Домен даних - глобальна аутентифікація та шифрування DD Boost
Summary: Ця стаття містить інформацію про глобальну автентифікацію та шифрування DD Boost, яка береться з останньої актуальної інформації з документації DDOS 7.13 Boost. У цьому посібнику «Система PowerProtect DD», «система захисту» або просто «система» показує, що пристрої серії PowerProtect DD працюють під керуванням DD OS 7.4 або пізніших версій і попередніх версій систем PowerProtect DD. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Посилене шифрування та автентифікація залежать від сумісності з клієнтами, перегляньте інформацію та таблицю нижче.
Ви можете вказати параметри автентифікації та шифрування трьома способами, які описані далі в цьому документі.
Шифрування
під час польотуШифрування під час польоту дає змогу програмам шифрувати резервне копіювання під час польоту або відновлювати дані через локальну мережу від системи захисту. Ця функція була запроваджена для забезпечення більш безпечної передачі даних.
Після налаштування клієнт може використовувати TLS для шифрування сеансу між клієнтом і системою захисту. Конкретний набір шифрів, що використовуються, наведено в таблиці нижче.
ПРИМІТКА. Використовується конкретний набір шифрів: ADH-AES256-SHA, якщо вибрано параметр високого шифрування, або ADHAES128-SHA, якщо вибрано параметр середнього шифрування .
DD Boost Client 3.3 до 7.0 та 7.5 після 7.5
| DDOS 7.5 і пізніше | |||
|---|---|---|---|
| Середовище шифрування | Високий рівень шифрування | ||
| DD Boost Client від 3.3 до 7.0 і DD Boost | АНОН | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Клієнт 7.5 і пізніше | Односторонні або двосторонні сертифікати | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost Client 3.3 до 7.0 та 7.5 після 7.5 (продовження)
| DDOS 7.4 і раніше | |||
|---|---|---|---|
| Середовище шифрування | Високий рівень шифрування | ||
| DD Boost Client від 3.3 до 7.0 і DD Boost | АНОН | ADH-AES128-SHA | ADH-AES256--SHA |
| Клієнт 7.5 і пізніше | Односторонні або двосторонні сертифікати | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
Клієнт DD Boost від 7.1 до 7.4
| DDOS 7.5 і пізніше | |||
|---|---|---|---|
| Клієнт DD Boost від 7.1 до 7.4 | Середовище шифрування | Високий рівень шифрування | |
| АНОН | ADH-AES128-SHA | ADH-AES256--SHA | |
| Односторонні або двосторонні сертифікати | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost Client від 7.1 до 7.4 (продовження)
| DDOS 7.4 і раніше | |||
|---|---|---|---|
| Клієнт DD Boost від 7.1 до 7.4 | Середовище шифрування | Високий рівень шифрування | |
| АНОН | АДГ-AES128- SHA | ADH-AES256-- SHA | |
| Односторонні або двосторонні сертифікати | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
Глобальна аутентифікація та шифрування
DD Boost пропонує варіанти глобальної автентифікації та шифрування для захисту вашої системи від атак типу "людина посередині" (MITM).
Глобальні опції гарантують захист нових клієнтів, а також дозволяють налаштовувати різні значення для кожного клієнта. Крім того, налаштування клієнта можуть лише посилити безпеку, а не знизити її.
Налаштування глобального режиму автентифікації та надійності шифрування встановлює мінімальні рівні автентифікації та шифрування. Всі спроби підключення всіма клієнтами повинні відповідати або перевищувати ці рівні.
ПРИМІТКА. Ці заходи не ввімкнено за замовчуванням; Ви повинні змінити налаштування вручну.
За замовчуванням глобальні параметри є зворотно сумісними, що означає:
- Оновлювати бібліотеку DD Boost не доведеться.
Усі існуючі клієнти та програми працюють однаково з налаштуваннями за замовчуванням нових опцій. - Це не впливає на продуктивність, оскільки немає додаткового шифрування.
- Клієнти та програми, які використовують сертифікати з безпекою транспортного рівня (TLS), можуть продовжувати працювати без змін.
ПРИМІТКА. Якщо глобальні налаштування відрізняються від настройок за замовчуванням, можливо, потрібно оновити наявних клієнтів.
Методи налаштування аутентифікації та шифрування
Ви можете вказати параметри автентифікації та шифрування трьома способами.
- Запит на
підключення Ви робите це за допомогою API ddp_connect_with_config в клієнтському додатку. - Налаштування
для кожного клієнта Ви робите це за допомогою команд CLI у системі захисту. - Глобальні налаштування
Це робиться за допомогою команд CLI в системі захисту.
Якщо встановлено як для кожного клієнта, так і для глобального значення, застосовується сильніше або вище значення. Будь-який клієнт, який намагається підключитися зі слабшими налаштуваннями автентифікації або шифрування, відхиляється.
Налаштування
автентифікації та шифруванняВи можете враховувати кілька факторів під час прийняття рішення про налаштування автентифікації та шифрування. Однак рекомендується завжди вибирати максимально доступне налаштування для максимальної безпеки.
Максимальна безпека впливає на продуктивність. Якщо у вас контрольоване середовище, де не потрібен максимальний захист, ви можете використовувати інші налаштування.
Глобальні налаштування
Глобальний параметр визначає мінімальні рівні автентифікації та шифрування. Спроби підключення, які не відповідають цим критеріям, зазнають невдачі.
Налаштування
для кожного клієнтаЯкщо цей параметр визначено для кожного клієнта, вибраний параметр має збігатися або перевищувати максимальні параметри автентифікації для кожного клієнта та максимальний параметр глобальної автентифікації.
Наприклад:
- Якщо клієнт налаштовано на вимогу автентифікації за допомогою «двостороннього пароля», а глобальним параметром автентифікації є двосторонній TLS, то слід використовувати двосторонню автентифікацію TLS.
- Якщо клієнт налаштований з параметром автентифікації "двосторонній TLS", а глобальним параметром є "двосторонні паролі", то слід використовувати "двосторонній TLS".
Значення,
задані абонентомЯкщо значення, указані абонентом, нижчі за глобальні налаштування або налаштування для кожного клієнта, підключення не дозволяється. Однак, якщо значення, зазначені абонентом, вищі за глобальні або для кожного клієнта, підключення встановлюється з використанням значень, указаних абонентом.
Наприклад, якщо абонент вказує «двосторонній пароль», але глобальне значення або значення для кожного клієнта є «двостороннім», спроба з'єднання не вдається. Однак, якщо абонент вказав «двосторонній», а глобальне значення та значення для кожного клієнта є «двостороннім паролем», використовується «двостороння» автентифікація.
Варіанти
аутентифікації та шифруванняВи можете вибрати один із трьох дозволених параметрів як для глобальних, так і для параметрів автентифікації та шифрування.
Для налаштувань для кожного клієнта дозволено п'ять налаштувань автентифікації та три параметри шифрування (такі самі параметри шифрування, як і для глобальних).
ПРИМІТКА. Значення автентифікації та шифрування мають встановлюватися одночасно через залежності.
Опції
глобальної автентифікації та шифруванняУ вас є широкий вибір з опціями глобальний режим автентифікації та глобальна надійність шифрування.
Налаштування
автентифікаціїУ наведеному нижче списку значення автентифікації ранжуються від найслабшого до найсильнішого:
-
none
Не захищений; це параметр за замовчуванням. -
анонімний Цей параметр не є безпечним для атак MITM.Дані під час польоту шифруються.
-
Цей
спосіб вимагає використання сертифікатів.
Це не захищено від атак MITM.
Вбудовані дані шифруються. -
двосторонній пароль
Цей параметр захищений від атак MITM.
Вбудовані дані шифруються. -
двосторонній
Цей параметр вимагає від користувача сертифікатів.
Це найбезпечніший варіант, який захищений від атак MITM.
Вбудовані дані шифруються.
Примітка: Ці "анонімні" та "односторонні" дозволені лише для налаштувань для кожного клієнта, а не для глобальних.
Налаштування
шифруванняУ наведеному нижче списку значення шифрування ранжуються від найслабших до найнадійніших:
-
none
Не захищений; це параметр за замовчуванням.
Може бути вказано лише в тому випадку, якщо автентифікація є "none". -
середній
Використовує AES 128 і SHA-1. -
високий
Використовує AES 256 і SHA-1.
ПРИМІТКА. Як середні, так і високі використовують SHA-1 залежно від версії клієнта та режиму аутентифікації. Щоб дізнатися більше, перегляньте таблицю в розділі «Шифрування під час польоту».
Глобальна автентифікація
Три варіанти глобального режиму автентифікації пропонують різні рівні захисту та зворотну сумісність.
Глобальні значення автентифікації та шифрування можна встановити лише за допомогою команд інтерфейсу командного рядка (CLI) на сервері DD Boost. Команди командного рядка, які використовуються для встановлення цих значень, описано в наступних розділах.
Ніхто
ddboost option set global-authentication-mode none global-encryption-strength none
"Жодного" є найменш безпечним, але найбільш зворотно сумісним варіантом.
Ви можете вибрати «жодного», якщо ваша система має критичні вимоги до продуктивності і вам не потрібен захист від атак MITM.
Ваша система може працювати так само, як і раніше, не зазнаючи зниження продуктивності через TLS.
Якщо для автентифікації встановлено значення "none", шифрування має бути встановлено на "none". Якщо ви виберете інший параметр автентифікації ніж "none", параметр шифрування не може бути "none".
Двосторонній пароль
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
Метод двостороннього пароля виконує двосторонню автентифікацію за допомогою протоколу TLS з автентифікацією з попереднім спільним ключем (PSK). І клієнт, і система захисту аутентифікуються за допомогою раніше встановлених паролів. При виборі цієї опції всі дані і повідомлення між клієнтом і системою захисту шифруються.
Ця опція є єдиною безпечною опцією, доступною з DD Boost для OpenStorage і повністю захищає від атак типу "людина посередині" (MITM).
Надійність шифрування має бути середньою або високою.
Двостороння автентифікація за допомогою пароля унікальна, оскільки це єдиний метод, який є безпечним від MITM і може бути виконаний без вказівки абонента.
Двосторонній
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Це найбезпечніший варіант.
Двосторонній варіант використовує TLS із сертифікатами. Двостороння аутентифікація досягається за допомогою сертифікатів, наданих програмою.
Цей параметр сумісний з існуючим використанням сертифікатів. Встановлення параметра глобальної автентифікації на «двосторонній» вимагає, щоб усі програми, які підключаються до системи захисту, підтримували та надавали сертифікати.
Будь-яка програма, яка не підтримує сертифікати і не вказує двосторонню аутентифікацію і надає сертифікати через ddp_connect_with_config API, зазнає невдачі.
ПРИМІТКА. Опція двосторонньої автентифікації недоступна з DD Boost для OpenStorage. Якщо для глобального режиму автентифікації встановлено двосторонній режим, усі програми OST зазнають невдачі.
Сценарії
зворотної сумісностіСтарий клієнт і нова система
захистуУ цьому випадку програма, що використовує бібліотеку Boost, використовується з DDOS 6.1 або новішої версії. У цьому сценарії клієнт не може виконати двосторонню автентифікацію за допомогою пароля, що має такі наслідки:
- Будь-які параметри глобальної автентифікації мають бути встановлені на «немає або «двосторонній», оскільки клієнт не може виконати автентифікацію за допомогою «двостороннього пароля».
Параметри автентифікації для кожного клієнта можуть бути будь-якими значеннями, крім "двостороннього пароля", з тієї ж причини. - Будь-які глобальні або клієнтські налаштування двостороннього пароля призводять до збою програм зі старими клієнтськими бібліотеками.
- Нова система захисту підтримує існуючі протоколи підключення для старих клієнтів.
Новий клієнт і стара система
захистуСтаріша система захисту не може виконувати автентифікацію за принципом «двосторонній пароль», що має такі наслідки:
- Глобальних налаштувань аутентифікації та шифрування немає.
- Параметр автентифікації системи захисту для кожного клієнта не може бути «двостороннім паролем».
- Клієнт спочатку спробує використовувати новий протокол підключення або RPC; У разі відмови клієнт повертається до старого протоколу.
- Клієнт може підключатися за допомогою інших методів аутентифікації, крім "двостороннього пароля".
Приклади
налаштувань автентифікації та шифруванняУ наведених нижче таблицях наведено приклади настройок, настройок для кожного клієнта та глобальних настройок, а також відомості про успішність цих настройок.
Ці приклади припускають, що у вас є підключення клієнта DD Boost до системи захисту з DDOS 6.1 або новішої версії. Ці приклади не стосуються жодної з ситуацій, описаних у сценаріях зворотної сумісності.
ПРИМІТКА. Якщо глобальна настройка або настройка для кожного клієнта вимагає двосторонньої автентифікації, абонент повинен вказати її та надати необхідні сертифікати.
Одне налаштування
| Дзвінок вказує | Налаштування для кожного клієнта | Глобальні налаштування | Використовувані значення |
|---|---|---|---|
| Ніхто | Ніхто | Ніхто | УСПІШНИЙ Аутентифікація: немає Шифрування: немає |
| Аутентифікація: двосторонній пароль Шифрування: середнє |
Ніхто | Ніхто | УСПІШНИЙ Аутентифікація: двосторонній пароль Шифрування: середнє |
| Ніхто | Аутентифікація: двосторонній пароль Шифрування: середнє |
Ніхто | УСПІШНИЙ Аутентифікація: двосторонній пароль Шифрування: середнє |
| Ніхто | Ніхто | Аутентифікація: двосторонній пароль Шифрування: середнє | УСПІШНИЙ Аутентифікація: двосторонній пароль Шифрування: середнє |
| Ніхто | Ніхто | Аутентифікація: двостороннє шифрування: високе |
НЕВДАЧІ: Потрібні двосторонні та високі. Клієнт повинен вказати двосторонній спосіб і надати сертифікати. |
| Аутентифікація: двостороннє шифрування: високе | Ніхто | Ніхто | УСПІШНИЙ Аутентифікація: двостороннє шифрування: високе |
Кілька налаштувань
| Дзвінок вказує | Налаштування для кожного клієнта | Глобальні налаштування | Використовувані значення |
|---|---|---|---|
| Аутентифікація: двостороння Шифрування: середнє |
Ніхто | Аутентифікація: двостороннє шифрування: високе |
НЕВДАЧІ: Потрібні двосторонні та високі. |
| Ніхто | Аутентифікація: двостороннє шифрування: високе |
Аутентифікація: двосторонній пароль Шифрування: середнє |
НЕВДАЧІ: Потрібні двосторонні та високі. Клієнт повинен вказати двосторонній спосіб і надати сертифікати. |
| Аутентифікація: двостороннє шифрування: високе |
Аутентифікація: двосторонній пароль Шифрування: високе |
Аутентифікація: двостороння Шифрування: середнє |
УСПІШНИЙ Аутентифікація: двостороннє шифрування: високе |
| Ніхто | Аутентифікація: двосторонній пароль Шифрування: середнє |
Аутентифікація: двостороння Шифрування: середнє |
FAILS Потрібні двосторонній і середній. Клієнт повинен вказати двосторонній спосіб і надати сертифікати. |
| Аутентифікація: двостороннє шифрування: високе |
Аутентифікація: двостороння Шифрування: середнє |
Аутентифікація: двостороння Шифрування: середнє |
УСПІШНИЙ Аутентифікація: двостороннє шифрування: високе |
Additional Information
Домен даних: Режим автентифікації за замовчуванням для клієнтів DDBoost не забезпечує бездротове шифрування.
Data Domain - Управління сертифікатами для DD Boost
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.