Avamar – Principy funkce šifrování v klidu
Summary: Tento článek popisuje aspekty funkce šifrování v klidu v systému Avamar, včetně jejího účelu a upozornění. Postup konfigurace je vysvětlen v interních částech tohoto článku, který je k dispozici pouze zaměstnancům společnosti Dell a partnerům. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Účelem tohoto článku je probrat použití šifrování dat v klidu na serveru Avamar.
Jedná se o pokročilou funkci, která předpokládá, že máte zkušenosti s běžnými příkazy Avamar, které se používají při údržbě systému a činnostech podpory. V opačném případě nepokračujte. Poraďte se s příslušně kvalifikovanou osobou.
Technický dodatek Avamar dokumentuje příkaz „avmaint atrestencryption“, ale nepopisuje, jak jej bezpečně implementovat do produkčního systému Avamar.
Tento článek popisuje implementaci a odpovídá na některé běžné dotazy týkající se šifrování dat v klidu.
Tyto deduplikované („atomové“) bloky dat se zapisují do souborů .dat. Metadata a indexová data se zapisují do jiných prokládaných souborů (.inx, .chd, .cdt atd.).
Tento proces „skartuje“ zálohovaná data, protože jsou rozdělena na malé kousky a roztroušena po systému.
Přestože nelze číst celé soubory, je možné prohlížet fragmenty souborů. Pokud spustíme „řetězce“ na datovém prokládání, mohou být viditelné kousky dat ve formátu prostého textu.
Níže je uveden příklad z jednoho uzlu Avamar:
1. Jaký problém řeší šifrování v klidu?
Šifrování v klidu šifruje prokládání dat, která obsahují zálohovaná data uživatele.
Pokud by někdo po aktivaci ukradl software Avamar nebo jeho diskové jednotky, musel by data před čtením dešifrovat.
Šifrování v klidu zabraňuje uživatelům s přístupem na úrovni aplikace nebo operačního systému Avamar v přihlášení do systému Avamar a obnovení dat. To je možné pomocí uživatelského rozhraní nebo spuštěním příkazů avtar a obnovením souborů v rámci řešení GSAN do uzlu nástroje.
2. Kdy lze povolit šifrování dat v klidu?
Šifrování dat v klidu lze povolit během pracovního postupu instalace, aby platilo od začátku životnosti serveru Avamar.
Během tohoto procesu instalační program požádá o kryptografickou sůl a heslo pro šifrování v klidu. Pokud je zadána kryptografická sůl a heslo, je funkce povolena.
Po inicializaci systému lze povolit šifrování v klidu. Spuštění příkazu avmaint po inicializaci má však vliv pouze na nově vytvořené prokládání dat a prokládání dat, která jsou později zpracována úlohou crunching.
I když si můžeme být jisti, že k úloze crunching nakonec dojde na každém nezašifrovaném prokládání, nemůžeme to zaručit. Prokládání vytvořená před povolením šifrování v klidu mohou zůstat po dlouhou dobu nezašifrovaná. Někdy, možná navždy.
Existuje například možnost, že systém Avamar zaplní prokládání statickými daty (například vyprázdnění systému MCS, které obsahuje citlivé informace, jako jsou názvy hostitelů). Pokud se toto prokládání nikdy nezmění, nikdy neprojde procesem Garbage Collection nebo crunching a nikdy se nezašifruje.
Šifrování v klidu proto povolte pouze jako součást pracovního postupu instalace.
3. Režie výkonu při použití šifrování v klidu
Obvyklý dotaz: „Proč musí být limit diskreadonly snížen v systémech s nastaveným šifrováním v klidu?“
Šifrování a dešifrování všech prokládání uložených v systému Avamar GSAN vyžaduje velké množství další práce, kterou musí provést uzly úložiště.
Technický tým zjistil, že dodatečné požadované režijní náklady na zpracování jsou až o 50 % vyšší než u systému, kde šifrování v klidu není povoleno.
Proto u systému Avamar, kde je povoleno šifrování v klidu, MUSÍ být limit diskreadonly snížen z výchozích 65 % na 40 %. To znamená, že k uložení stejného množství dat jako u uzlu, jehož prokládání není šifrováno, je potřeba 1,5násobek počtu uzlů.
Je to proto, aby byl zajištěn přijatelný výkon a spolehlivost.
4. Lze zakázat šifrování v klidu?
Po povolení šifrování v klidu v systému Avamar jej nelze zakázat, lze pouze změnit šifrovací sůl.
5. Jak prokázat, že je povoleno šifrování v klidu.
V systému Avamar, kde bylo povoleno šifrování v klidu, by se měl zobrazit výstup podobný následujícímu
avmaint nodelist --xmlperline=9999 | grep atrestencryption
V příkazovém prostředí se zobrazí informace podobné těm následujícím:
<atrestencryption-status enabled="true" nr-salts="1"/>
Kde:
enabled="true" nr-salts="1" značí, že je povoleno šifrování v klidu. Část
enabled="false" nr-salts="0" značí, že šifrování v klidu není povoleno.
Příklad:
Jedná se o pokročilou funkci, která předpokládá, že máte zkušenosti s běžnými příkazy Avamar, které se používají při údržbě systému a činnostech podpory. V opačném případě nepokračujte. Poraďte se s příslušně kvalifikovanou osobou.
Technický dodatek Avamar dokumentuje příkaz „avmaint atrestencryption“, ale nepopisuje, jak jej bezpečně implementovat do produkčního systému Avamar.
Tento článek popisuje implementaci a odpovídá na některé běžné dotazy týkající se šifrování dat v klidu.
- Jaký problém řeší šifrování dat v klidu?
- Kdy lze povolit šifrování dat v klidu?
- Režie výkonu při použití šifrování dat v klidu
- Lze zakázat šifrování dat v klidu?
- Postup povolení šifrování v klidu (k dispozici pouze interním zaměstnancům a partnerům společnosti Dell)
- Jak prokázat, že je povoleno šifrování v klidu?
Tyto deduplikované („atomové“) bloky dat se zapisují do souborů .dat. Metadata a indexová data se zapisují do jiných prokládaných souborů (.inx, .chd, .cdt atd.).
Tento proces „skartuje“ zálohovaná data, protože jsou rozdělena na malé kousky a roztroušena po systému.
Přestože nelze číst celé soubory, je možné prohlížet fragmenty souborů. Pokud spustíme „řetězce“ na datovém prokládání, mohou být viditelné kousky dat ve formátu prostého textu.
Níže je uveden příklad z jednoho uzlu Avamar:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Vzhledem k tomu, že bloky dat mohou obsahovat e-mailové adresy, IP adresy, názvy hostitelů nebo jiné citlivé informace, někteří to považují za nepřijatelné bezpečnostní riziko.
1. Jaký problém řeší šifrování v klidu?
Šifrování v klidu šifruje prokládání dat, která obsahují zálohovaná data uživatele.
Pokud by někdo po aktivaci ukradl software Avamar nebo jeho diskové jednotky, musel by data před čtením dešifrovat.
Šifrování v klidu zabraňuje uživatelům s přístupem na úrovni aplikace nebo operačního systému Avamar v přihlášení do systému Avamar a obnovení dat. To je možné pomocí uživatelského rozhraní nebo spuštěním příkazů avtar a obnovením souborů v rámci řešení GSAN do uzlu nástroje.
2. Kdy lze povolit šifrování dat v klidu?
Šifrování dat v klidu lze povolit během pracovního postupu instalace, aby platilo od začátku životnosti serveru Avamar.
Během tohoto procesu instalační program požádá o kryptografickou sůl a heslo pro šifrování v klidu. Pokud je zadána kryptografická sůl a heslo, je funkce povolena.
Po inicializaci systému lze povolit šifrování v klidu. Spuštění příkazu avmaint po inicializaci má však vliv pouze na nově vytvořené prokládání dat a prokládání dat, která jsou později zpracována úlohou crunching.
I když si můžeme být jisti, že k úloze crunching nakonec dojde na každém nezašifrovaném prokládání, nemůžeme to zaručit. Prokládání vytvořená před povolením šifrování v klidu mohou zůstat po dlouhou dobu nezašifrovaná. Někdy, možná navždy.
Existuje například možnost, že systém Avamar zaplní prokládání statickými daty (například vyprázdnění systému MCS, které obsahuje citlivé informace, jako jsou názvy hostitelů). Pokud se toto prokládání nikdy nezmění, nikdy neprojde procesem Garbage Collection nebo crunching a nikdy se nezašifruje.
Šifrování v klidu proto povolte pouze jako součást pracovního postupu instalace.
3. Režie výkonu při použití šifrování v klidu
Obvyklý dotaz: „Proč musí být limit diskreadonly snížen v systémech s nastaveným šifrováním v klidu?“
Šifrování a dešifrování všech prokládání uložených v systému Avamar GSAN vyžaduje velké množství další práce, kterou musí provést uzly úložiště.
Technický tým zjistil, že dodatečné požadované režijní náklady na zpracování jsou až o 50 % vyšší než u systému, kde šifrování v klidu není povoleno.
Proto u systému Avamar, kde je povoleno šifrování v klidu, MUSÍ být limit diskreadonly snížen z výchozích 65 % na 40 %. To znamená, že k uložení stejného množství dat jako u uzlu, jehož prokládání není šifrováno, je potřeba 1,5násobek počtu uzlů.
Je to proto, aby byl zajištěn přijatelný výkon a spolehlivost.
4. Lze zakázat šifrování v klidu?
Po povolení šifrování v klidu v systému Avamar jej nelze zakázat, lze pouze změnit šifrovací sůl.
5. Jak prokázat, že je povoleno šifrování v klidu.
V systému Avamar, kde bylo povoleno šifrování v klidu, by se měl zobrazit výstup podobný následujícímu
avmaint nodelist --xmlperline=9999 | grep atrestencryption
V příkazovém prostředí se zobrazí informace podobné těm následujícím:
<atrestencryption-status enabled="true" nr-salts="1"/>
Kde:
enabled="true" nr-salts="1" značí, že je povoleno šifrování v klidu. Část
enabled="false" nr-salts="0" značí, že šifrování v klidu není povoleno.
Příklad:
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
V systému, kde se šifrování v klidu provádí při inicializaci nebo před vytvořením jakýchkoli prokládání, obsahují prokládání po vytvoření a zašifrování pouze hatmatilku, pokud se je pokusíme přečíst pomocí příkazu „strings“ jako dříve.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Často kladené dotazy:
Jak by měly být systémy Griffin (kombinace Avamar/DataDomain) s touto funkcí nakonfigurovány?
Systémy Avamar i Data Domain by měly být nakonfigurovány se šifrováním dat v klidu samostatně.
Dell EMC Data Domain Encryption – Často kladené dotazy
Platí 40% úroveň diskreadonly i pro nejnovější hardware datového úložiště Avamar?
V září 2016 byla tato záležitost konzultována s techniky. Nastavení 40 % diskreadonly platí pro nejnovější hardware (Gen4T). Produktový management žádost zvažuje, ale nemá v plánu limit přehodnotit.
Pokud má zákazník replikační pár serverů Avamar, musí být oba systémy nakonfigurovány s E.A.R?
Ne, každý systém je nezávislý. Při replikaci dat v šifrovaném systému do nešifrovaného systému Avamar vytvoří cílový systém nešifrované prokládání.
Podobně platí, že pokud nešifrovaný systém Avamar replikuje data do šifrovaného systému, zálohy se zapíšou do šifrovaného prokládání.
Lze po povolení zakázat šifrování dat v klidu?
Ne. Aby toho bylo dosaženo, musí být data replikována na server Avamar, kde není nastaveno šifrování dat v klidu.
Pokud má zákazník replikační pár serverů Avamar, musí být oba systémy nakonfigurovány s E.A.R?
Ne, každý systém je nezávislý. Při replikaci dat v šifrovaném systému do nešifrovaného systému Avamar vytvoří cílový systém nešifrované prokládání.
Podobně platí, že pokud nešifrovaný systém Avamar replikuje data do šifrovaného systému, zálohy se zapíšou do šifrovaného prokládání.
Lze po povolení zakázat šifrování dat v klidu?
Ne. Aby toho bylo dosaženo, musí být data replikována na server Avamar, kde není nastaveno šifrování dat v klidu.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.