Dell EMC Data Domain Encryption - Veelgestelde vragen

Versleutelingsconfiguratie

Vraag: Hoe is versleuteling (DARE) geconfigureerd in het DD?
Antwoorden: DARE Encryption kan in het DD worden geconfigureerd door de volgende stappen:

1. Versleutelingslicentie toevoegen

2. Voeg beveiligingsfunctionaris toe en schakel autorisaties voor beveiligingsfunctionarissen in

3. Versleuteling inschakelen 

1) Versleutelingslicentie toevoegen:
Voeg een licentiebestand toe waaraan een geldige versleutelingslicentie is toegevoegd.
Gebruik de onderstaande opdracht om de e-licentie in het DD-bestand bij te werken met behulp van het beschikbare licentiebestand.

Update van e-licentie

2) Voeg beveiligingsmedewerker toe en schakel SO-autorisaties in:
a) Voeg een gebruiker toe met een rol als "beveiliging" met behulp van de opdracht: 

Gebruiker voegt beveiliging toe voor beveiligingsrol

b) Schakel Security Officer Authorization in de instellingen in met de opdracht: 

Autorisatiebeleidsset beveiligingsfunctionaris ingeschakeld

3. DARE-versleuteling inschakelen:
Schakel DARE Encryption in met de opdracht:

Filesys Encryption inschakelen

Vraag: Welke platforms worden ondersteund met de functie voor versleuteling van data-at-rest?
Antwoorden: De versleutelingsfunctie voor data-at-rest wordt ondersteund op alle Data Domain systemen, behalve op EDP-systemen (Encryption Disablement Project).

Vraag: Hoe kan de gebruiker zijn gegevens in leesbare tekst opslaan in DD?
Antwoorden: De gebruiker kan ervoor zorgen dat de data in leesbare tekst worden opgeslagen en niet worden versleuteld in het DD, door te bevestigen dat versleuteling is uitgeschakeld in de instellingen.
Gebruikers kunnen versleuteling in DD uitschakelen met de opdracht: 

Filesys Encryption uitschakelen

Vraag: Welke back-upapplicaties/protocollen worden ondersteund met de functie voor versleuteling van data-at-rest?
Antwoorden: De DD DARE-functie is onafhankelijk van de onderliggende back-upapplicatie of het protocol dat door de DD wordt gebruikt.

Vraag: Welke versleutelingsalgoritmen kunnen worden geselecteerd op het Data Domain-systeem?
Antwoorden: De DD Encryption-software ondersteunt AES 128- of 256-bits algoritmen met behulp van Cipher Block Chaining (CBC) of Galois Counter Mode (GCM). 

GCM is een werkingsmodus voor cryptografische blokcijfers met symmetrische sleutel. Het is een geverifieerd versleutelingsalgoritme dat is ontworpen om zowel authenticatie als privacy (vertrouwelijkheid) te bieden. Zoals de naam al doet vermoeden, combineert GCM de bekende counter-modus van encryptie met de nieuwe Galois-modus van authenticatie. Het authenticatie-aspect van GCM garandeert dat de gegevens die zijn versleuteld, zijn uitgevoerd door het Data Domain-systeem en niet op een andere manier zijn "geïnjecteerd". Dit verschilt van CBC waar gegevens worden versleuteld (privacyaspect), maar er geen controle is op de authenticiteit van de versleutelde gegevens.

In de CBC-modus wordt elk blok platte tekst exclusief ORed met het vorige coderingstekstblok voordat het wordt versleuteld. Op deze manier is elk coderingstekstblok afhankelijk van alle tekstblokken zonder opmaak die tot dan toe zijn verwerkt. Om elk bericht uniek te maken, moet ook een initialisatievector worden gebruikt in het eerste blok. CBC garandeert de privacy (vertrouwelijkheid) van de gegevens alleen door middel van encryptie. Er wordt geen authenticatie van het versleutelingsalgoritme of -proces uitgevoerd.

Vraag: Hoe kunnen we het versleutelingsalgoritme in het DD wijzigen?

Antwoord: Gebruik de onderstaande opdracht als u een specifiek versleutelingsalgoritme wilt instellen in de instellingen.

BestandsYs-versleutelingsalgoritmeset

Voorbeeld:

# filesys encryption algorithm set {aes_128_cbc | aes_256_cbc | aes_128_gcm | aes_256_gcm}

Vraag: Hoe zorgen we ervoor dat er versleuteling plaatsvindt op reeds bestaande data zodra versleuteling is ingeschakeld?
Antwoorden: We kunnen DDFS dwingen om de reeds bestaande data te versleutelen met behulp van de onderstaande opdracht:

# filesys encryption apply-changes

Dit maakt de volgende reinigingscyclus aanzienlijk langer en arbeidsintensiever dan normaal.

Vraag: Hoe schakelen we versleuteling in het DD uit?
Antwoorden: Schakel de versleutelingsfunctie in het DD uit met behulp van de opdracht versleuteling uitschakelen: 

Filesys Encryption uitschakelen

Hiermee wordt alleen versleuteling uitgeschakeld voor binnenkomende I/O. Bestaande versleutelde data blijven versleuteld totdat deze handmatig worden ontsleuteld met behulp van apply-changes.

Vraag: Voor welke versleutelingsopdrachten moet het DD-bestandssysteem opnieuw worden opgestart om van kracht te worden?
Antwoorden: Voor de volgende versleutelingsopdrachten moet het DD-bestandssysteem opnieuw worden opgestart om van kracht te worden:

Filesys Encryption Enable/Disable - Hiermee schakelt u versleuteling op het Data Domain-systeem in of uit.

BestandsYs-versleutelingsalgoritmeset - Hiermee kan de gebruiker een cryptografisch algoritme selecteren.

Filesys Encryption Algorithm Reset - Hiermee wordt het versleutelingsalgoritme gereset naar AES 256 in de CBC-modus (de standaardinstelling).

Vraag: Voor welke versleutelingsopdrachten moet het Data Domain-bestandssysteem worden uitgeschakeld om ze in te kunnen stellen/gebruiken?
Antwoorden: Voor de volgende versleutelingsopdrachten moet het Data Domain-bestandssysteem worden uitgeschakeld om ze in te kunnen stellen of gebruiken:

Versleutelingswachtwoordzin gewijzigd

Versleuteling vergrendelen/ontgrendelen

Algemene vragen over versleuteling

Vraag: Wordt DD Encryption ondersteund op alle DD-systemen?
Antwoorden: De softwareoptie voor DD versleuteling wordt ondersteund op DD-systemen als het geen EDP (Encryption Disablement Project) is. Dit zijn de systemen waarbij versleuteling niet kan worden ingeschakeld, voornamelijk verkocht in systemen in de regio Rusland.

Vraag: Hoe wordt de cryptografie uitgevoerd in DD-systemen?
Antwoorden: Cryptografie wordt uitgevoerd met behulp van OpenSSL- en RSA BSafe-bibliotheken (RSA BSafe is een FIPS 140-2 gevalideerde cryptografiebibliotheek die door DD-systemen wordt gebruikt om data-at-rest te versleutelen) in DDOS. 

Vraag: Welke versie van BSafe wordt gebruikt met het systeem?
Antwoorden: Vanaf DDOS 7.10 zijn de gebruikte BSafe-versies "BSAFE Micro Edition Suite 4.4.0.0" en "BSAFE Crypto-C Micro Edition: 4.1.4.0"

Vraag: Wat zijn de beschikbare gebruikersinterfaces om versleuteling in DDOS te configureren?
Antwoorden: Versleuteling kan worden geconfigureerd met behulp van CLI, UI of met behulp van REST API's. Ondersteuning voor REST API toegevoegd in DDOS release 8.0 en hoger.

Vraag: Selectieve versleuteling van gegevens is mogelijk? Wilt u slechts één MTree of bestand?
Antwoorden: Selectieve versleuteling is NIET mogelijk. Versleuteling kan alleen in het hele systeem worden in- of uitgeschakeld en niet selectief. Voor systemen met cloudondersteuning kan versleuteling worden in- of uitgeschakeld op de cloudlaag en cloudeenheidgranulariteit.  

Vraag: Worden cryptografische sleutels of accountwachtwoorden verzonden of opgeslagen in leesbare tekst of onder zwakke cijfers, zoals wanneer een entiteit verifieert, in databestanden, in programma's of in authenticatiedirectory's?
Antwoorden: Absoluut niet.

Vraag: Welke versie van OpenSSL wordt gebruikt met het systeem?
Antwoorden: Vanaf de DDOS 7.10-release is de openssl-versie "OpenSSL 1.0.2zd-fips"

Vraag: Hoe beschermt versleuteling van data-at-rest tegen datatoegang door gebruikers en applicaties?
Antwoorden: 

• Versleuteling van data-at-rest heeft alles te maken met het versleutelen van de data die zich op het schijfsubsysteem bevinden. Versleuteling of ontsleuteling vindt plaats op de compressielaag. Gebruikers of applicaties verzenden en ontvangen leesbare tekstgegevens naar het Data Domain-systeem, maar alle gegevens die zich fysiek op het Data Domain-systeem bevinden, zijn versleuteld.
• Alle versleuteling vindt plaats onder het bestandssysteem en de naamruimte en is onzichtbaar voor de gebruikers of applicaties. Als een gebruiker of applicatie al geautoriseerde toegang heeft tot een bestand of map, kunnen de data worden gelezen in de oorspronkelijke indeling, ongeacht de versleuteling.
• DD Encryption is zo ontworpen dat als een indringer andere netwerkbeveiligingscontroles omzeilt en toegang krijgt tot versleutelde gegevens, zonder de juiste cryptografische sleutels, de gegevens onleesbaar en onbruikbaar zijn voor die persoon. 

Vraag: Vindt de versleuteling plaats na de deduplicatie?
Antwoorden: Ja, versleuteling vindt plaats op gededupliceerde data. Data worden versleuteld voordat ze op de schijf worden opgeslagen. 

Vraag: Hoe waarborgt het Data Domain de veiligheid van de data?
Antwoorden: Data worden beveiligd met behulp van de functie versleuteling van data-at-rest. Wanneer het apparaat wordt verwijderd (head-swap, vergrendeling van bestandssysteem), wordt de wachtwoordzin bovendien uit het systeem verwijderd. Deze wachtwoordzin wordt gebruikt om versleutelingssleutels te versleutelen, zodat de data verder worden beschermd.

Vraag: Welke waarschuwingen worden gegenereerd met versleuteling?
Antwoorden: Waarschuwingen worden gegenereerd in de volgende gevallen:

• Wanneer er gecompromitteerde coderingssleutels aanwezig zijn
• Wanneer de tabel met versleutelingssleutels vol is en er geen sleutels meer kunnen worden toegevoegd in het systeem
• Wanneer het automatisch exporteren van sleutels mislukt
• Wanneer geautomatiseerde sleutelrotatie mislukt
• Wanneer versleuteling is uitgeschakeld
• Wanneer de wachtwoordzin van het systeem is gewijzigd

Vraag: Is er een beveiligingscertificering voor DDOS? 
Antwoord: Data Domain-systemen voldoen aan FIPS 140-2-conformiteit. 

Vraag: Waar wordt de coderingssleutel opgeslagen?
Antwoorden: Versleutelingssleutels worden permanent opgeslagen in een verzamelingspartitie in het DDOS-systeem.

Vraag: Als iemand een harde schijf uit een Data Domain-systeem haalt, kunt u daar dan gegevens van ontsleutelen?
Antwoorden: Versleutelingssleutels worden versleuteld met behulp van de wachtwoordzin van het systeem die is opgeslagen in de systeemkop. Hoewel versleutelingssleutels op de schijf worden opgeslagen, kunnen versleutelingssleutels zonder systeemwachtwoordzin niet worden ontsleuteld. Dus zonder de sleutel te kennen die werd gebruikt om de gegevens te versleutelen, is decodering niet mogelijk vanaf een harde schijf.  

Vraag: Welke cryptografische sleutels en wachtwoorden zijn nodig voor herstel, met name voor herstel na noodgeval?
Antwoorden: Sleutels kunnen worden geëxporteerd in een beveiligd bestand en buiten het systeem worden bewaard. Herstel van dit bestand gebeurt met behulp van engineering. Ook op het moment van herstel moet de klant de wachtwoordzin kennen die hij heeft gebruikt bij het exporteren van sleutels.

Vraag: Het bestandssysteem vergrendelen voordat het systeem naar een externe locatie wordt overgebracht.
Antwoorden: Hieronder vindt u de procedure ervoor: 

• Schakel het bestandssysteem uit:

  sysadmin@itrdc-DD630-42# filesys disable

• Vergrendel het bestandssysteem en voer een nieuwe wachtwoordzin in (hiervoor is verificatie door de bovenstaande beveiligingsgebruiker vereist):

  sysadmin@itrdc-DD630-42# filesys encryption lock
  Voor deze opdracht is toestemming van een gebruiker met de rol 'security' vereist.
  Geef hieronder de referenties van een dergelijke gebruiker op.
          Gebruikersnaam: secuser
  Wachtwoord:
  Voer de huidige wachtwoordzin in:
  Voer een nieuwe wachtwoordzin in:
  Voer de nieuwe wachtwoordzin opnieuw in:
  Wachtwoordzinnen komen overeen.
  Het bestandssysteem is nu vergrendeld.

• De nieuwe wachtwoordzin mag NIET verloren gaan of worden vergeten. Zonder deze wachtwoordzin kan het bestandssysteem niet worden ontgrendeld, wat betekent dat er geen toegang is tot gegevens op de DDR. Om het systeem te ontgrendelen wanneer het een externe locatie bereikt, gebruikt u de onderstaande opdracht:

sysadmin@itrdc-DD630-42# filesys encryption unlock
Voor deze opdracht is toestemming van een gebruiker met een beveiligingsrol vereist.
Geef hieronder de referenties van een dergelijke gebruiker op.
        Gebruikersnaam: secuser
Wachtwoord:
Voer de wachtwoordzin in:
De wachtwoordzin is geverifieerd. Gebruik 'filesys enable' om het bestandssysteem op te starten.

• Het bestandssysteem kan nu worden ingeschakeld en zoals normaal worden gebruikt

Vraag: Heeft de opdracht storage sanitize een relatie met versleuteling van het bestandssysteem?
Antwoorden: Nee, versleuteling van het bestandssysteem en het opschonen van de storage zijn twee onafhankelijke functies. 

Vraag: Wordt over-the-wire-versleuteling ondersteund in het EDP-systeem (Encryption Disablement Project)?
Antwoorden: We kunnen Data at Rest Encryption (DARE) of over-the-wire-versleuteling (met replicatie of met ddboost) niet inschakelen in het EDP-systeem.

Wachtwoordzin van het systeem 

Vraag: Wat is de wachtwoordzin van het systeem?
Antwoorden: DDOS heeft de voorziening om referenties in het systeem te beveiligen door een wachtwoordzin op systeemniveau in te stellen. De wachtwoordzin is een door mensen leesbare (begrijpelijke) sleutel, zoals een smartcard, die wordt gebruikt om een machine-bruikbare AES 256-coderingssleutel te genereren. 

Het biedt twee voordelen:

• Hiermee kan de beheerder de wachtwoordzin wijzigen zonder de coderingssleutels te hoeven manipuleren. Het wijzigen van de wachtwoordzin verandert indirect de versleuteling van de sleutels, maar dit heeft geen invloed op gebruikersdata. Als u de wachtwoordzin wijzigt, verandert de onderliggende Data Domain-systeemversleutelingssleutel niet. De versleuteling van de systeemsleutel van Data Domain wordt gewijzigd, maar de systeemsleutel blijft hetzelfde.
• Hiermee kan een fysiek Data Domain-systeem worden verzonden met een coderingssleutel op het systeem, maar zonder dat de wachtwoordzin erop wordt opgeslagen. Op deze manier kan een aanvaller de gegevens niet gemakkelijk herstellen als de doos tijdens het transport wordt gestolen, omdat het systeem alleen versleutelde sleutels en versleutelde gegevens heeft.

De wachtwoordzin wordt intern opgeslagen op een verborgen gedeelte van het Data Domain-opslagsysteem. Hierdoor kan het Data Domain-systeem opstarten en doorgaan met het onderhouden van datatoegang zonder tussenkomst van de beheerder.

De wachtwoordzin maken of wijzigen:

• De systeemwachtwoordzin kan worden gemaakt met behulp van de CLI nadat een beheerder zich heeft geverifieerd bij het Data Domain-systeem.
• De wachtwoordzin van het systeem kan worden gewijzigd met behulp van de CLI nadat een beheerder en een gebruiker met een beveiligingsrol (zoals een beveiligingsfunctionaris) zich hebben geverifieerd bij het Data Domain-systeem (zodat geen enkele beheerder zelfstandig wijzigingen kan aanbrengen).

Vraag: Wanneer wordt de wachtwoordzin gebruikt?
Antwoorden: De wachtwoordzin van het systeem wordt gebruikt als primaire sleutel door verschillende DDOS-componenten, waaronder versleuteling van het bestandssysteem, cloudtoegang, certificaatbeheer, Boost-tokens, systeemconfiguratiemodules in scale-outomgevingen en licentie-informatie. DDOS-software biedt mechanismen voor het instellen en wijzigen van deze systeemwachtwoordzin. Het biedt ook opties om te bepalen of de wachtwoordzin van het systeem op schijf wordt opgeslagen, wat vooral wordt gebruikt voor verbeterde beveiliging wanneer het DD-systeem wordt getransporteerd. 

Vraag: Hoe wordt de wachtwoordzin gebruikt voor beveiligd transport van het DD-systeem?
Antwoorden: Het proces maakt gebruik van de opdracht "filesys encryption lock", waarmee de gebruiker het bestandssysteem kan vergrendelen door de wachtwoordzin te wijzigen. De gebruiker voert een nieuwe wachtwoordzin in waarmee de coderingssleutel opnieuw wordt versleuteld, maar de nieuwe wachtwoordzin wordt niet opgeslagen. De versleutelingssleutels kunnen pas worden hersteld als het bestandssysteem is ontgrendeld met de opdracht

"filesys encryption unlock".Het proces wordt beschreven in de beveiligingsconfiguratiehandleiding van Confluence Lab.

Vraag: Wat gebeurt er als de wachtwoordzin wordt gewijzigd? Zijn de gegevens nog toegankelijk?
Antwoorden: Ja, als u de wachtwoordzin wijzigt, wordt de onderliggende Data Domain-systeemversleutelingssleutel niet gewijzigd, alleen de versleuteling van de coderingssleutel. Daarom wordt de toegang tot data niet beïnvloed.

Vraag: Hoe kunnen we opvragen of er een wachtwoordzin op het systeem is ingesteld?
Antwoorden: Als er een wachtwoordzin is ingesteld op het systeem, levert het uitvoeren van de opdracht "system passphrase set" een foutmelding op die aangeeft dat de wachtwoordzin al is ingesteld.

Vraag: Wat gebeurt er als de wachtwoordzin verloren gaat of wordt vergeten?
Antwoorden: Als de klant de wachtwoordzin verliest terwijl de box is vergrendeld, verliezen ze hun gegevens. Er is geen achterdeur of alternatieve manier om er toegang toe te krijgen. Zonder een goed proces voor het beheren van die wachtwoordzin kan dit per ongeluk gebeuren en kunnen ze de sleutel of gegevens niet herstellen. De versleutelde sleutel kan echter nooit verloren gaan of beschadigd raken vanwege de geïntegreerde beschermingsmechanismen van het systeem.

Vraag: Is er een mechanisme om de vergeten systeemwachtwoordzin opnieuw in te stellen?
Antwoorden: Alleen in bepaalde scenario's kan de wachtwoordzin van het systeem geforceerd opnieuw worden ingesteld met behulp van de klantensupport. Het in DDOS 7.2 geïntroduceerde mechanisme voor het bijwerken van de kracht kan hiervoor alleen worden gebruikt als aan specifieke voorwaarden is voldaan. Meer informatie vindt u in KB-artikel 20983, Data Domain: Een verloren systeemwachtwoordzin opnieuw instellen in DDOS v7.2 of hoger (aanmelden bij Dell Support vereist om artikel te bekijken)

Vraag: Is er een optie om te voorkomen dat de wachtwoordzin van het systeem op het DD-systeem wordt opgeslagen?
Antwoorden: De wachtwoordzin van het systeem wordt standaard opgeslagen op een verborgen locatie op het Data Domain systeem. De systeemoptie "system passphrase option store-on-disk" kan worden gebruikt om dit te wijzigen en te voorkomen dat de wachtwoordzin op de schijf wordt opgeslagen.

Embedded Key Manager (EKM)

Opdracht op het hoogste niveau:

System# filesys encryption embedded-key-manager <option>

Vraag: Wordt sleutelrotatie ondersteund met Embedded Key Manager?
Antwoorden:  Ja, sleutelrotatie per Data Domain systeem wordt ondersteund met Embedded Key Manager. Via de gebruikersinterface of CLI kan de beheerder een sleutelrotatieperiode instellen (wekelijks of maandelijks).

Vraag: Zijn er kosten verbonden aan de geïntegreerde functionaliteit voor sleutelbeheer?
Antwoorden: Er worden geen kosten in rekening gebracht voor deze functionaliteit. Deze functionaliteit is opgenomen als onderdeel van de standaard DD Encryption softwarelicentieoptie.

Vraag: Kan de klant overstappen van lokaal sleutelbeheer naar extern sleutelbeheer (EKM)?
Antwoorden

• Ja, externe sleutelmanagers kunnen op elk gewenst moment worden ingeschakeld. De lokale sleutels die worden gebruikt, blijven echter op het Data Domain-systeem staan. Externe sleutelmanagers kunnen de EKM-sleutels niet beheren. Bestaande data hoeven niet opnieuw te worden versleuteld. Als voor een klant nalevingsdata opnieuw moeten worden versleuteld met EKM-sleutels, moet dit handmatig worden gedaan met behulp van apply-changes met de nieuwe RW-sleutel. Het vernietigen van EKM-sleutels na een overstap is niet verplicht.
  • key-manager-switch schakelt de actieve sleutel automatisch over naar de sleutel van KMIP. 
  • Voorbeeld van hoe de KMIP-sleutel MUID eruitziet wanneer er een switch plaatsvindt

    Key-ID     Key MUID                                                                    State                     Key Manger Type
    1               be1                                                                    Deactivated               DataDomain
    
    2               49664EE855DF71CB7DC08309414C2B4C76ECB112C8D10368C37966E4E2E38A68       Activated-RW              KeySecure

Vraag: Wat gebeurt er als sleutelrotatie is in- of uitgeschakeld?
Antwoorden: 

• Sleutelrotatie uitgeschakeld is de standaardversleutelingsfunctionaliteit als u sleutelrotatie niet inschakelt vanuit de gebruikersinterface of CLI. In dat scenario worden alle data versleuteld met de bestaande actieve sleutel.
• Als sleutelrotatie is ingeschakeld, draaien we de sleutels op basis van de rotatiefrequentie en worden de data versleuteld met de laatst actieve sleutel.

Externe sleutelbeheerder

Vraag: Wat zijn de externe sleutelmanagers die worden ondersteund op DD?
Antwoorden: We ondersteunen de onderstaande externe sleutelmanagers:

• Gemalto KeySecure (ondersteuning toegevoegd in DDOS release 7.2)
• Vormetric (ondersteuning toegevoegd in DDOS release 7.3)
• CipherTrust (ondersteuning toegevoegd in DDOS release 7.7)
• IBM GKLM (ondersteuning toegevoegd in DDOS release 7.9)

Vraag: Is er een aparte licentie vereist om de integratie met een externe sleutelbeheerder mogelijk te maken?
Antwoorden: Ja, er is een aparte licentie van de betreffende leverancier nodig om External Key Manager met DD te integreren.

Vraag: Hoeveel sleutelmanagers ondersteunen tegelijk?
Antwoorden: Er kan slechts één sleutelbeheerder op een bepaald moment actief zijn op een DD-systeem.

Vraag: Waar vind ik meer informatie over het configureren van KMIP External Key Manager?
Antwoorden: De KMIP-integratiehandleiding voor DDOS bevat gedetailleerde informatie voor het configureren van de verschillende externe sleutelmanagers die door DD worden ondersteund.

Vraag: Hoe worden certificaten beheerd voor externe sleutelmanagers in DD?
Antwoorden: Tijdens de configuratie van de externe sleutelmanager moeten we een CA-certificaat genereren (CA-certificaat kan een zelfondertekend certificaat zijn of ondertekend door derden) en een hostcertificaat. Zodra de configuratie is uitgevoerd op de externe sleutelbeheerserver, moeten gebruikers het CA-certificaat en het hostcertificaat importeren op het DD-systeem. Vervolgens configureren en activeren we de externe sleutelbeheerder. 

Vraag: Wat is CA?
Antwoorden: Een certificeringsinstantie (CA) fungeert als de aanvankelijk vertrouwde gedeelde entiteit tussen peers en geeft ondertekende certificaten uit om het voor elke partij mogelijk te maken de andere te vertrouwen. Een certificaat fungeert over het algemeen als de identiteit van een server of client. 

Vraag: Wat is een lokaal CA-ondertekend certificaat, wat is een CA-ondertekend certificaat?
Antwoorden: Een door een CA ondertekend certificaat is een certificaat dat is uitgegeven en ondertekend door een openbaar vertrouwde certificeringsinstantie (CA). Een CA-ondertekend certificaat wordt automatisch vertrouwd. Een lokale CA kan ondertekende certificaten uitgeven, omdat de persoonlijke ondertekeningssleutel is opgeslagen in het Key Manager-systeem. Een externe CA slaat de persoonlijke sleutel niet op. In plaats daarvan wordt een externe CA gebruikt als een vertrouwde entiteit voor verschillende interfaces en services binnen het systeem.

Vraag: Hoe maak ik een certificaatondertekeningsaanvraag in DD?
Antwoorden: Genereer op Data Domain System de CSR met behulp van de onderstaande CLI-opdracht. Op deze manier wordt de persoonlijke sleutel nooit blootgesteld aan de externe sleutelmanager.

adminaccess certificate cert-signing-request

Vraag: Is het mogelijk om te wisselen tussen Key Managers?
Antwoorden: Schakelen tussen External Key Manager en Embedded Key Manager is toegestaan en is naadloos. Maar overschakelen van Embedded Key Manager naar External Key Manager vereist de juiste installatie en configuratie van certificaten. Schakelen tussen twee beheerders van externe sleutels (bijvoorbeeld: KMIP-CipherTrust, DSM-Ciphertrust, CipherTrust naar GKLM) zijn ook toegestaan. Migratie van Key Manager-sleutels wordt ook ondersteund (zie de KMIP-integratiehandleiding voor meer informatie).

Vraag: Wat gebeurt er als de verbinding met externe Key Manager uitvalt? Zijn mijn gegevens dan toegankelijk?
Antwoorden: Ja, data zijn nog steeds toegankelijk wanneer we geen verbinding kunnen maken met de sleutelmanager, omdat we ook kopieën van de sleutels in het DD-systeem opslaan. Nieuwe sleutels kunnen niet worden gemaakt of sleutelstatussen kunnen niet worden gesynchroniseerd wanneer er geen connectiviteit is met de externe sleutelmanager.

Vraag: Is er een manier waarop we het opslaan van sleutels in DD kunnen vermijden en alleen kunnen opslaan in External Key Manager?
Antwoorden: We slaan altijd een kopie van de sleutels op in het DD-systeem voor DIA-doeleinden. Deze instelling kan niet worden gewijzigd.

Vraag: Heeft de integratie met KMIP gevolgen voor de prestaties?
Antwoorden: Nee, er is geen invloed op de prestaties vanwege het gebruik van externe Key Managers.

Vraag: Is het mogelijk om de KMIP-oplossing te gebruiken voor geselecteerde datadomeinen binnen de omgeving?
Antwoorden: Ja, klanten hebben volledige flexibiliteit bij het selecteren van de juiste versleutelingsmethodologie voor hun Data Domain-systemen. Ze kunnen gebruikmaken van de geïntegreerde sleutelbeheer van Data Domain op sommige Data Domain-systemen en de versleutelingssleutelrotatie met behulp van KMIP op andere Data Domain-systemen in hun omgeving.

Vraag: Is de communicatie tussen Data Domain en KMIP veilig?
Antwoorden: Ja, het Data Domain communiceert via X509-certificaten onderling geverifieerde sessies met de TLS. De gebruiker kan Data Domain CLI gebruiken om het juiste X509-certificaat in het Data Domain-systeem te importeren. Dit certificaat wordt vervolgens gebruikt om het veilige kanaal tussen DD en KMIP tot stand te brengen.

Beheer van belangrijke levenscycli 

Vraag: Welke mogelijkheden voor sleutelbeheer zijn er met de DD Encryption-optie?
Antwoorden: Een sleutelbeheerder beheert het genereren, distribueren en levenscyclusbeheer van meerdere versleutelingssleutels. Een beveiligingssysteem kan gebruikmaken van de geïntegreerde sleutelbeheerder of de externe sleutelbeheerder KMIP-klacht. Er kan slechts één sleutelbeheerder tegelijk van kracht zijn. Wanneer versleuteling is ingeschakeld op een beveiligingssysteem, is de Embedded Key Manager standaard van kracht. Als een externe sleutelbeheerder is geconfigureerd, vervangt deze de geïntegreerde sleutelbeheerder en blijft deze van kracht totdat deze handmatig wordt uitgeschakeld. Overschakelen van Embedded Key Manager naar External Key Manager of omgekeerd, resulteert in het toevoegen van een nieuwe sleutel aan het systeem en het vereist geen herstart van het bestandssysteem vanaf release 7.1.

Vraag: Wat zijn de verschillende sleutelstatussen op het Data Domain-systeem?
De verschillende sleutelstatussen op het Data Domain-systeem zijn als volgt:

• Activated-RW: Er is slechts één sleutel in deze status op een DD-systeem en deze wordt gebruikt voor het lezen en schrijven van data. Deze sleutel wordt ook gebruikt door het GC-proces om containers opnieuw te versleutelen.
• In behandeling-geactiveerd: Er is slechts één sleutel in deze status op een DD-systeem. Hiermee is de sleutel geïdentificeerd die Activated-RW wordt na de volgende keer opnieuw opstarten van het bestandssysteem. Tegenwoordig bestaat deze status alleen op het moment dat de versleuteling wordt ingeschakeld. Er wordt geen andere door 'pending geactiveerde sleutel' gemaakt.  
• Geactiveerd-RO: Externe sleutelmanagers kunnen meerdere geactiveerde sleutels hebben. De meest recente sleutel bevindt zich in Activated-RW; de rest heeft deze status. Sleutels kunnen in deze status gaan op het DD-systeem wanneer we de status niet kunnen synchroniseren met de sleutelmanager.
• Gedeactiveerd: Deze wordt gebruikt voor het uitlezen van bestaande data op het DD-systeem.
• Gecompromitteerd: Wanneer een klant een externe sleutelbeheersleutel compromitteert, wordt de status gewijzigd na de volgende sleutelsynchronisatie.  
• Gemarkeerd voor vernietiging: Wanneer een klant een sleutel markeert voor vernietigen, wordt de sleutelstatus gemarkeerd voor vernietiging. Wanneer GC wordt uitgevoerd, worden alle containers die zijn versleuteld met Marked-For-Destroyed-sleutels opnieuw versleuteld met behulp van de geactiveerde RW-sleutel.
• Vernietigd: Een sleutel met de status Gemarkeerd voor vernietigd krijgt deze status als er geen data aan zijn gekoppeld.
• Vernietigd-gecompromitteerd: Een sleutel met de status Gecompromitteerd krijgt deze status wanneer er geen gegevens aan zijn gekoppeld.

Vraag: Kunnen versleutelingssleutels worden geëxporteerd voor herstel na noodgeval?
Antwoorden: Sleutels kunnen handmatig worden geëxporteerd met behulp van de onderstaande opdracht.

"Bestandsys-versleutelingssleutels exporteren"

DD system exporteert ook standaard sleutels wanneer een nieuwe sleutel wordt toegevoegd of wanneer een sleutel uit het systeem wordt verwijderd.

Geëxporteerde bestanden zijn aanwezig in /ddr/var/.security en dat in een versleutelde indeling. Dit bestand moet vervolgens van de DDR worden gekopieerd en worden opgeslagen op een veilige locatie die later kan worden gebruikt bij herstel na noodgevallen.

Opmerking: Het importeren van sleutels voor herstel na noodgevallen vereist tussenkomst van de klantensupport, omdat het herstelproces afhankelijk is van het type noodgeval dat zich voordoet. We kunnen het geëxporteerde sleutelbestand importeren met de volgende opdracht.

BestandsYS-coderingssleutels importeren <bestandsnaam> 

Vraag: Wordt de sleutel die door KMIP wordt gegenereerd opgeslagen op het Data Domain systeem?
Antwoorden: Ja, de versleutelingssleutel die wordt verkregen van het KMIP wordt versleuteld opgeslagen op het Data Domain systeem.

Vraag: Hoe wordt een belangrijke statuswijziging in de KMIP-applicatie toegepast op het Data Domain systeem?
Antwoorden: Sleutelsynchronisatie vindt dagelijks plaats. Als er een nieuwe sleutel beschikbaar is of de status van de sleutel wordt gewijzigd, wordt de lokale sleuteltabel bijgewerkt met de synchronisatie. DD ontvangt elke dag om middernacht belangrijke updates van de KMIP.

Vraag: Is het mogelijk om de sleutelstatussen handmatig te synchroniseren tussen DD en KMIP?
Antwoorden: Ja, de Data Domain CLI of UI kan worden gebruikt om de sleutelstatussen handmatig te synchroniseren tussen de DD en KMIP. "filesys encryption keys sync" is de opdracht die ervoor wordt gebruikt.

Vraag: Is het mogelijk om het tijdstip te wijzigen waarop het DD belangrijke updates van KMIP ontvangt?
Antwoorden: Nee, het is niet mogelijk om het tijdstip te wijzigen waarop de DD belangrijke updates van het KMIP ontvangt.

Vraag: Is er een limiet voor het aantal sleutels dat door het Data Domain-systeem wordt ondersteund?
Antwoorden: Vanaf DDOS 7.8 kan het Data Domain-systeem op elk gewenst moment maximaal 1024 sleutels op het systeem hebben. Er is slechts één sleutel in de Geactiveerd-RW en de rest van de sleutels kan een andere status hebben.

Vraag: Kunnen verschillende sleutels worden gebruikt voor verschillende datasets op Data Domain-systemen? Is dit configureerbaar?
Antwoorden: Nee, we ondersteunen slechts één actieve sleutel in het systeem tegelijk en alle binnenkomende data worden versleuteld met de huidige actieve sleutel. Toetsen kunnen niet worden bediend met een fijnere granulariteit zoals M-trees.

Vraag: Wordt er een melding gegeven wanneer de maximale sleutellimiet is bereikt?
Antwoorden: Ja, er wordt een waarschuwing gegenereerd wanneer de maximale sleutellimiet van 1024 is bereikt.

Vraag: Hoe kan ik de waarschuwing over de maximale sleutellimiet wissen?
Antwoorden: Eén van de sleutels moet worden verwijderd om de waarschuwing voor de maximale sleutellimiet te wissen.

Vraag: Kunnen we de hoeveelheid data zien die is gekoppeld aan een bepaalde sleutel op het Data Domain-systeem?
Antwoorden: Ja, dit is te zien op DD, maar niet op de KMIP-server. De gebruiker kan de Data Domain CLI en de gebruikersinterface gebruiken om de hoeveelheid data te zien die aan een bepaalde sleutel is gekoppeld.

Vraag:  Kunnen we de leeftijd van de sleutels op het DD-systeem zien?
Antwoorden: Ja, het is te zien op met EKM-toetsen via de gebruikersinterface.

Vraag: Werkt de oude sleutel, zelfs als de periode is verstreken om de nieuwe sleutel effectief te maken?
Antwoorden: Er is geen vervaldatum voor coderingssleutels. Oude sleutels worden alleen-lezen sleutels na sleutelrotatie en blijven in de DDOS.

Vraag: Wordt de coderingssleutel automatisch verwijderd wanneer er geen data op het Data Domain systeem aan gekoppeld zijn?
Antwoorden: Nee, de sleutel wordt niet automatisch verwijderd. De gebruiker moet de sleutel expliciet verwijderen met behulp van de DD CLI of UI.

Vraag: Kan een sleutel worden verwijderd, zelfs als er data aan gekoppeld zijn op het Data Domain-systeem?
Antwoorden: Nee, als er gegevens aan een sleutel zijn gekoppeld, kan deze niet worden verwijderd. Opnieuw versleutelen van data is nodig met een andere sleutel om een sleutel te verwijderen waaraan data zijn gekoppeld.

Vraag: Als een sleutel wordt verwijderd op het KMIP, wordt de sleutel dan ook verwijderd uit de sleutellijst van Data Domain?
Antwoorden: Nee, de gebruiker moet de sleutel zelfstandig verwijderen met behulp van de DD CLI of gebruikersinterface.

Vraag: Is in een Data Domain-omgeving met meerdere locaties op elke locatie een KMIP vereist?
Antwoorden: Nee, het is niet nodig om op elke locatie met een Data Domain een KMIP te hebben. We kunnen naar één KMIP-server verwijzen. Het wordt aanbevolen om een aparte sleutelklasse te hebben voor elk DD-systeem wanneer ze dezelfde KMIP-server gebruiken.

Vraag: Als een sleutel is gecompromitteerd, hebben we dan een proces om de data op te halen die zijn versleuteld met de oude sleutel?
Antwoorden: In dit geval moet de klant de sleutel als gecompromitteerd markeren op de KMIP-server. Voer vervolgens "filesys encryption keys sync" uit in het DDOS-systeem en voer vervolgens "filesys encryption apply-changes" uit en voer vervolgens GC (filesys clean) uit. GC run versleutelt alle data die waren versleuteld met de gecompromitteerde sleutel opnieuw met behulp van een nieuwere sleutel. Zodra GC is voltooid, wordt de sleutelstatus gewijzigd in gecompromitteerd-vernietigd. Later kunnen ze die sleutel verwijderen. 

Versleuteling en replicatie

Vraag: Wordt DD-replicatie ondersteund en is dit interoperabel met de DD Encryption-softwareoptie?
Antwoorden: Ja, DD-replicatie kan worden gebruikt met de optie DD Encryption, waardoor versleutelde data kunnen worden gerepliceerd met behulp van alle verschillende soorten replicatie. Elk replicatieformulier werkt uniek met encryptie en biedt hetzelfde beveiligingsniveau.

Vraag: Moeten zowel het bron- als het doelsysteem dezelfde versie van het DD OS uitvoeren om versleuteling te kunnen gebruiken?
Antwoorden: Bron en doel kunnen verschillende DDOS-versies hebben om DARE te gebruiken met replicatie als er een replicatiecompatibiliteitsmatrix (zie de beheerdershandleiding voor compatibiliteitsmatrix) aanwezig is. 

Vraag: Hoe werkt replicatie met versleuteling?
Antwoorden: Het hangt af van welke vorm van replicatie wordt gebruikt.

Als de geconfigureerde replicatie MREPL of MFR is:
Als MREPL of MFR wordt gebruikt, kan DD Encryption onafhankelijk van elkaar worden gelicentieerd of ingeschakeld op de bron of bestemming, afhankelijk van wat de klant wil bereiken.

• Wanneer zowel de bron als de bestemming versleuteling hebben ingeschakeld: Wanneer data worden opgenomen in het bronsysteem, worden deze versleuteld met de coderingssleutel van het bronsysteem. De bron ontsleutelt de lokale data, versleutelt deze opnieuw met behulp van de coderingssleutel van het doelsysteem en repliceert de versleutelde data vervolgens naar de bestemming bij het repliceren.
• Wanneer versleuteling voor de bron is uitgeschakeld en versleuteling voor de bestemming is ingeschakeld: Alle data die in de bron worden opgenomen, zijn niet versleuteld (om voor de hand liggende reden). Maar bij het repliceren versleutelt de bron de data met behulp van de coderingssleutel van het doelsysteem en repliceert vervolgens de versleutelde data naar het doelsysteem. 
• Wanneer versleuteling voor de bron is ingeschakeld en versleuteling voor de bestemming is uitgeschakeld: Alle data die in het bronsysteem worden opgenomen, worden versleuteld met de coderingssleutel van het bronsysteem. De bron ontsleutelt de data en repliceert vervolgens de niet-versleutelde data naar het doeldatadomeinsysteem bij het repliceren.
• Als versleuteling is ingeschakeld op de replica nadat de replicatiecontext is ingesteld, worden alle nieuwe segmenten die nu worden gerepliceerd, versleuteld bij de bron voor de replica. Alle segmenten die zich op de replica bevinden voordat de versleuteling werd ingeschakeld, blijven in een niet-versleutelde status, tenzij de versleuteling wordt gewijzigd en de GC op het doel wordt uitgevoerd. 

If configured replication is CREPL:
Met verzamelingsreplicatie moeten zowel bron- als doelsystemen dezelfde DDOS-release uitvoeren. Daarom moet versleuteling op beide worden in- of uitgeschakeld. Er kan ook geen sprake zijn van een mismatch in de configuratie van de versleuteling. Coderingssleutels zijn hetzelfde met bron en bestemming. 

• Wanneer zowel de bron als de bestemming versleuteling hebben ingeschakeld: Alle data die in het bronsysteem worden opgenomen, worden versleuteld met behulp van de coderingssleutel van het bronsysteem. Bij het repliceren verzendt de bron versleutelde data in versleutelde staat naar het doelsysteem van Data Domain. Het Data Domain-doelsysteem heeft dezelfde sleutel als de bron, omdat het bij verzamelingsreplicatie draait om een exacte replica van het brondatadomein-systeem. Er kunnen geen data worden geschreven naar het Data Domain-doelsysteem buiten replicatie, omdat het doel een alleen-lezen systeem is.
• Wanneer zowel de bron als de bestemming versleuteling hebben uitgeschakeld: Alle data die in het bronsysteem worden opgenomen, zijn niet versleuteld (om voor de hand liggende reden). Bij het repliceren verzendt (repliceert) de bron de data in een niet-versleutelde staat en blijven de data onversleuteld op het doelsysteem van Data Domain. Er kunnen geen data worden geschreven naar het Data Domain-doelsysteem buiten replicatie, omdat het doel een alleen-lezen systeem is.

Vraag: Wordt de sleutel van de bestemming voor onbepaalde tijd opgeslagen op het brondatadomeinsysteem?
Antwoorden: De versleutelingssleutel van de bestemming wordt nooit opgeslagen op het brondatadomeinsysteem. Het wordt alleen in het geheugen bewaard (versleuteld) terwijl de replicatiesessie actief is. Dit geldt voor alle soorten replicatie, met uitzondering van verzamelingsreplicatie. Bij collection replication (CREPL) is dezelfde set encryptiesleutels aanwezig in bron en bestemming.  

Vraag: Kan versleuteling worden ingeschakeld in het CREPL-systeem nadat de replicatiecontext tot stand is gebracht?
Antwoorden: Ja, in dit geval moet versleuteling worden ingeschakeld in zowel de bron als de bestemming. Versleuteling kan worden ingeschakeld in bron en bestemming door de replicatiecontext uit te schakelen. Alle nieuwe segmenten die worden gerepliceerd, worden versleuteld op de replica. Alle segmenten die zich op de replica bevinden voordat versleuteling werd ingeschakeld, blijven in een niet-versleutelde status.

Vraag: Kan de DD-versleuteling gelijktijdig met de over-the-wire-versleutelingsfunctie in de DD Replication-softwareoptie worden ingeschakeld?
Antwoorden: Ja, zowel over-the-wire-versleuteling als D@RE kunnen gelijktijdig worden ingeschakeld om verschillende beveiligingsdoelen te bereiken.

Vraag: Wat gebeurt er als zowel de DD Encryption software-optie als de over-the-wire versleutelingsfunctie in de DD Replication-softwareoptie gelijktijdig zijn ingeschakeld?
Antwoorden: De eerste bron versleutelt data met behulp van de doelcoderingssleutel. Dan worden reeds versleutelde gegevens een tweede keer versleuteld vanwege over-the-wire encryptie tijdens het verzenden van deze gegevens naar de bestemming. Op de bestemming worden de gegevens, nadat de ontsleuteling via de draad is voltooid, opgeslagen in een versleutelde indeling die is versleuteld met behulp van de coderingssleutel van de bestemming.

Vraag: Als versleuteling is ingeschakeld in bron en bestemming, moet de wachtwoordzin dan op beide hetzelfde zijn?
Antwoorden: Als de geconfigureerde replicatie verzamelingsreplicatie (CREPL) is, moet de wachtwoordzin hetzelfde zijn. Voor andere soorten replicatie (zoals MREPL, MFR) kan de wachtwoordzin verschillen in bron en bestemming.

Vraag: Als versleuteling is ingeschakeld op de bestemming (vraag niet van toepassing op CREPL), worden zowel de gerepliceerde gegevens als de gegevens van een ander toegangspunt (bijvoorbeeld via lokale back-up) versleuteld? Is er een manier om de twee op de replica te scheiden, waarbij alleen de gerepliceerde mappen zijn versleuteld, terwijl andere toegang niet is versleuteld?
Antwoorden: Nee, alle data worden versleuteld op de replica (bestemming), ongeacht het toegangspunt. Versleuteling kan niet alleen worden in- of uitgeschakeld op MTree- of directoryniveaugranulariteit. 

Vraag: Hoe verloopt de sleuteluitwisseling tussen bron en bestemming tijdens MREPL of MFR?
Antwoorden: Tijdens de koppelingsfase van de replicatie verzendt de doelcomputer veilig het huidige coderingsalgoritme en belangrijke informatie naar de bron. Replicatiecontexten worden altijd geverifieerd met een gedeeld geheim. Dat gedeelde geheim wordt gebruikt om een "sessie"-sleutel tot stand te brengen met behulp van een Diffie-Hellman-sleuteluitwisselingsprotocol. Die sessiesleutel wordt gebruikt voor het versleutelen en ontsleutelen van de Data Domain-systeemcoderingssleutel.

Vraag: Welk type versleutelingsalgoritme wordt gebruikt voor de functie "versleuteling via de draad" van Data Domain met betrekking tot het versleutelen van het replicatieverkeer?
Antwoorden: Wanneer de replicatieverificatiemodus is ingesteld op eenrichtingsverkeer of tweerichtingsverkeer, wordt DHE (Ephemeral Diffie-Hellman) gebruikt voor de uitwisseling van sessiesleutels. Serverauthenticatie vindt plaats met behulp van RSA. AES 256-bits GCM-versleuteling wordt gebruikt om de gerepliceerde data via de kabel in te kapselen. De versleutelingsinkapselingslaag wordt onmiddellijk verwijderd wanneer deze op het doelsysteem terechtkomt. 

Eén manier geeft aan dat alleen het bestemmingscertificaat is gecertificeerd. Er zijn twee manieren om aan te geven dat zowel het bron- als het bestemmingscertificaat zijn geverifieerd. Wederzijds vertrouwen moet tot stand worden gebracht voordat u de verificatiemodus kunt gebruiken en beide zijden van de verbinding moeten deze functie inschakelen om de versleuteling door te laten gaan.

Wanneer de replicatieverificatiemodus is ingesteld op anoniem, wordt Anonymous Diffie-Hellman (ADH) gebruikt voor sessiesleuteluitwisseling, maar in dit geval verifiëren bron en bestemming elkaar niet vóór de sleuteluitwisseling. Ook als de authenticatie-modus niet is opgegeven, wordt anoniem als standaard gebruikt.

Vraag: Werkt sleutelrotatie zonder herstart van het bestandssysteem met alle soorten replicatie?
Antwoorden: Sleutelrotatie zonder opnieuw opstarten van het bestandssysteem werkt met alle soorten replicatie behalve DREPL (DREPL-ondersteuning is al beëindigd) en deltareplicatie (ook wel bekend als LBO)

Question: Hoe wordt de versleutelingssleutel van het doel beschermd tijdens de sleuteluitwisseling als er geen certificaten of PKI-sleutelparen zijn?
Antwoorden: Er is een gedeeld geheim tussen alle Data Domain-replicatieparen dat wordt gebruikt om een gedeelde sessiesleutel tot stand te brengen met behulp van een Diffie-Hellman-sleuteluitwisseling. Die gedeelde sleutel wordt gebruikt om de versleutelingssleutel van de bestemming te versleutelen.

Er is een verschil tussen het gedeelde geheim dat wordt gebruikt voor replicatieverificatie en de gedeelde sessiesleutel, die wordt toegewezen met behulp van het Diffie-Hellman-sleuteluitwisselingsprotocol. Het gedeelde geheim dat wordt gebruikt voor replicatieverificatie wordt vastgesteld door de Data Domain-software wanneer twee Data Domain-systemen voor het eerst een replicatiecontext willen instellen. Het wordt ook overeengekomen via een Diffie-Hellman-uitwisseling met behulp van parameters die in de code zijn ingebed. Dit wordt permanent opgeslagen in de systemen om elke replicatiesessie tussen de twee systemen te verifiëren. De replicatiesessiesleutel (de sleutel die wordt gebruikt om de versleutelingssleutel van de bestemming te versleutelen) wordt tot stand gebracht met behulp van een andere Diffie-Hellman-uitwisseling met het eerder vastgestelde gedeelde geheim, waardoor het veilige sleuteluitwisselingsprotocol wordt aangestuurd. Deze sleutel is niet permanent en bestaat alleen wanneer de replicatiecontext actief is.

Vraag: Is het nodig dat beide datadomeinen van een replicatiepaar dezelfde oplossing voor externe sleutelbeheer (zoals KMIP-sleutelbeheer) gebruiken of kan een van de systemen externe sleutelbeheer gebruiken en kan een ander geïntegreerde sleutelbeheer gebruiken?
Antwoorden: Afgezien van een replicatiepaar voor verzamelingen, is het niet nodig dat beide systemen binnen een replicatiepaar dezelfde sleutelbeheerder gebruiken.

Bij verzamelingsreplicatie moeten beide Data Domain-systemen worden geconfigureerd met dezelfde sleutelmanager. Maar ook in dat geval is de enige bron het synchroniseren van sleutels met de sleutelbeheerder en die sleutels worden ook naar de bestemming verzonden. Bij andere replicatietypen kunnen verschillende sleutelmanagers worden gebruikt met bron en bestemming.

Versleuteling en migratie

Vraag: Wordt datamigratie ondersteund op systemen waarop versleuteling is ingeschakeld?
Antwoorden: Ja, datamigratie wordt ondersteund op systemen waarop versleuteling is ingeschakeld. Versleutelingsconfiguratie op bron- en doelsystemen moet als voorwaarde worden afgestemd voordat datamigratie wordt gestart. Het wordt ook aanbevolen om versleutelingssleutels op het bronsysteem te exporteren en er een back-up van te maken voor DIA-doeleinden voordat de migratie wordt gestart.

Vraag: Wordt datamigratie ondersteund voor migratie op zowel de actieve laag als de cloudlaag voor systemen met versleuteling?
Antwoorden: Ja, datamigratie wordt ondersteund voor migratie van zowel de actieve laag als de cloudlaag voor systemen met versleuteling. De lijst met vereiste kenmerken die is ingeschakeld, wordt toegepast op basis van het niveau waarop versleuteling is ingeschakeld.

Vraag: Welke versleutelingsinstellingen blijven behouden als onderdeel van de migratie?
Antwoorden: Versleutelde data en versleutelingssleutels worden ongewijzigd gemigreerd, maar instellingen zoals versleutelingssleutelbeheer, systeemwachtwoordzin en andere versleutelingsconfiguraties moeten handmatig worden geverifieerd en afgestemd voor een geslaagde datamigratie. Eventuele bestaande sleutelbeheercertificaten worden ook overgebracht naar het doelsysteem. De configuratie van versleutelingssleutelbeheer moet na de migratie opnieuw worden ingesteld op het doelsysteem.

Vraag: Welke compatibiliteitscontroles voor versleuteling worden uitgevoerd tussen bron en bestemming tijdens de migratie?
Antwoorden: Systeemwachtwoordzin, versleutelingsstatus, configuratiegegevens van sleutelbeheer en FIPS-modusinstellingen van het systeem zijn enkele van de versleutelingsinstellingen die identiek moeten zijn op bron- en doelsystemen om de migratie te laten slagen. Dit KB-artikel 183040, Data Domain: Migratieprocedure voor cloud-enabled DD-systemen (aanmelden bij Dell Support vereist om artikel te bekijken), beschrijft de stappen voor migratie tussen systemen met cloud ingeschakeld. Dezelfde instellingen zijn ook van toepassing op de migratie van alleen actieve lagen.

Vraag: Wordt migratie ondersteund tussen systemen waarop het Encryption Disablement Project-instelling is ingeschakeld?
Antwoorden: Datamigratie tussen twee systemen wordt ondersteund als beide systemen EDP zijn of beide niet-EDP. Datamigratie van een EDP-systeem naar een niet-EDP-systeem is toegestaan als on-the-wire-versleuteling expliciet is uitgeschakeld. (met behulp van de MIGRATION_ENCRYPTION sysparam)

Versleuteling in cloudlaag 

Vraag: Wordt versleuteling ondersteund voor Cloud Tier?
Antwoorden: Ja, versleuteling wordt ondersteund op cloudlaag. Versleuteling is standaard uitgeschakeld in de cloudlaag. Cloud inschakelen geeft u de opdracht om te kiezen of we versleuteling op de cloudlaag willen inschakelen.

Vraag: Worden KMIP en External Key Managers ondersteund met Cloud Tier?
Antwoorden: Ja, KMIP en External Key Managers worden ondersteund met Cloud Tier vanaf DDOS 7.8.

Vraag: Met welke granulariteit kan versleuteling in de cloud worden ingeschakeld?
Antwoorden: Versleuteling kan worden in- en uitgeschakeld op elke cloudeenheid en elk niveau afzonderlijk.

Vraag: Hebben cloudeenheden onafhankelijke sleutels?
Antwoorden: Nee, sleutelbeheer is gemeenschappelijk voor zowel actieve als cloudlagen in DD. Sleutels worden gekopieerd naar de respectieve eenheid/laag/cp wanneer versleuteling is ingeschakeld. Als versleuteling is ingeschakeld op actief en niet op cloud, reflecteren actieve laagsleutels niet op cloud en omgekeerd. Dit geldt ook voor de cloudunits. (Bijvoorbeeld: CP1 heeft versleuteling ingeschakeld en CP2 heeft geen versleuteling ingeschakeld, dan worden CP1-sleutels niet weergegeven op CP2.)   

Vraag: Kunnen sleutels in de cloud worden verwijderd?
Antwoorden: Nee, het verwijderen van sleutels uit de cloud wordt niet ondersteund.

Vraag: Waar worden dataversleutelingssleutels voor cloudeenheden beheerd?
Antwoorden: Sleutels zijn gekoppeld aan een cp en elke cloudeenheid is een andere cp. Een kopie van sleutels van alle cp's wordt opgeslagen in actieve cp.

Vraag: Hoe herstellen we cloudsleutels tijdens noodherstel? 
Antwoord: De cpnameval wordt gespiegeld naar de cloud als onderdeel van het CP-herstel, de coderingssleutels worden hersteld naar cpnameval. Nu moeten we ddr_key_util tool uitvoeren om de sleutels te herstellen.

Opmerking: Voor herstel na noodgeval is interventie van de klantenservice vereist.

Vraag: Kunnen we data verplaatsen als versleuteling alleen is ingeschakeld in de cloudlaag?
Antwoorden: Nee, we moeten versleuteling inschakelen in zowel cloud- als actieve lagen voor dataverplaatsing.

Vraag: Can we enable External Key-Manager on cloud tier?
Antwoorden: Ja, extern sleutelbeheer kan worden ingeschakeld op cloudlaag. Deze functie wordt ondersteund vanaf 7.8. Alle bewerkingen, behalve de sleutel vernietigen of verwijderen die geldig is voor de actieve laag, zijn ook geldig voor de cloudlaag in termen van extern sleutelbeheer. 

Versleuteling en garbage collection

Vraag: Welke rol speelt het Global Clean-proces in Versleuteling-at-Rest en is er een impact op de prestaties wanneer versleuteling voor de eerste keer wordt ingeschakeld?
Antwoorden: Het voor de eerste keer inschakelen van versleuteling van data-at-rest heeft invloed op de prestaties van globale opschoning. Dit komt omdat data die uit bestaande containers op de schijf moeten worden gelezen en naar nieuwe containers moeten worden geschreven, mogelijk moeten worden gelezen, versleuteld en gedecomprimeerd voordat ze opnieuw worden gecomprimeerd, versleuteld en weer naar schijf worden geschreven. Wanneer versleuteling is ingeschakeld op een DD met een aanzienlijke hoeveelheid reeds bestaande data en de opdracht 'filesys encryption apply-changes' wordt uitgevoerd, wordt in de daaropvolgende globale opschooncyclus geprobeerd alle bestaande data op het systeem te versleutelen. Dit betekent dat alle data moeten worden gelezen, gedecomprimeerd, gecomprimeerd, versleuteld en naar schijf moet worden geschreven. Als gevolg hiervan kan de eerste globale opschooncyclus na het uitvoeren van 'filesys encryption apply-changes' langer duren dan normaal. Klanten moeten ervoor zorgen dat ze voldoende vrije ruimte op hun DD-systeem hebben om het opschonen volledig te laten verlopen zonder dat het DD-systeem vol raakt (anders mislukken back-ups).

Vraag: Is er een impact op de prestaties van de doorlopende opmaakcycli voor opnemen/herstellen?
Antwoorden: Ja, er is een impact op de prestaties en de impact hangt over het algemeen af van de hoeveelheid data die wordt opgenomen/hersteld tussen schone cycli.

Vraag: Hoe lang duurt het om mijn bestaande data te versleutelen?
Gebruik dit KB-artikel om de tijd te schatten, Data Domain: Berekenen hoe lang het duurt voordat versleuteling in rust is toegepast.

Encryptie en headswap 

Vraag: Kan de klant de schijf verplaatsen naar een ander Data Domain systeem als een head uitvalt en toegang krijgen tot de schijf wanneer versleuteling is ingeschakeld?
Antwoorden: De versleutelingssleutel is niet gebonden aan de Data Domain-systeemkop zelf, dus u kunt de schijven naar een andere Data Domain-systeemkop verplaatsen en de sleutel is daar toegankelijk. Op een nieuwe Data Domain-systeemkop is het bestandssysteem vergrendeld, dus u moet de wachtwoordzin invoeren met de opdracht "filesys encryption unlock". 

Vraag: Wat moet ik doen als een klant de wachtwoordzin is vergeten op het moment van de headswapbewerking?
Antwoorden: Gedurende die tijd kunnen ze de oude kop verbinden en samenwerken met support om de wachtwoordzin opnieuw in te stellen en vervolgens weer verbinding te maken met de nieuwe kop en de headswap-procedure te voltooien. 

Versleutelingsprestaties

Vraag: Wat is de waargenomen impact op het storageverbruik wanneer versleuteling wordt gebruikt?
Antwoorden: Het is te verwaarlozen met ongeveer 1 procent overhead in verband met het opslaan van sommige coderingsparameters met gebruikersgegevens.

Vraag: Wat is de waargenomen impact op de doorvoersnelheid (schrijven en lezen) wanneer versleuteling van data-at-rest wordt gebruikt?
Antwoorden: De impact op de doorvoer wanneer versleuteling wordt gebruikt, kan variëren afhankelijk van het protocol en het platform. Over het algemeen zijn de volgende percentages conservatieve prestatieverminderingen in geaggregeerde doorvoer

:CBC Mode
First Full: ~10% prestatievermindering bij SCHRIJFBEWERKINGEN
Incrementeel: ~5% prestatievermindering bij SCHRIJFBEWERKINGEN
Herhaalt: 5 - 20% prestatievermindering bij READs

GCM-modus
eerste vol: 10 - 20% prestatievermindering bij SCHRIJFBEWERKINGEN
Incrementeel: 5 -10% prestatievermindering bij SCHRIJFBEWERKINGEN
Herhaalt: 5 - 20% prestatievermindering bij READ's

Deze cijfers zijn specifiek voor de overhead van versleuteling van data-at-rest (over-the-wire-versleuteling wordt apart verantwoord)
 

Best practices

Vraag: Wat zijn de best practices met betrekking tot het sleutelroulatiebeleid?
Antwoorden: Beleid voor geautomatiseerde sleutelrotatie is niet standaard ingeschakeld. De klant heeft het ingeschakeld. Het wordt aanbevolen om versleutelingssleutels regelmatig te verwisselen. Wanneer een systeem is geconfigureerd met een externe KMIP-sleutelmanager, is het raadzaam om sleutels regelmatig te draaien om toekomstige scenario's voor mogelijke gecompromitteerde sleutels aan te pakken. Wanneer KMIP is geconfigureerd met cloudlaag, is het voorgestelde sleutelrotatie-interval 1 week en wanneer KMIP is geconfigureerd in de enige actieve laag, is het voorgestelde sleutelrotatiebeleid 1 maand. Op basis van de opnamesnelheid kan de klant echter ook de rotatiefrequentie van sleutels verhogen of verlagen. Als geïntegreerd sleutelbeheer is geconfigureerd, wordt een sleutelrotatiebeleid tussen 1 en 3 maanden aanbevolen. 

Vraag: Wat zijn best practices met KMIP-sleutelklasse als een klant dezelfde KMIP-server gebruikt voor veel DD-systemen?
Antwoorden: Het wordt aanbevolen om een aparte sleutelklasse te hebben voor elk DD-systeem wanneer ze dezelfde KMIP-server gebruiken. Op die manier heeft sleutelrotatie in het ene DDOS-systeem geen invloed op de status van de sleutel in andere DDOS-systemen.

Zie voor meer informatie het document DELL EMC PowerProtect DD serie apparaten: Versleutelingssoftware (delltechnologies.com)

Codering: Technische whitepaper PowerProtect DD serie apparaten: Versleutelingssoftware

Andere documentatie met betrekking tot DD-versleuteling (Admin Guide, Command Reference Guide en Security Config Guide) vindt u in artikel 126375, PowerProtect en Data Domain core documents.

KMIP-integratiehandleiding en compatibiliteitsmatrix

Bekijk deze video: