Dell EMC Data Domain Encryption - 常見問題

加密組態

問題：如何在 DD 中設定加密 （DARE）？
答：您可以透過下列步驟，在 DD 中設定 DARE 加密：

1. 新增加密授權

2. 新增安全官並啟用安全官授權

3. 啟用加密 

1）添加加密許可證：
添加具有有效加密許可證的許可證檔。
使用以下命令，使用可用的授權檔案更新 DD 中的 elicense。

電子授權更新

2） 新增安全官並啟用 SO 授權：
a） 使用以下命令新增具有「security」角色的使用者： 

使用者新增 SecUser 角色安全性

b） 使用下列命令，在設定中啟用安全官授權： 

授權原則設定 Security Officer 已啟用

3.啟用 DARE 加密：
使用下列命令啟用 DARE 加密：

FileyS 加密啟用

問題：哪些平台支援待用資料加密功能？
答：所有 Data Domain 系統皆支援待用資料加密功能，加密停用專案 （EDP） 系統除外。

鞫：使用者如何將其資料以明文形式儲存在 DD 中？
答：使用者可在設定中確認已關閉加密功能，以確保資料以明文儲存，而不是加密在 DD 中。
使用者可以使用以下命令停用 DD 中的加密： 

FileyS 加密停用

問題：哪些備份應用程式/通訊協定支援待用資料加密功能？
答：DD DARE 功能獨立於底層備份應用程式或 DD 使用的通訊協定。

Question：您可以在 Data Domain 系統上選取哪些加密演算法？
答：DD Encryption 軟體使用加密區塊鏈結 （CBC） 或伽羅瓦計數器模式 （GCM） 支援 AES 128 或 256 位元演算法。

GCM 是對稱金鑰加密塊密碼的一種操作模式。它是一種經過身份驗證的加密演演演算法，旨在提供身份驗證和隱私（機密性）。顧名思義，GCM 將眾所周知的計數器加密模式與新的伽羅瓦身份驗證模式相結合。GCM 的認證層面可保證加密的資料是由 Data Domain 系統完成，而不是透過其他方式「注入」。這與加密數據的CBC不同（隱私方面），但沒有檢查加密數據的真實性。

在 CBC 模式下，每個純文本塊在加密之前都與以前的密文塊互斥“或”。這樣，每個密文塊都依賴於到目前為止處理的所有純文本塊。此外，若要使每條消息唯一，必須在第一個塊中使用初始化向量。CBC僅通過加密保證數據的隱私（機密性）。不會對加密演演演算法或過程進行身份驗證。

鞫：如何變更 DD 中的加密演算法？

答案：如果您要在設定中設定特定的加密演算法，請使用以下命令。

FileyS 加密演算法集合

範例：

# filesys 加密演算法集 {aes_128_cbc | aes_256_cbc | aes_128_gcm | aes_256_gcm}

問題：啟用加密後，我們如何確保對預先存在的資料進行加密？
答：我們可以使用以下命令強制 DDFS 加密預先存在的資料：

# filesys encryption 套用變更

這使得下一個清潔週期比正常情況更長，資源密集度也更高。

鞫：如何在 DD 中停用加密？
答：使用加密停用命令，停用 DD 中的加密功能： 

FileyS 加密停用

這隻會禁用傳入 I/O 的加密。現有的加密資料會保持加密狀態，直到使用套用變更手動解密為止。

鞫：哪些加密命令需要 DD 檔案系統重新開機才能生效？
答：下列加密命令需要 DD 檔案系統重新開機才能生效：

FileyS 加密啟用/停用 - 在 Data Domain 系統上啟用/停用加密功能。

FileyS 加密演算法集合 - 允許使用者選擇加密演演演算法。

FileyS 加密演算法重設 - 在 CBC 模式中將加密演算法重設為 AES 256 （預設）。

鞫：哪些加密命令需要停用 Data Domain 檔案系統，才能設定/使用？
答：下列加密命令需要停用 Data Domain 檔案系統，才能設定或使用它們：

加密密碼片語變更

加密鎖定/解除鎖定

一般加密問題

問題：是否在所有 DD 系統上都支援 DD 加密？
答：如果 DD 系統不是加密停用專案 （EDP），則 DD 系統上支援 DD 加密軟體選項，因為這些系統不允許啟用加密，主要在俄羅斯地區的系統銷售。

鞫：如何在 DD 系統中執行密碼編譯？
答：在 DDOS 中使用 OpenSSL 和 RSA BSafe （RSA BSafe 是經過 FIPS 140-2 驗證的加密程式庫，由 DD 系統用來加密靜態資料） 程式庫來完成。

問題：系統使用哪個版本的 BSafe？
答：自 DDOS 7.10 起，使用的 BSafe 版本為「BSAFE Micro Edition Suite 4.4.0.0」和「BSAFE Crypto-C Micro Edition：4.1.4.0“

問題：在 DDOS 中設定加密的可用使用者介面有哪些？
答：可使用 CLI、UI 或使用 REST API 來設定加密。在 DDOS 8.0 以上版本中新增 REST API 支援。

鞫：可以對數據進行選擇性加密嗎？只像一個 MTree 或檔案？
答：「無法」選擇性加密。加密只能在系統範圍內啟用或禁用，不能選擇性地啟用或禁用。對於支援雲端的系統，可在雲端層和雲端單元粒度上啟用或停用加密。

問題：是否有任何加密密鑰或帳戶密碼以明文或弱密碼傳輸或存儲，例如當實體在數據檔、程式或身份驗證目錄中進行身份驗證時？
答：絕對不是。

鞫：系統使用什麼版本的 OpenSSL？
答：自 DDOS 7.10 版本起，openssl 版本為「OpenSSL 1.0.2zd-fips」。

問：待用資料加密如何防止使用者和應用程式存取資料？
答： 

• 待用資料加密僅關於加密資料 這些資料位於磁碟子系統上加密或解密發生在壓縮層。使用者或應用程式會向 Data Domain 系統傳送和接收明文資料，但任何實際位於 Data Domain 系統內的資料都是加密的。
• 所有加密都在檔案系統和命名空間下進行，對使用者或應用程式不可見。如果使用者或應用程式已具有對檔或目錄的授權訪問許可權，則無論加密如何，都可以以其本機格式讀取數據。
• DD Encryption 的設計使得如果入侵者規避其他網路安全控制並取得加密資料的存取權，卻沒有適當的密碼編譯金鑰，該人將無法讀取和使用該資料。 

問題：重複資料刪除後是否會進行加密？
答：是，會對已刪除重複資料的資料進行加密。數據在儲存到磁碟上之前已加密。

問題：Data Domain 如何確保資料的安全性？
答：使用靜態資料加密功能來保護資料。此外，當裝置移除 （換用機頭、檔案系統鎖定） 時，會從系統移除密碼片語。此密碼片語用於加密加密金鑰，讓資料受到進一步保護。

鞫：加密會產生哪些警示？
答：在以下情況下會產生警報：

• 當存在入侵的加密金鑰時
• 當加密金鑰表已滿，且系統中無法再新增任何金鑰時
• 當自動金鑰匯出失敗時
• 當自動金鑰輪替失敗時
• 停用加密時
• 當系統密碼變更時

問題：DDOS 是否有任何安全性認證？
答案：Data Domain 系統符合 FIPS 140-2 規範。

問題：加密金鑰會儲存在何處？
答：加密金鑰會持續儲存在 DDOS 系統的集合分割區中。

鞫：如果有人從 Data Domain 系統拉出硬碟，你能從中解密資料嗎？
答：加密金鑰是使用儲存在系統磁頭中的系統密碼進行加密。即使加密金鑰儲存在磁碟中，如果沒有系統密碼，也無法解密加密金鑰。因此，在不知道用於加密數據的密鑰的情況下，無法從硬碟驅動器解密。

問題：恢復（尤其是災難恢復）需要哪些加密密鑰和密碼？
答：金鑰可以匯出到安全的檔中，並保存在系統外部。此文件的恢復是在工程的説明下完成的。此外在復原時，客戶必須知道金鑰匯出命令時使用的密碼片語。

鞫：如何在將系統傳輸至遠端位置之前鎖定檔案系統。
答：以下是其程式： 

• 停用檔案系統：

  sysadmin@itrdc-DD630-42# filesys 停用

• 鎖定檔案系統並輸入新密碼片語 （這需要上述安全性使用者的驗證）：

  sysadmin@itrdc-DD630-42# filesys 加密鎖定
  此命令需要由具有「security」角色的使用者授權。
  請在下方提供此類使用者的登入資料。
          使用者名稱：secuser
  密碼：
  輸入目前的密碼片語：
  輸入新密碼片語：
  重新輸入新密碼：
  密碼片語相符。
  檔案系統現已鎖定。

• 不得遺失或忘記新密碼片語。如果沒有此密碼片語，檔案系統就無法解除鎖定，這意味著無法存取 DDR 上的資料。若要在系統到達遠端位置時解除鎖定，請使用以下命令：

sysadmin@itrdc-DD630-42# filesys 加密解鎖
此命令需要由具有「security」角色的使用者授權。
請在下方提供此類使用者的登入資料。
        使用者名稱：secuser
密碼：
輸入密碼片語：
密碼片語已驗證。使用「filesys enable」啟動檔案系統。

• 現在可以正常啟用和使用檔案系統

問題：儲存清理命令是否與檔案系統加密有任何關係？
答：否，檔案系統加密和儲存清理是兩個獨立的功能。

問題：EDP（加密禁用專案）系統是否支持線路加密？
答：我們無法在 EDP 系統中啟用閒置資料加密 （DARE） 或線上加密 （使用複寫或 ddboost）。

系統密碼片語 

問題：什麼是系統密碼？
答：DDOS 具備設定系統層級密碼片語，以保護系統內認證的安全。密碼片語為人類可讀 （可理解） 的金鑰 例如智慧卡等 用於產生可用於機器的 AES 256 加密金鑰

它提供了兩個好處：

• 它可讓系統管理員變更密碼片語，而不必操作加密金鑰。更改密碼會間接更改金鑰的加密，但不會影響用戶數據。變更密碼片語並不會變更底層 Data Domain 系統加密金鑰。它會變更 Data Domain 系統金鑰的加密，但系統金鑰保持不變。
• 它允許在系統上隨附加密金鑰的實體 Data Domain 系統，但不會在其上儲存密碼片語。這樣，如果盒子在運輸過程中被盜，攻擊者將無法輕鬆恢復數據，因為系統只有加密密鑰和加密數據。

密碼片語會儲存在內部 Data Domain 儲存系統的隱藏部分。這可讓 Data Domain 系統開機並繼續服務資料存取，而無需系統管理員介入。

建立或變更密碼片語：

• 系統管理員向 Data Domain 系統驗證後，即可使用命令行介面 （CLI） 建立系統密碼片語。
• 在系統管理員和安全性角色使用者 （例如安全官） 向 Data Domain 系統進行驗證後，系統密碼片語可以使用 CLI 變更 （使得沒有單一系統管理員可以獨立進行變更）。

問題：何時使用密碼片語？
答：各種 DDOS 元件將系統密碼片語用作主要金鑰，這些元件包括檔案系統加密、雲端存取、憑證管理、Boost 權杖、橫向擴充環境中的系統組態模組，以及授權資訊。DDOS 軟體提供設定和修改此系統密碼片語的機制。另外也提供選項來控制系統密碼片語是否儲存在磁碟上，這特別會在傳輸 DD 系統時增強安全性。

問題：密碼片語如何用於 DD 系統的安全傳輸？
答：此程序使用「filesys encryption lock」命令 可讓使用者變更密碼片語以鎖定檔案系統使用者輸入重新加密加密金鑰的新密碼，但不會存儲新密碼。在使用「filesys encryption unlock」命令

解除鎖定檔案系統之前 加密金鑰無法還原Confluence Lab 安全性組態指南中會說明此程序。

鞫：如果密碼片語變更，會發生什麼情況？是否仍可存取資料？
答：是，變更密碼片語並不會變更基礎 Data Domain 系統加密金鑰，只會變更加密金鑰的加密。因此，數據訪問不受影響。

鞫：如何查詢系統上是否設定了密碼片語？
答：若已在系統上設定密碼片語 執行「system passphrase set」命令時擲回錯誤 表示已設定

密碼片語鞫：如果密碼片語遺失或遺忘，該怎麼辦？
答：如果客戶在箱子鎖定時丟失了密碼片語，他們將丟失其數據。沒有後門或其他方式可以訪問它。如果沒有管理該密碼的良好過程，這可能會意外發生，他們將無法恢復密鑰或數據。但是，由於系統的集成保護機制，加密密鑰永遠不會丟失或損壞。

鞫：是否有任何機制可以重置忘記的系統密碼？
答：只有在特定情況下，才能在客戶支援的協助下強制重設系統密碼片語。只有在符合特定條件時，才能使用 DDOS 7.2 導入的強制更新機制。更多詳細資訊請參閱知識庫文章 20983， Data Domain：如何在 DDOS v7.2 或更新版本中重設遺失的系統密碼片語 （需要登入 Dell 支援才能檢視文章）

問題：是否有選項可避免在 DD 系統上儲存系統密碼片語？
答：根據預設，系統密碼片語會儲存在 Data Domain 系統的隱藏位置。系統選項「系統密碼片語選項磁碟儲存」可用於變更此狀況，並避免將密碼片語儲存在磁碟上。

嵌入式金鑰管理員 （EKM）

頂層命令：

系統 # filesys encryption embedded-key-manager <選項>

問題：嵌入式金鑰管理員是否支援金鑰輪替？
答：  是，內嵌式金鑰管理員支援每個 Data Domain 系統的金鑰輪替。透過 UI 或 CLI，系統管理員可設定金鑰輪替期間 （每週或每月）。

鞫：嵌入式金鑰管理功能需要付費嗎？
答：此功能不收取任何費用。此功能包含在標準 DD Encryption 軟體授權選項中。

鞫：客戶是否可以從本機金鑰管理移至外部金鑰管理 （EKM）？
答

• 是的，可以隨時啟用外部金鑰管理器。但是，使用的本機金鑰仍保留在 Data Domain 系統上。外部金鑰管理員無法管理 EKM 金鑰。現有資料不需要重新加密。如果客戶必須使用 EKM 金鑰重新加密法規遵循資料，則必須使用套用變更與新的 RW 金鑰手動完成。在切換後銷毀 EKM 金鑰不是強制性的。
  • 金鑰管理器交換機會自動將活動金鑰切換到 KMIP 的金鑰。 
  • 發生切換時 KMIP 金鑰 MUID 的外觀範例

    Key-ID     Key MUID                                                                    State                     Key Manger Type
    1               be1                                                                    Deactivated               DataDomain
    
    2               49664EE855DF71CB7DC08309414C2B4C76ECB112C8D10368C37966E4E2E38A68       Activated-RW              KeySecure

問題：當我們禁用或啟用金鑰輪換時會發生什麼？
答： 

• 如果您未從 UI 或 CLI 啟用金鑰輪換，則預設加密功能為停用金鑰輪換。在這種情況下，所有數據都使用現有的活動金鑰進行加密。
• 如果啟用金鑰輪換，我們會根據輪換頻率輪換金鑰，並使用最新的活動金鑰對資料進行加密。

外部金鑰管理器

問題：DD 支援哪些外部金鑰管理程式？
答：我們支援以下外部金鑰管理程式：

• Gemalto KeySecure （在 DDOS 7.2 版中新增支援）
• Vormetric （在 DDOS 版本 7.3 中新增支援）
• CipherTrust （在 DDOS 版本 7.7 中新增支援）
• IBM GKLM （在 DDOS 版本 7.9 中新增支援）

問題：是否需要單獨的許可證才能啟用與外部金鑰管理器的集成？
答：是，需要個別廠商提供個別授權，才能將外部金鑰管理員與 DD 整合。

鞫：一次支援多少個關鍵經理？
答：在 DD 系統上的任何指定時間點，只能有一個金鑰管理員處於作用中狀態。

鞫：我要在哪裡找到更多如何設定 KMIP 外部金鑰管理程式的資訊？
答： DDOS 的 KMIP 整合指南提供配置 DD 支援的不同外部金鑰管理程式的詳細資訊。

鞫：如何在 DD 中為外部金鑰管理員管理憑證？
答：在配置外部金鑰管理員時，我們必須產生 CA 憑證 （CA 憑證可以是自我簽署憑證或由第三方簽署） 和主機憑證。在外部金鑰管理員伺服器上完成組態後，使用者必須將 CA 憑證和主機憑證匯入 DD 系統。然後我們設定並啟用外部金鑰管理員。

問題：什麼是 CA？
答：證書頒發機構 （CA） 充當對等方之間最初受信任的共享實體，並頒發簽名證書，使每一方都可以信任另一方。證書通常充當伺服器或客戶端的標識。

問題：什麼是本地 CA 簽署憑證，什麼是 CA 簽署憑證？
答：CA 簽署的憑證是由公開信任的認證機構 （CA） 簽發和簽署的憑證。CA 簽署的憑證會自動受信任。本地 CA 可以頒發簽名證書，因為私有簽名金鑰存儲在 Key Manager 系統中。外部 CA 不儲存私鑰。相反，外部 CA 用作系統內部各種介面和服務的受信任實體。

鞫：如何在 DD 中建立憑證簽署要求？
答：在 Data Domain 系統上，使用以下 CLI 命令產生 CSR。通過這種方式，私鑰永遠不會向外部密鑰管理器公開。

AdminAccess 憑證憑證簽署要求

問題：是否可以在金鑰管理器之間切換？
答：允許在外部金鑰管理器和嵌入式金鑰管理器之間切換，並且是無縫的。但是，從嵌入式金鑰管理器切換到外部金鑰管理器需要適當的證書安裝和配置。在兩個外部金鑰管理員之間切換 （例如：也允許 KMIP-CipherTrust、DSM-CipherTrust、CipherTrust 至 GKLM）。此外亦支援金鑰管理員金鑰遷移 （如需更多詳細資訊，請參閱 KMIP 整合指南）。

鞫：當外部金鑰管理員連線中斷時，會發生什麼情況？那麼我的數據可以訪問嗎？
答：是的，當我們無法連接到金鑰管理器時仍然可以訪問數據，因為我們也將密鑰的副本存儲在 DD 系統中。無法建立新金鑰，或者當與外部金鑰管理員沒有連接時，無法同步金鑰狀態。

鞫：有沒有辦法避免將金鑰儲存在 DD 中而僅儲存在外部金鑰管理程式中？
答：我們一律會在 DD 系統中儲存金鑰複本，以備 DIA 之用。此設定無法變更。

鞫：與 KMIP 整合是否會對效能造成任何影響？
答：否，由於使用了外部金鑰管理器，因此不會對性能產生影響。

鞫：是否可以針對環境中的選定 Data Domain 使用 KMIP 解決方案？
答：是的，客戶可以完全靈活地為其 Data Domain 系統選擇適當的加密方法。他們可以繼續在某些 Data Domain 系統上使用 Data Domain 的內嵌金鑰管理器，並在其環境中的其他 Data Domain 系統上使用 KMIP 進行加密金鑰輪替。

鞫：Data Domain 至 KMIP 的通訊是否安全？
答：是，Data Domain 會透過 X509 憑證與 TLS 進行相互驗證的工作階段進行通訊。使用者可以使用 Data Domain CLI，將適當的 X509 憑證匯入 Data Domain 系統。此憑證隨後會用於在 DD 和 KMIP 之間建立安全通道。

金鑰生命週期管理 

問題：DD Encryption 選項有哪些金鑰管理功能？
答：金鑰管理員控制多個加密金鑰的生成、分發和生命週期管理。保護系統可以使用嵌入式金鑰管理器或 KMIP 相容外部金鑰管理器。一次只能有一個金鑰管理器生效。在 Protection 系統上啟用加密時，預設情況下嵌入式金鑰管理員會生效。如果配置了外部金鑰管理器，它將替換嵌入式金鑰管理器並保持有效，直到手動禁用為止。從嵌入式金鑰管理器切換到外部金鑰管理器，或者相反，會導致新金鑰被添加到系統中，並且不需要從版本 7.1 重新啟動檔案系統。

鞫：Data Domain 系統上有哪些不同的關鍵狀態？
Data Domain 系統上的不同關鍵狀態如下：

• Activated-RW：在任何 DD 系統上，處於此狀態的金鑰只有一個，可用於讀取和寫入資料。GC 進程也使用此金鑰重新加密容器。
• 待啟動：在任何 DD 系統上，只有一個鍵處於此狀態。這可識別在下次檔案系統重新啟動後會變成 Activated-RW 的金鑰。目前，此狀態僅在啟用加密時存在。不會建立其他時間等待啟動的金鑰。  
• Activated-RO：外部金鑰管理員可以有多個已啟動金鑰。最新的金鑰為 Activated-RW 中，其餘鍵則處於此狀態。當我們無法與金鑰管理員同步狀態時，金鑰可能會在 DD 系統上進入此狀態。
• 停用：這是用來讀取 DD 系統上的現有資料。
• 已洩露：當客戶入侵外部金鑰管理器金鑰時，狀態將在下次金鑰同步後更改為該金鑰。  
• 標記為銷毀：當客戶將金鑰標記為銷毀時，金鑰狀態將變為標記為銷毀。執行 GC 時，所有使用標記為已銷毀金鑰加密的容器都將使用啟動的 RW 金鑰重新加密。
• 亾：當沒有與之關聯的數據時，「標記為銷毀」狀態中的金鑰將進入此狀態。
• 銷毀-受損：處於「遭入侵」狀態的金鑰在沒有關聯資料時會進入此狀態。

問題：是否可以匯出加密金鑰以進行災難恢復？
答：您可以使用以下命令手動匯出金鑰。

「filesys 加密金鑰匯出」

在新增金鑰或從系統刪除任何金鑰時，DD 系統也會預設匯出金鑰。

匯出的檔案會顯示在 /ddr/var/.security 中，且格式為加密。然後，應從 DDR 複製此檔並存儲在安全的位置，以便以後在任何災難恢復情況下使用。

注意：匯入金鑰以進行災難回復時需要客戶支援介入，因為還原程序會根據所遭遇的災難類型而定。我們可以使用下列命令匯入匯出的金鑰檔案。

Fileys 加密金鑰匯入 <檔案名稱> 

問題：KMIP 產生的金鑰是否儲存在 Data Domain 系統上？
答：是的，從 KMIP 取得的加密金鑰會以加密方式儲存在 Data Domain 系統上。

鞫：KMIP 裝置中的金鑰狀態變更會如何套用至 Data Domain 系統？
答：金鑰同步每天都會發生。如果有可用的新金鑰或金鑰狀態發生更改，同步將更新本地金鑰表。DD 每天午夜都會收到來自 KMIP 的重要更新。

鞫：是否可以手動同步 DD 和 KMIP 之間的金鑰狀態？
答：是的，Data Domain 命令行介面 （CLI） 或 UI 可用來手動同步 DD 和 KMIP 之間的金鑰狀態。「filesys encryption key sync」 就是用於此

目的的命令鞫：是否可以變更 DD 從 KMIP 收到金鑰更新的時間？
答：否，無法變更 DD 從 KMIP 收到金鑰更新的時間。

鞫：Data Domain 系統支援的金鑰數量是否有限制？
答：從 DDOS 7.8 開始，Data Domain 系統在任何時候最多可以在系統上擁有 1024 個金鑰。Enabled-RW 中只有一個金鑰，其餘的金鑰可能處於任何其他狀態。

鞫：Data Domain 系統上不同的資料集是否可以使用不同的金鑰？這是可配置的嗎？
答：不可以，我們一次只支援系統中的一個活動密鑰，並且所有傳入的數據都使用當前活動密鑰進行加密。金鑰無法像 M 樹那樣以更精細的粒度進行控制。

鞫：達到最大金鑰限制時是否有任何通知？
答：是的，當達到最大密鑰限制 1024 時，將引發警報。

鞫：如何清除有關最大金鑰限制的警報？
答：必須刪除其中一個金鑰才能清除最大金鑰限制警示。

問題：我們是否能看到與 Data Domain 系統上特定金鑰相關聯的資料量？
答：是的，這在 DD 上可以看到，但在 KMIP 伺服器上看不到。使用者可以使用 Data Domain 命令行介面 （CLI） 和 UI 來查看與特定金鑰關聯的資料量。

鞫：  我們能在 DD 系統上看到金鑰的使用年限嗎？
答：是的，可以使用使用 UI 的 EKM 金鑰看到。

鞫：即使使新金鑰生效的時間段已過，舊密鑰是否有效？
答：加密金鑰沒有到期日。舊金鑰在金鑰輪替後變成唯讀金鑰，並保留在 DDOS 中。

鞫：當 Data Domain 系統上沒有與之關聯的資料時，加密金鑰是否會自動被刪除？
答：否，金鑰不會自動刪除。使用者必須使用 DD CLI 或 UI 明確刪除金鑰。

鞫：即使 Data Domain 系統上有與其關聯的資料，是否可以刪除金鑰？
答：否，如果金鑰有任何關聯的資料，則無法刪除。需要使用其他金鑰重新加密資料，才能刪除具有關聯資料的金鑰。

鞫：如果金鑰已在 KMIP 上刪除，那麼該金鑰是否也會從 Data Domain 的金鑰清單中刪除？
答：否，使用者必須使用 DD CLI 或 UI 獨立刪除金鑰。

鞫：在多站點 Data Domain 環境中，是否每個位置都需要 KMIP？
答：否，並非每個具有 Data Domain 的網站都必須有 KMIP。我們可以指向一個 KMIP 伺服器。建議在各個 DD 系統使用相同的 KMIP 伺服器時，為其設定個別的金鑰類別。

鞫：如果金鑰遭到入侵，我們是否有檢索使用舊金鑰加密的數據的過程？
答：在這種情況下，客戶必須在 KMIP 伺服器中將金鑰標記為已入侵。接著在 DDOS 系統中執行「filesys encryption keys sync」，接著執行「filesys encryption apply-changes」，接著執行 GC （filesys clean）。GC run 會使用較新的金鑰，重新加密以遭入侵金鑰加密的所有資料。GC 完成後，金鑰狀態會變更為「遭入侵-銷毀」。稍後他們可以刪除該金鑰。 

加密與複寫

問題：DD Replication 是否受支援 DD Encryption 軟體選項
並可互用？答：是，DD 複寫可以搭配 DD Encryption 選項使用，因此能使用各種不同類型的複寫來複寫加密資料。每個複製表單都唯一具有加密功能，並提供相同級別的安全性。

鞫：來源和目的地系統是否必須執行相同版本的 DD OS 才能使用加密？
答：如果複寫相容性比較表已就位，來源和目的地可位於不同的 DDOS 版本中，以使用 DARE 進行複寫 （請參閱相容性比較表的管理指南）。

問題：複寫如何與加密搭配運作？
答：這取決於使用哪種複製形式。

如果配置的複寫是 MREPL 或 MFR：
如果使用 MREPL 或 MFR，則可根據客戶想要達到的目標，在來源或目的地上獨立授權或啟用 DD Encryption。

• 當來源和目的地都啟用加密時：當數據攝取到源系統時，會使用源系統加密密鑰進行加密。源解密本地數據，使用目標系統加密金鑰對其進行重新加密，然後在複製時將加密數據複製到目標。
• 當來源已停用加密，且目的地已啟用加密時：所有內嵌至來源的資料均未加密 （原因很明顯）。但在複製時，源使用目標系統的加密密鑰加密數據，然後將加密數據複製到目標系統。 
• 當來源已啟用加密，且目的地已停用加密時：所有消化至來源系統的資料都會使用來源系統的加密金鑰進行加密。來源會解密資料，然後在複製時將未加密的資料複製到目的地 Data Domain 系統。
• 如果在設置複製上下文后在複製副本上啟用了加密，那麼現在正在複製的任何新分段都將在副本的源進行加密。在啟用加密之前駐留在副本上的任何段都將保持未加密狀態，除非加密應用更改並在目標上運行 GC。 

如果配置的複寫是 CREPL：
使用集合複寫時，來源和目的地系統必須執行相同的 DDOS 版本。因此，必須同時啟用或停用兩者的加密。加密組態中也不能有不相符的情況。源和目標的加密金鑰相同。 

• 當來源和目的地都啟用加密時：攝取至來源系統的所有資料都使用來源系統加密金鑰進行加密。複寫時，來源會將加密資料傳送至處於加密狀態的目的地 Data Domain 系統。目的地 Data Domain 系統與來源具有相同的金鑰，因為集合複寫完全是關於來源 Data Domain 系統的精確複本。由於目的地為唯讀系統，因此在複寫之外無法將任何資料寫入目的地 Data Domain 系統。
• 當來源和目的地都已停用加密時：消化至來源系統的所有資料均未加密 （原因很明顯）。複寫時，來源會傳送 （複製） 未加密狀態的資料，且在目的地 Data Domain 系統上仍未加密。由於目的地為唯讀系統，因此在複寫之外無法將任何資料寫入目的地 Data Domain 系統。

問題：目的地的金鑰是否會無限期地儲存在來源 Data Domain 系統上？
答：目的地的加密金鑰永遠不會儲存在來源 Data Domain 系統上。它僅在複製會話處於活動狀態時保留在記憶體中（加密）。這適用於除集合複製之外的所有類型的複製。在集合複製 （CREPL） 中，源和目標中存在同一組加密密鑰。

問題：建立複寫內容後，是否可以在 CREPL 系統中啟用加密？
答：是，在此情況下，必須在來源和目的地中同時啟用加密。透過停用複寫內容，可在來源和目的地啟用加密。複製的任何新分段都會在副本上加密。在啟用加密之前駐留在副本上的任何段都將保持未加密狀態。

鞫：是否可以同時啟用 DD Encryption 和 DD 複寫軟體選項中的線上加密功能？
答：是的，可以同時啟用在線加密和D@RE以實現不同的安全目標。

鞫：如果同時啟用 DD 加密軟體選項和 DD 複製軟體選項中的線上加密功能，會發生什麼情況？
答：第一個源使用目標加密金鑰加密數據。然後，由於將此數據發送到其目的地時，由於在線加密，已加密的數據將進行第二次加密。通過線路解密完成後，在目的地，數據將以加密格式存儲，該格式使用目的地的加密密鑰進行加密。

鞫：在來源和目的地中啟用加密時，兩者的密碼片語是否必須相同？
答：如果設定的複製是集合複寫 （CREPL），則密碼必須相同。針對其他類型的複製 （如 MREPL、MFR），密碼片語的來源和目的地可能有所不同。

鞫：在目標上啟用加密（問題不適用於 CREPL），複製的數據和其他存取點（例如通過本地備份）的數據是否都已加密？有沒有辦法在副本上將兩者分開，其中只有複製的目錄被加密，而其他訪問不被加密？
答：否，所有數據都在副本（目標）處加密，無論入口點如何。不能只在 MTree 或目錄層級粒度上啟用或停用加密。

問題：如何在 MREPL 或 MFR 期間，來源和目的地之間的金鑰交換進行？
答：在複製的關聯階段，目標計算機將其當前加密演演演算法和密鑰資訊安全地傳輸到源。複製上下文始終使用共用機密進行身份驗證。該共用金鑰用於使用 Diffie-Hellman 金鑰交換協定建立「會話」金鑰。該工作階段金鑰可用於加密和解密 Data Domain 系統加密金鑰。

鞫：Data Domain 的加密複製流量功能使用哪種類型的加密演算法？
答：當複製驗證模式設為「單向」或「雙向」時，會使用 DHE （Ephemeral Diffie-Hellman） 進行工作階段金鑰交換。伺服器驗證使用 RSA 進行。AES 256 位 GCM 密碼用於通過線路封裝複製的數據。加密封裝層落在目的地系統上時，會立即移除。 

「單向」表示僅對目的地憑證進行認證。有兩種方式表示源證書和目標證書都已驗證。必須先建立相互信任，然後才能使用身份驗證模式，並且連接的雙方都必須啟用此功能才能繼續加密。

當複製身份驗證模式設置為「匿名」時，匿名 Diffie-Hellman （ADH） 用於會話密鑰交換，但在這種情況下，源和目標不會在密鑰交換之前相互身份驗證。此外，如果未指定身份驗證模式，則使用匿名作為預設值。

鞫：無需重新啟動檔案系統即可進行金鑰輪換，是否適用於各種複製？
答：不用重新啟動檔案系統的金鑰輪替適用於各種複寫，除了 DREPL （DREPL 支援已結束） 和 delta 複寫 （又稱為 LBO）

問：在沒有證書或 PKI 金鑰對的情況下，在金鑰交換期間如何保護目標的加密金鑰？
答：所有 Data Domain 複寫配對之間都有一個共用金鑰，可透過 Diffie-Hellman 金鑰交換建立共用工作階段金鑰。該共用金鑰用於加密目標的加密金鑰。

用於複製身份驗證的共用密鑰與使用 Diffie-Hellman 金鑰交換協定分配的共用會話密鑰之間存在差異。用於複寫驗證的共用金鑰，會在兩個 Data Domain 系統第一次想要建立複寫內容時，由 Data Domain 軟體建立。它也通過使用代碼中嵌入的參數交換的Diffie-Hellman達成一致。這會持續儲存在系統中，以驗證兩個系統之間的每個複寫工作階段。複製會話金鑰（用於加密目標加密金鑰的金鑰）是使用另一個 Diffie-Hellman 交換與先前建立的共用金鑰建立的，從而驅動安全金鑰交換協定。此金鑰不是永久性的，僅在複製上下文處於活動狀態時存在。

鞫：複寫配對的兩個 Data Domain 是否必須使用相同的外部金鑰管理員 （例如 KMIP 金鑰管理員） 解決方案，或其中一個系統是否可以使用外部金鑰管理員，而另一個系統可以使用嵌入式金鑰管理員？
答：除了集合複製對之外，複製對中的兩個系統不必使用相同的密鑰管理器。

使用集合複寫時，兩個 Data Domain 系統必須使用相同的金鑰管理程式進行設定。但在這種情況下，唯一的來源是將金鑰與金鑰管理器同步，這些金鑰也會發送到目的地。對於其他複製類型，可以將不同的金鑰管理器用於源和目標。

加密與遷移

問題：啟用加密的系統是否支援資料遷移？
答：是，啟用加密的系統支援資料遷移。在啟動資料遷移之前，來源和目的地系統上的加密組態必須符合為必要條件。在開始遷移之前，也建議您匯出並備份來源系統上的加密金鑰，以達 DIA 之用。

鞫：在啟用加密的系統上，主動層和雲端層遷移是否都支援資料遷移？
答：是，啟用加密的系統，主動式層和雲端層遷移皆支援資料遷移。檢查的先決條件屬性清單是根據啟用了加密的層應用的。

鞫：哪些加密設置會保留為遷移的一部分？
答：加密資料和加密金鑰會按原樣遷移，但加密金鑰管理員、系統密碼和其他加密組態等設定必須手動驗證和配對，才能成功遷移資料。任何現有的金鑰管理員證書也會傳輸到目標系統。遷移後，必須在目的地系統上重新設定加密金鑰管理員組態。

鞫：遷移期間，來源和目的地之間會執行哪些加密相容性檢查？
答：系統密碼片語、加密狀態和金鑰管理員組態詳細資料、系統 FIPS 模式設定是來源和目的地系統上的一些加密設定，才能成功遷移。此 KB 文章 183040，Data Domain：適用於支援雲端的 DD 系統的遷移程序 （需要登入 Dell 支援以檢視文章），詳述在啟用雲端的系統之間進行遷移的步驟。相同的設置也適用於僅主動層遷移。

鞫：是否支援在啟用加密停用專案設定的系統之間進行遷移？
答：如果兩個系統均為 EDP 或均為非 EDP，則支援在兩個系統之間進行資料遷移。如果明確關閉在線加密，則允許數據從 EDP 系統遷移到非 EDP 系統。（使用 MIGRATION_ENCRYPTION sysparam）

雲端層中的加密 

問題：雲端分層是否支援加密？
答：是的，雲端分層支援加密。默認情況下，雲層中的加密處於禁用狀態。「cloud enable」命令提示 以選擇是否要在雲端層

上啟用加密鞫：雲端分層是否支援 KMIP 和外部金鑰管理程式？
答：是，從 DDOS 7.8 （含） 開始的雲端分層支援 KMIP 和外部金鑰管理員。

鞫：可以在雲中以什麼粒度啟用加密？
答：可以分別在每個雲單元和每個層上啟用和禁用加密。

鞫：雲單元是否具有獨立金鑰？
答：否，DD 中的使用中層和雲端層皆適用金鑰管理。啟用加密時，金鑰會複製到個別的裝置/層/cp。如果在使用中而非雲端上啟用加密，則使用中階層金鑰不會反映在雲端上，反之亦然。這也適用於雲端裝置。（例如：CP1 已啟用加密，而 CP2 未啟用加密，則 CP1 金鑰不會反映在 CP2 上。

問題：是否可以在雲中刪除金鑰？
答：否，不支援從雲中刪除金鑰。

鞫：雲端裝置的資料加密金鑰由何處管理？
答：金鑰與 cp 相關聯，而每個雲端裝置都是不同的 cp。所有 cps 的金鑰複本都儲存在使用中的 cp 中。

鞫：如何在災難恢復期間恢復雲密鑰？
答案：在 CP 復原過程中，cpnameval 會鏡像至雲端，加密金鑰將會復原至 cpnameval。現在，我們必須執行ddr_key_util工具來還原金鑰

注意：災難恢復需要客戶支持干預。

鞫：只有在雲端分層中啟用加密時，是否可以移動資料？
答：否，我們必須在雲端和使用中層中啟用加密以移動資料。

鞫：是否可以啟用雲端層上的外部金鑰管理員？
答：是的，可以在雲端層上啟用外部金鑰管理員。7.8 （含） 以上版本支援此功能。就外部金鑰管理員而言，除銷毀或刪除對作用層有效的金鑰外，所有作業也對雲端層有效。 

加密與垃圾收集

問題：全域清理程序在「待用加密」中扮演什麼角色？第一次啟用加密時是否會對效能造成影響？
答：首次啟用待用資料加密會影響全域清理的效能。這是因為必須從現有容器 或磁碟讀取並寫入至新容器的資料 可能需要先讀取、解密並解壓縮 才能再重新壓縮、加密 並寫入回磁碟在保留大量預先存在資料的 DD 上啟用加密，並執行「filesys encryption apply-changes」命令時，後續的全域清理週期會嘗試加密系統上的所有現有資料。這意味著所有數據都必須被讀取、未壓縮、壓縮、加密並寫入磁碟。因此，在執行「filesys encryption apply-changes」後的第一次全域清理週期可能會花費比一般更長的時間。客戶應確定他們的 DD 系統有足夠的可用空間 以完整執行清理 不會使 DD 系統填滿 （否則備份會失敗）。

鞫：正在進行的引入/還原清理週期是否會影響性能？
答：是的，存在性能影響，影響通常取決於在清理週期之間引入/還原的數據量。

鞫：加密現有數據需要多長時間？
使用此 KB 文章來預估時間，Data Domain：計算套用待用加密所需的時間。

加密和換用機頭 

問題：如果磁頭故障，客戶是否可以將磁碟移至另一個 Data Domain 系統，並在啟用加密時存取磁碟？
答：加密金鑰不會與 Data Domain 系統頭像本身綁定，因此您可以將磁碟移至另一個 Data Domain 系統頭像，且可在那裡存取金鑰。在新的 Data Domain 系統頭上，檔案系統已鎖定，因此您必須使用「filesys encryption unlock」命令輸入密碼片語。

問題：如果客戶在換用機頭操作時忘記了密碼，該怎麼辦？
答：在這段時間內，他們可以連接舊頭並與支援人員一起重設密碼片語，然後再連接回新頭並完成換用頭程序。 

加密效能

問題：觀察到使用加密時，觀察到對儲存裝置耗用量有何影響？
答：它可以忽略不計，與存儲用戶數據的某些加密參數相關的開銷約為 1%。

鞫：使用閒置資料加密時，觀察到的對輸送量 （寫入和讀取） 有何影響？
答：使用加密時對引入輸送量的影響可能因協議和平臺而異。通常，以下百分比是聚合輸送量中的保守性能下降：

CBC 模式
優先完整：寫入增量時效能下降
~10%：寫入
還原時效能下降 ~5%：讀取

GCM 模式
第一次完整時效能下降 5 - 20%：10 - 20% 效能下降 （寫入
增量）：5 -10% 的寫入
還原效能下降：讀取效能下降 5 - 20%

這些數位特定於靜態資料加密的開銷（通過線控加密單獨計算）
 

最佳實務

問題：金鑰輪替原則的最佳實務為何？
答：默認情況下不啟用自動金鑰輪換策略。客戶已啟用。建議您經常輪換加密金鑰。當系統配置了外部 KMIP 金鑰管理器時，建議經常輪換密鑰以處理將來的任何密鑰洩露情況。當 KMIP 設定為雲端層時，建議的金鑰輪替間隔為 1 週;如果僅使用中層設定 KMIP，則建議的金鑰輪替原則為 1 個月。但根據消化速率，客戶也可以增加或減少金鑰輪替頻率。如果已設定內嵌金鑰管理器，則建議採用介於 1 至 3 個月之間的金鑰輪替原則。

問題：如果客戶對許多 DD 系統使用相同的 KMIP 伺服器，KMIP 金鑰類別的最佳做法是什麼？
答：建議在各個 DD 系統使用相同的 KMIP 伺服器時，為其設定個別的金鑰類別。如此一來，在一個 DDOS 系統中完成的金鑰輪替，不會影響其他 DDOS 系統中存在的金鑰狀態。

如需更多資訊，請參閱文件 DELL EMC PowerProtect DD 系列應用裝置：加密軟體 （delltechnologies.com）

加密：技術白皮書 PowerProtect DD 系列應用裝置：加密軟體

如需其他與 DD Encryption 相關的說明文件 （管理員指南、命令參考指南和安全性組態指南），請參閱文章 126375、PowerProtect 和 Data Domain 核心文件。

KMIP 整合指南和相容性比較表

觀看本影片：