Data Domain – DD Boost global godkjenning og kryptering

Forsterkning av kryptering og autentisering avhenger av klientkompatibilitet, se gjennom informasjonen og tabellen nedenfor.
Du kan angi innstillinger for godkjenning og kryptering på tre måter, som er beskrevet nærmere i dette dokumentet.

Kryptering
under flyvningKryptering under flyging gjør det mulig for applikasjoner å kryptere, sikkerhetskopiere eller gjenopprette data over LAN fra beskyttelsessystemet. Denne funksjonen ble introdusert for å gi en sikrere datatransportkapasitet.
Når den er konfigurert, kan klienten bruke TLS til å kryptere økten mellom klienten og beskyttelsessystemet. Den spesifikke krypteringspakken som brukes, er som følger i tabellen nedenfor.

DD Boost Client 3.3 til 7.0 og 7.5 etter 7.5

DD Boost Client 3.3 til 7.0 og 7.5 etter 7.5 (fortsatt)

DD Boost Client 7.1 til 7.4

DD Boost Client 7.1 til 7.4 (fortsatt)

Global godkjenning og kryptering
DD Boost tilbyr global godkjenning og krypteringsalternativer for å forsvare systemet mot mellommannbaserte angrep
(MITM).De globale alternativene sikrer at nye klienter er beskyttet, men lar deg også konfigurere forskjellige verdier for hver klient. I tillegg kan klientinnstillinger bare styrke sikkerheten, ikke redusere den.
Når du angir global godkjenningsmodus og krypteringsstyrke, opprettes minimumsnivåer for godkjenning og kryptering. Alle tilkoblingsforsøk fra alle klienter må oppfylle eller overskride disse nivåene.

Standard globale alternativer er bakoverkompatible, noe som betyr:

• Du trenger ikke å oppdatere DD Boost-biblioteket.
  Alle eksisterende klienter og programmer fungerer på samme måte med standardinnstillingene for de nye alternativene.
• Det er ingen innvirkning på ytelsen fordi det ikke er lagt til kryptering.
• Klienter og programmer som bruker sertifikater med TLS (Transport Layer Security), kan fortsette å fungere uten endringer.
  MERK: Hvis de globale innstillingene er forskjellige fra standardinnstillingene, må eksisterende klienter kanskje oppdateres.

Metoder for å angi autentisering og kryptering
Du kan angi innstillinger for godkjenning og kryptering på tre måter.

• Tilkoblingsforespørsel
  Du gjør dette ved hjelp av ddp_connect_with_config API i klientprogrammet.
• Innstillinger
  per klient Dette gjør du ved hjelp av CLI-kommandoer på beskyttelsessystemet.
• Globale innstillinger
  Dette gjør du ved hjelp av CLI-kommandoer på beskyttelsessystemet.

Hvis både per klient og globale verdier angis, håndheves den sterkere eller høyere innstillingen. Alle klienter som prøver å koble til med en svakere godkjenningsinnstilling eller krypteringsinnstilling, blir avvist.

Innstillinger
for godkjenning og krypteringDu kan vurdere flere faktorer når du bestemmer godkjennings- og krypteringsinnstillinger. Det anbefales imidlertid at du alltid velger den maksimale tilgjengelige innstillingen for maksimal sikkerhet.
Maksimal sikkerhet påvirker ytelsen. Hvis du har et kontrollert miljø der maksimal sikkerhet ikke er nødvendig, kan du bruke andre innstillinger.

Globale innstillinger
Den globale innstillingen bestemmer minimumsnivåene for godkjenning og kryptering. Tilkoblingsforsøk som ikke oppfyller disse kriteriene, mislykkes.

Innstillinger
per klientHvis innstillingen er definert per klient, må innstillingen du velger, enten samsvare eller være større enn innstillingen for maksimal godkjenning per klient og den maksimale globale godkjenningsinnstillingen.
For eksempel:

• Hvis en klient er konfigurert til å kreve toveis passordgodkjenning og den globale godkjenningsinnstillingen er toveis TLS, må toveis TLS-godkjenning brukes.
• Hvis klienten er konfigurert med godkjenningsinnstillingen "toveis TLS" og den globale innstillingen er "toveis passord", må "toveis TLS" brukes.

Verdier
spesifisert av oppringerHvis verdiene for oppringeren er lavere enn de globale innstillingene eller innstillingene per klient, er ikke tilkoblingen tillatt. Hvis verdiene for oppringeren er høyere enn de globale innstillingene eller per klient-innstillingene, opprettes imidlertid tilkoblingen ved hjelp av de angitte verdiene for oppringer.
Hvis oppringeren for eksempel angir "toveis passord", men enten den globale verdien eller per klient-verdien er "toveis", mislykkes tilkoblingsforsøket. Hvis oppringeren imidlertid angav "toveis" og de globale verdiene og per klient-verdiene er "toveis passord", brukes toveis godkjenning.

Autentiserings- og krypteringsalternativer
Du kan velge én av tre tillatte innstillinger for både globale innstillinger og innstillinger for godkjenning og kryptering.
For innstillingene per klient er fem godkjenningsinnstillinger tillatt og tre krypteringsinnstillinger (de samme krypteringsinnstillingene som for globale).

Globale autentiserings- og krypteringsalternativer
Du kan velge mellom alternativene global godkjenningsmodus og global krypteringsstyrke.

Innstillinger for
godkjenningFølgende liste rangerer godkjenningsverdier fra svakeste til sterkeste:

1. ingen
   Ikke sikker. Dette er standardinnstillingen.

2. anonym
   Dette alternativet er ikke sikkert mot MITM-angrep.

   Data under flyvning er kryptert.

3. enveis
   Denne metoden krever bruk av sertifikater.
   Dette er ikke sikkert mot MITM-angrep.
   In-fligh data er kryptert.

4. Toveis passord
   Dette alternativet er sikkert mot MITM-angrep.
   In-fligh data er kryptert.

5. toveis
   Dette alternativet krever at du bruker sertifikater.
   Dette er det sikreste alternativet, og er sikkert mot MITM-angrep.
   In-fligh data er kryptert.

Innstillinger for kryptering
Følgende liste rangerer krypteringsverdier fra svakeste til sterkeste:

1. ingen
   Ikke sikker. Dette er standardinnstillingen.
   Kan bare angis hvis godkjenningen er "ingen".

2. medium
   Sysselsetter AES 128 og SHA-1.

3. høy
   Sysselsetter AES 256 og SHA-1.

Global godkjenning
De tre alternativene for global autentiseringsmodus gir ulike beskyttelsesnivåer og bakoverkompatibilitet.
Globale godkjennings- og krypteringsverdier kan bare angis via kommandolinjegrensesnittkommandoer (CLI) på DD Boost-serveren. CLI-kommandoene du bruker til å angi disse verdiene, er beskrevet i avsnittene nedenfor.

None

ddboost option set global-authentication-mode none
global-encryption-strength none

"Ingen" er det minst sikre, men mest bakoverkompatible alternativet.
Du kan velge "ingen" hvis systemet ditt har viktige ytelseskrav og du ikke trenger beskyttelse mot MITM-angrep.
Systemet ditt kan fungere på samme måte som før uten å bli utsatt for ytelsesforringelse på grunn av TLS.
Når godkjenning er satt til "ingen", må kryptering settes til "ingen". Hvis du velger en annen innstilling for godkjenning enn "ingen", kan ikke krypteringsinnstillingen være "ingen".

Toveis passord

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Toveis passordmetoden utfører toveis godkjenning ved hjelp av TLS med forhåndsdelt nøkkel (PSK)-godkjenning. Både klienten og beskyttelsessystemet autentiseres ved hjelp av de tidligere etablerte passordene. Når dette alternativet er valgt, krypteres alle data og meldinger mellom klienten og beskyttelsessystemet.
Dette alternativet er det eneste sikre alternativet som er tilgjengelig med DD Boost for OpenStorage, og beskytter fullt ut mot mellommannbaserte angrep (MITM).
Krypteringsstyrken må være enten middels eller høy.
Toveis passordautentisering er unik fordi det er den eneste metoden som både er sikker mot MITM og kan gjøres uten at den som ringer spesifiserer det.

Toveis

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dette er det sikreste alternativet.
Toveisalternativet bruker TLS med sertifikater. Toveis autentisering oppnås ved hjelp av sertifikater levert av applikasjonen.
Denne innstillingen er kompatibel med eksisterende bruk av sertifikater. Hvis du setter innstillingen for global godkjenning til "toveis", må alle programmer som kobles til beskyttelsessystemet, støtte og levere sertifikater.
Alle programmer som ikke støtter sertifikater og ikke spesifiserer toveis godkjenning og gir sertifikater via ddp_connect_with_config API, vil mislykkes.

Scenarier
for bakoverkompatibilitetEldre klient og nytt beskyttelsessystem
I dette tilfellet brukes et program som bruker et Boost-bibliotek med DDOS 6.1 eller nyere. I dette scenariet kan klienten ikke utføre toveis passordgodkjenning, som har følgende konsekvenser:

• Alle globale godkjenningsinnstillinger må settes til "none eller "two-way", siden klienten ikke kan utføre godkjenning med "toveis passord".
  Godkjenningsinnstillinger per klient kan være en hvilken som helst verdi bortsett fra "toveis passord" av samme grunn.
• Alle globale innstillinger eller per klientinnstillinger for toveis passord fører til at programmer med eldre klientbiblioteker mislykkes.
• Det nye beskyttelsessystemet støtter eksisterende tilkoblingsprotokoller for gamle klienter.

Ny klient og eldre beskyttelsessystem
Det eldre beskyttelsessystemet kan ikke utføre "toveis passord" -autentisering, noe som har følgende forgreninger:

• Det finnes ingen globale godkjennings- eller krypteringsinnstillinger.
• Godkjenningsinnstillingen for beskyttelsessystemet per klient kan ikke være toveis passord.
• Klienten vil først prøve å bruke den nye tilkoblingsprotokollen eller RPC; Ved feil går klienten tilbake til den gamle protokollen.
• Klienten kan koble til andre autentiseringsmetoder bortsett fra "toveis passord".

Eksempler på
godkjennings- og krypteringsinnstillingTabellene nedenfor viser eksempler på hvilke innstillinger som angis ved hjelp av anrop, innstillinger per klient og globale innstillinger, og om disse innstillingene kan lykkes.
Disse eksemplene forutsetter at du har en DD Boost-klienttilkobling til et beskyttelsessystem med DDOS 6.1 eller nyere. Disse eksemplene gjelder ikke for noen av situasjonene som er beskrevet i Scenarier for bakoverkompatibilitet.

Én innstilling

Flere innstillinger

Data Domain: Standard godkjenningsmodus for DDBoost-klienter gir ikke over-the-wire-kryptering.
Data Domain – administrere sertifikater for DD Boost