Data Domain — globalne uwierzytelnianie i szyfrowanie DD Boost
Summary: Ten artykuł zawiera informacje na temat globalnego uwierzytelniania i szyfrowania DD Boost zaczerpnięte z najnowszych informacji z dokumentacji DDOS 7.13 Boost. W tym przewodniku „System PowerProtect DD”, „system ochrony” lub po prostu „system” widzi urządzenia PowerProtect z serii DD z systemem operacyjnym DD w wersji 7.4 lub nowszej i starsze systemy PowerProtect DD. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Lepsze szyfrowanie i uwierzytelnianie zależy od zgodności klienta. Zapoznaj się z informacjami i poniższą tabelą.
Ustawienia uwierzytelniania i szyfrowania można określić na trzy sposoby, które opisano w dalszej części tego dokumentu.
Szyfrowanie w locie
Szyfrowanie w locie umożliwia aplikacjom szyfrowanie kopii zapasowych w locie lub przywracanie danych przez sieć LAN z systemu ochrony. Ta funkcja została wprowadzona w celu zapewnienia bezpieczniejszego transportu danych.
Po skonfigurowaniu klient może używać protokołu TLS do szyfrowania sesji między klientem a systemem ochrony. Konkretny używany zestaw szyfrowania podano w poniższej tabeli.
UWAGA: używany zestaw szyfrowania to ADH-AES256-SHA, jeśli wybrano opcję szyfrowania o wysokim poziomie, lub ADHAES128-SHA, jeśli wybrano opcję szyfrowania średniego.
DD Boost Client od 3.3 do 7.0 i 7.5 Po 7.5
| DDOS 7.5 i nowsze | |||
|---|---|---|---|
| Szyfrowanie średnie | Szyfrowanie wysokie | ||
| DD Boost Client od 3.3 do 7.0 i DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Client 7.5 i nowsze | Certyfikaty jedno- lub dwukierunkowe | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost Client od 3.3 do 7.0 i 7.5 Po 7.5 (ciąg dalszy)
| DDOS 7.4 i starsze | |||
|---|---|---|---|
| Szyfrowanie średnie | Szyfrowanie wysokie | ||
| DD Boost Client od 3.3 do 7.0 i DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| Client 7.5 i nowsze | Certyfikaty jedno- lub dwukierunkowe | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost Client od 7.1 do 7.4
| DDOS 7.5 i nowsze | |||
|---|---|---|---|
| DD Boost Client od 7.1 do 7.4 | Szyfrowanie średnie | Szyfrowanie wysokie | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| Certyfikaty jedno- lub dwukierunkowe | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost Client 7.1 do 7.4 (ciąg dalszy)
| DDOS 7.4 i starsze | |||
|---|---|---|---|
| DD Boost Client od 7.1 do 7.4 | Szyfrowanie średnie | Szyfrowanie wysokie | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| Certyfikaty jedno- lub dwukierunkowe | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
Globalne uwierzytelnianie i szyfrowanie
DD Boost oferuje globalne opcje uwierzytelniania i szyfrowania, aby chronić system przed atakami typu man-in-the-middle (MITM).
Opcje globalne zapewniają ochronę nowych klientów, ale także umożliwiają skonfigurowanie różnych wartości dla każdego klienta. Ponadto ustawienia klienta mogą tylko wzmocnić bezpieczeństwo, a nie je zmniejszyć.
Ustawienie trybu uwierzytelniania globalnego i siły szyfrowania określa minimalne poziomy uwierzytelniania i szyfrowania. Wszystkie próby połączenia przez wszystkich klientów muszą spełniać lub przekraczać te poziomy.
UWAGA: te środki nie są domyślnie włączone; ustawienia należy zmienić ręcznie.
Domyślne opcje globalne są zgodne z poprzednimi wersjami, co oznacza, że:
- Nie trzeba aktualizować biblioteki DD Boost.
Wszyscy istniejący klienci i aplikacje działają w ten sam sposób z domyślnymi ustawieniami nowych opcji. - Nie ma to wpływu na wydajność, ponieważ nie ma dodatkowego szyfrowania.
- Klienci i aplikacje korzystające z certyfikatów z transport layer security (TLS) mogą nadal działać bez zmian.
UWAGA: jeśli ustawienia globalne różnią się od ustawień domyślnych, może być konieczna aktualizacja istniejących klientów.
Metody ustawiania uwierzytelniania i szyfrowania
Ustawienia uwierzytelniania i szyfrowania można określić na trzy sposoby.
- Żądanie połączenia
Odbywa się przy użyciu interfejsu API ddp_connect_with_config w aplikacji klienckiej. - Ustawienia dla poszczególnych klientów
Za pomocą poleceń CLI w systemie ochrony. - Ustawienia globalne
Za pomocą poleceń CLI w systemie ochrony.
Jeśli ustawiono zarówno wartości dla poszczególnych klientów, jak i globalne, wymuszane jest silniejsze lub wyższe ustawienie. Każdy klient, który próbuje połączyć się ze słabszym ustawieniem uwierzytelniania lub szyfrowania, jest odrzucany.
Ustawienia uwierzytelniania i szyfrowania
Przy podejmowaniu decyzji o ustawieniach uwierzytelniania i szyfrowania można wziąć pod uwagę kilka czynników. Zaleca się jednak, aby zawsze wybierać maksymalne dostępne ustawienie w celu zapewnienia maksymalnego bezpieczeństwa.
Maksymalne zabezpieczenia wpływają na wydajność. Jeśli masz kontrolowane środowisko, w którym nie są wymagane maksymalne zabezpieczenia, możesz użyć innych ustawień.
Ustawienia globalne
Ustawienie globalne określa minimalne poziomy uwierzytelniania i szyfrowania. Próby połączenia, które nie spełniają tych kryteriów, kończą się niepowodzeniem.
Ustawienia dla poszczególnych klientów
Jeśli ustawienie jest zdefiniowane dla poszczególnych klientów, wybrane ustawienie musi być zgodne z maksymalnym ustawieniem uwierzytelniania według klienta i maksymalnym ustawieniem uwierzytelniania globalnego.
Na przykład:
- Jeśli klient jest skonfigurowany do wymagania uwierzytelniania „dwukierunkowego hasła”, a ustawienie uwierzytelniania globalnego to dwukierunkowy protokół TLS, należy użyć dwukierunkowego uwierzytelniania TLS.
- Jeśli klient jest skonfigurowany z ustawieniem uwierzytelniania „dwukierunkowy protokół TLS”, a ustawienie globalne to „dwukierunkowe hasła”, należy użyć „dwukierunkowego protokołu TLS”.
Wartości określone przez wywołującego
Jeśli wartości określone przez obiekt wywołujący są niższe niż ustawienia globalne lub według klienta, połączenie nie jest dozwolone. Jeśli jednak wartości określone przez obiekt wywołujący są wyższe niż ustawienia globalne lub według klienta, połączenie jest nawiązywane przy użyciu wartości określonych przez obiekt wywołujący.
Jeśli na przykład obiekt wywołujący określa „hasło dwukierunkowe”, ale wartość globalna lub wartość dla klienta jest „dwukierunkowa”, próba połączenia zakończy się niepowodzeniem. Jeśli jednak obiekt wywołujący określił wartość „dwukierunkową”, a wartości globalne i według klienta to „hasło dwukierunkowe”, używane jest uwierzytelnianie „dwukierunkowe”.
Opcje uwierzytelniania i szyfrowania
Możesz wybrać jedno z trzech dozwolonych ustawień zarówno dla ustawień globalnych, jak i ustawień uwierzytelniania i szyfrowania.
W przypadku ustawień dla poszczególnych klientów dozwolonych jest pięć ustawień uwierzytelniania i trzy ustawienia szyfrowania (takie same ustawienia szyfrowania jak w przypadku ustawień globalnych).
UWAGA: wartości uwierzytelniania i szyfrowania muszą być ustawione jednocześnie ze względu na zależności.
Globalne opcje uwierzytelniania i szyfrowania
Dostępnych jest wiele opcji, w tym global-authentication-mode i global-encryption-strength.
Ustawienia uwierzytelniania
Poniższa lista klasyfikuje wartości uwierzytelniania od najsłabszej do najsilniejszej:
-
none
Niezabezpieczone; jest to ustawienie domyślne. -
anonymous
Ta opcja nie jest zabezpieczona przed atakami MITM.Dane w locie są szyfrowane.
-
one-way
Ta metoda wymaga użycia certyfikatów.
Nie jest zabezpieczona przed atakami MITM.
Dane w locie są szyfrowane. -
two-way password
Ta opcja jest zabezpieczona przed atakami MITM.
Dane w locie są szyfrowane. -
two-way
Ta opcja wymaga użycia certyfikatów.
Jest to najbezpieczniejsza opcja, zabezpieczona przed atakami MITM.
Dane w locie są szyfrowane.
Uwaga: „anonymous” i „one-way” są dozwolone tylko w przypadku ustawień według klienta, a nie ustawień globalnych.
Ustawienia szyfrowania
Poniższa lista klasyfikuje wartości szyfrowania od najsłabszej do najsilniejszej:
-
none
Niezabezpieczone; jest to ustawienie domyślne.
Można określić tylko wtedy, gdy uwierzytelnianie ma wartość „none”. -
średnie
Wykorzystuje AES 128 i SHA-1. -
wysokie
Wykorzystuje AES 256 i SHA-1.
UWAGA: zarówno średnie, jak i wysokie wykorzystują algorytm SHA-1 w zależności od wersji klienta i trybu uwierzytelniania. Aby uzyskać więcej informacji, zapoznaj się z tabelą w temacie Szyfrowanie w locie.
Uwierzytelnianie globalne
Trzy opcje trybu uwierzytelniania globalnego oferują różne poziomy ochrony i zgodność z poprzednimi wersjami.
Globalne wartości uwierzytelniania i szyfrowania można ustawić tylko za pomocą poleceń interfejsu wiersza poleceń (CLI) na serwerze DD Boost. Polecenia interfejsu wiersza polecenia używane do ustawiania tych wartości zostały opisane w poniższych sekcjach.
None
ddboost option set global-authentication-mode none global-encryption-strength none
„None” to najmniej bezpieczna, ale najbardziej zgodna z poprzednimi modelami opcja.
Możesz wybrać opcję „none”, jeśli system ma kluczowe wymagania dotyczące wydajności i nie potrzebujesz ochrony przed atakami MITM.
System może działać w taki sam sposób jak wcześniej bez pogorszenia wydajności z powodu protokołu TLS.
Gdy uwierzytelnianie jest ustawione na „none”, szyfrowanie musi być ustawione na „none”. W przypadku wybrania innego ustawienia uwierzytelniania niż „none” ustawienie szyfrowania nie może mieć wartości „none”.
Two-way password
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
Metoda hasła dwukierunkowego przeprowadza uwierzytelnianie dwukierunkowe przy użyciu protokołu TLS z uwierzytelnianiem za pomocą klucza wstępnego (PSK). Zarówno klient, jak i system ochrony są uwierzytelniane za pomocą wcześniej ustalonych haseł. Po wybraniu tej opcji wszystkie dane i komunikaty między klientem a systemem ochrony są szyfrowane.
Ta opcja jest jedyną bezpieczną opcją dostępną w DD Boost for OpenStorage i chroni w pełni przed atakami typu man-in-the-middle (MITM).
Siła szyfrowania musi być średnia lub wysoka.
Uwierzytelnianie dwukierunkowym hasłem jest unikatowe, ponieważ jest to jedyna metoda, która jest zarówno zabezpieczona przed MITM, jak i może być wykonana bez określania jej przez dzwoniącego.
Two-way
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Jest to najbezpieczniejsza opcja.
Opcja dwukierunkowa wykorzystuje protokół TLS z certyfikatami. Uwierzytelnianie dwukierunkowe odbywa się przy użyciu certyfikatów udostępnianych przez aplikację.
To ustawienie jest zgodne z istniejącym użyciem certyfikatów. Ustawienie globalnego ustawienia uwierzytelniania na „dwukierunkowe” wymaga, aby wszystkie aplikacje łączące się z systemem ochrony obsługiwały i dostarczały certyfikaty.
Każda aplikacja, która nie obsługuje certyfikatów i nie określa uwierzytelniania dwukierunkowego oraz nie udostępnia certyfikatów za pośrednictwem interfejsu API ddp_connect_with_config, zakończy się niepowodzeniem.
UWAGA: opcja uwierzytelniania dwukierunkowego nie jest dostępna w przypadku DD Boost for OpenStorage. Jeśli tryb uwierzytelniania globalnego jest ustawiony na dwukierunkowy, wszystkie aplikacje OST kończą się niepowodzeniem.
Scenariusze zgodności z poprzednimi wersjami
Starszy klient i nowy system ochrony
W takim przypadku aplikacja korzystająca z biblioteki Boost jest używana z DDOS 6.1 lub nowszym. W tym scenariuszu klient nie może wykonywać uwierzytelniania dwukierunkowego za pomocą hasła, co ma następujące konsekwencje:
- Wszystkie ustawienia uwierzytelniania globalnego muszą mieć ustawienie „none” lub „two-way”, ponieważ klient nie może przeprowadzać uwierzytelniania „two-way-password”.
Ustawienia uwierzytelniania dla poszczególnych klientów mogą mieć dowolną wartość z wyjątkiem „two-way-password” z tego samego powodu. - Wszelkie globalne ustawienia hasła dwukierunkowego lub dla poszczególnych klientów powodują niepowodzenie aplikacji ze starszymi bibliotekami klienckimi.
- Nowy system ochrony obsługuje istniejące protokoły połączeń dla starych klientów.
Nowy klient i starszy system ochrony
Starsze systemy ochrony nie mogą przeprowadzać uwierzytelniania „two-way-password”, co ma następujące konsekwencje:
- Brak globalnych ustawień uwierzytelniania i szyfrowania.
- Ustawieniem uwierzytelniania systemu ochrony dla poszczególnych klientów nie może być ustawienie „two-way-password”.
- Klient najpierw spróbuje użyć nowego protokołu połączenia lub RPC; po niepowodzeniu klient powraca do starego protokołu.
- Klient może łączyć się za pomocą innych metod uwierzytelniania z wyjątkiem „two-way-password”.
Przykłady ustawień uwierzytelniania i szyfrowania
W poniższych tabelach przedstawiono przykłady, w których ustawienia są określane przy użyciu wywołań, ustawień dla klienta i ustawień globalnych oraz czy te ustawienia mogą zakończyć się pomyślnie.
W tych przykładach założono, że klient DD Boost ma połączenie z systemem ochrony z DDOS 6.1 lub nowszym. Przykłady te nie dotyczą sytuacji opisanych w scenariuszach zgodności z poprzednimi wersjami.
UWAGA: jeśli ustawienie globalne lub dla poszczególnych klientów wymaga uwierzytelniania dwukierunkowego, wywołujący musi je określić i podać niezbędne certyfikaty.
Jedno ustawienie
| Wywołanie określa | Ustawienia dla poszczególnych klientów | Ustawienia globalne | Wykorzystane wartości |
|---|---|---|---|
| None | None | None | POWODZENIE Uwierzytelnienie: brak Szyfrowanie: brak |
| Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
None | None | POWODZENIE Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
| None | Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
None | POWODZENIE Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
| None | None | Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie | POWODZENIE Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
| None | None | Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
NIEPOWODZENIE Wymagane są dwukierunkowe i wysokie. Klient musi określić dwukierunkowe i dostarczyć certyfikaty. |
| Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie | None | None | POWODZENIE Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
Wiele ustawień
| Wywołanie określa | Ustawienia dla poszczególnych klientów | Ustawienia globalne | Wykorzystane wartości |
|---|---|---|---|
| Uwierzytelnianie: dwukierunkowe Szyfrowanie: średnie |
None | Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
NIEPOWODZENIE Wymagane są dwukierunkowe i wysokie. |
| None | Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
NIEPOWODZENIE Wymagane są dwukierunkowe i wysokie. Klient musi określić dwukierunkowe i dostarczyć certyfikaty. |
| Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: wysokie |
Uwierzytelnianie: dwukierunkowe Szyfrowanie: średnie |
POWODZENIE Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
| None | Uwierzytelnianie: dwukierunkowe hasło Szyfrowanie: średnie |
Uwierzytelnianie: dwukierunkowe Szyfrowanie: średnie |
NIEPOWODZENIE Wymagane są dwukierunkowe i średnie. Klient musi określić dwukierunkowe i dostarczyć certyfikaty. |
| Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
Uwierzytelnianie: dwukierunkowe Szyfrowanie: średnie |
Uwierzytelnianie: dwukierunkowe Szyfrowanie: średnie |
POWODZENIE Uwierzytelnianie: dwukierunkowe Szyfrowanie: wysokie |
Additional Information
Data Domain: Domyślny tryb uwierzytelniania dla klientów DDBoost nie zapewnia szyfrowania za pośrednictwem sieci przewodowej.
Data Domain — zarządzanie certyfikatami dla DD Boost
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.