittografati.

4. two-way password
   Questa opzione protegge da attacchi MITM.
   I data in-flight sono crittografati.

5. two-way
   Questa opzione richiede l'uso di certificati.
   È l'opzione più sicura e protegge da attacchi MITM.
   I data in-flight sono crittografati.

Impostazioni di crittografia
Il seguente elenco classifica i valori di crittografia dal più debole al più avanzato:

1. none
   Nessuna protezione; questa è l'impostazione predefinita.
   Può essere specificata solo se l'autenticazione è "none".

2. medium
   Utilizza AES 128 e SHA-1.

3. high
   Utilizza AES 256 e SHA-1.

Autenticazione globale
Le tre opzioni di global-authentication-mode offrono diversi livelli di protezione e compatibilità con le versioni precedenti.
I valori di autenticazione e crittografia globali possono essere impostati solo tramite comandi CLI sul server DD Boost. I comandi CLI utilizzati per impostare questi valori sono descritti nelle sezioni seguenti.

None

ddboost option set global-authentication-mode none
global-encryption-strength none

"none" è l'opzione meno sicura ma più compatibile con le versioni precedenti.
È possibile selezionare "none" se il sistema presenta requisiti di prestazioni critiche e non è necessaria la protezione da attacchi MITM.
Il sistema può funzionare come in precedenza, senza alcuna riduzione delle prestazioni dovuta a TLS.
Quando l'autenticazione è impostata su "none", la crittografia deve essere impostata su "none". Se si seleziona un'impostazione diversa per l'autenticazione rispetto a "none", l'impostazione di crittografia non può essere "none".

two-way password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Il metodo "two-way password" esegue l'autenticazione bidirezionale mediante TLS con autenticazione tramite chiave pre-condivisa (PSK). Sia il client che il sistema di protezione vengono autenticati utilizzando le password stabilite in precedenza. Quando questa opzione è selezionata, tutti i dati e i messaggi tra il client e il sistema di protezione vengono crittografati.
Si tratta dell'unica opzione sicura disponibile con DD Boost for OpenStorage e protegge completamente da attacchi man-in-the-middle (MITM).
Il livello di crittografia deve essere medium o high.
L'autenticazione di tipo "two-way password" è univoca perché è l'unico metodo che protegge da MITM e che può essere eseguito senza che il chiamante lo specifichi.

two-way

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Questa è l'opzione più sicura.
L'opzione "two-way" utilizza TLS con certificati. L'autenticazione di tipo "two-way" viene ottenuta utilizzando i certificati forniti dall'applicazione.
Questa impostazione è compatibile con l'uso di certificati esistenti. L'impostazione dell'autenticazione globale su "two-way" richiede che tutte le applicazioni che si connettono al sistema di protezione supportino e forniscano certificati.
Qualsiasi applicazione che non supporta i certificati e non specifica l'autenticazione "two-way" e fornisce certificati tramite l'API ddp_connect_with_config ha esito negativo.

Scenari di compatibilità con le versioni precedenti
Client precedente e nuovo sistema di protezione
In questo caso, un'applicazione che utilizza una libreria Boost viene utilizzata con DDOS 6.1 o versioni successive. In questo scenario, il client non può eseguire l'autenticazione di tipo "two-way password", con le seguenti conseguenze:

• Tutte le impostazioni di autenticazione globali devono essere impostate su "none" o "two-way" poiché il client non può eseguire l'autenticazione di tipo "two-way-password".
  Le impostazioni di autenticazione specifiche per client possono essere di qualsiasi valore, ad eccezione di "two-way password", per lo stesso motivo.
• Qualsiasi impostazione globale o specifica per client di "two-way password" causa l'errore delle applicazioni con librerie client meno recenti.
• Il nuovo sistema di protezione supporta i protocolli di connessione esistenti per i client meno recenti.

Nuovo client e sistema di protezione meno recente
Il sistema di protezione meno recente non è in grado di effettuare l'autenticazione di tipo "two-way password", a due fattori con password bidirezionali, con le seguenti conseguenze:

• Non sono presenti impostazioni globali di autenticazione o crittografia.
• L'impostazione di autenticazione del sistema di protezione specifica per client non può essere impostata su "two-way password".
• Il client tenta di utilizzare il nuovo protocollo di connessione o RPC; in caso di errore, torna al protocollo precedente.
• Il client può connettersi utilizzando altri metodi di autenticazione, tranne "two-way-password".

Esempi di impostazioni di autenticazione e crittografia
Le tabelle seguenti mostrano esempi in cui le impostazioni vengono specificate utilizzando chiamate, impostazioni specifiche per client e impostazioni globali e se tali impostazioni possono avere esito positivo.
Questi esempi presuppongono che si disponga di una connessione client DD Boost a un sistema di protezione con DDOS 6.1 o versione successiva. Questi esempi non si applicano alle situazioni descritte in Scenari di compatibilità con le versioni precedenti.

Un'unica impostazione

Più impostazioni

Data Domain: La modalità di autenticazione predefinita per i client DD Boost non fornisce la crittografia via cavo
Data Domain: Gestione dei certificati per DD Boost