Avamar – Forståelse af kryptering-at-rest-funktionalitet
Summary: Denne artikel diskuterer aspekter af Avamars kryptering-at-rest-funktionalitet, herunder dens formål og forbehold. De interne afsnit i denne artikel, som kun er tilgængelig for Dells medarbejdere og partnere, forklarer, hvordan den konfigureres. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Formålet med denne artikel er at diskutere brugen af kryptering-at-rest på en Avamar-server.
Dette er en avanceret funktion, og det forudsætter, at du har erfaring med regelmæssige Avamar-kommandoer, der bruges til systemvedligeholdelse og supportaktiviteter. Ellers skal du ikke fortsætte. Kontakt en passende kvalificeret person.
Det tekniske tillæg til Avamar dokumenterer kommandoen "avmaint atrestencryption", men beskriver ikke, hvordan den implementeres sikkert på et Avamar-produktionssystem.
Denne artikel beskriver implementeringen og besvarer nogle almindelige spørgsmål vedrørende kryptering i hvile.
Disse deduplikerede ('atomiske') datastykker skrives til .dat filer. Metadata og indeksdata skrives til andre stripe-filer (.inx, .chd, .cdt osv.).
Denne proces 'makulerer' backupdataene, da de er brudt op i små stykker og spredt rundt i systemet.
Selvom hele filer ikke kan læses, er det muligt at se fragmenter af filer. Hvis vi kører 'strenge' på en datastribe, kan stykker af almindelige tekstdata være synlige.
Nedenfor er et eksempel fra en enkelt node Avamar:
1. Hvilket problem løser kryptering-at-rest?
Kryptering-at-rest krypterer de datastriber, der indeholder brugerens sikkerhedskopieringsdata.
Når aktiveret, hvis nogen stjal Avamar eller dets diskdrev, skulle de dekryptere dataene, før de kunne læses.
Inaktiv kryptering forhindrer en person med adgang til Avamar-programmet eller på OS-niveau i at logge på Avamar-systemet og gendanne data. Dette er muligt ved hjælp af brugergrænsefladen eller ved at køre avtar-kommandoer og gendanne filer i GSAN til hjælpeprogramnoden.
2. Hvornår kan kryptering-at-rest aktiveres?
Kryptering i hvile kan aktiveres under installationsworkflowet, så den er i kraft fra begyndelsen af Avamar-serverens levetid.
Under denne proces beder installationsprogrammet om et salt og en adgangskode til kryptering-at-rest. Hvis der er angivet et salt og en adgangskode, er funktionen aktiveret.
Når et system er blevet initialiseret, kan aktivering af inaktiv kryptering aktiveres. Kørsel af avmaint-kommandoen efter initialisering påvirker dog kun nyoprettede datastriber og datastriber, der senere knuses.
Selvom vi kan være sikre på, at crunching i sidste ende forekommer på hver ukrypteret stribe, kan vi ikke garantere det. Stripes, der oprettes, før kryptering i hvile aktiveres, forbliver muligvis ukrypterede i lang tid. Nogle gange, muligvis for evigt.
Der er f.eks. en mulighed for, at Avamar kan fylde en stribe med statiske data (f.eks. MCS-flushes, der indeholder følsomme oplysninger som f.eks. værtsnavne). Hvis denne stribe aldrig ændres, gennemgår den aldrig affaldsindsamling eller knusning og bliver aldrig krypteret.
Aktivér derfor kun kryptering-at-rest som en del af installationsworkflowet.
3. Indirekte ydeevne ved brug af kryptering i hvile
Et almindeligt spørgsmål er "Hvorfor skal diskreadonly-grænsen sænkes på systemer, der er indstillet med encryption-at-rest?"
Kryptering og dekryptering af alle de striber, der er gemt i en Avamar GSAN, kræver en hel del ekstra arbejde, der skal udføres af storagenoder.
Ingeniører har observeret, at de ekstra behandlingsomkostninger, der kræves, er op til 50% mere end et system, hvor kryptering-at-rest ikke er aktiveret.
På Avamar, hvor kryptering i hvile er aktiveret, SKALgrænsen for diskreadonly derfor reduceres fra standard 65 % ned til 40 %. Det betyder, at der kræves 1,5 gange så mange noder for at gemme den samme mængde data som en, hvis striber ikke er krypteret.
Dette er for at sikre, at acceptabel ydeevne og pålidelighed opretholdes.
4. Kan kryptering-at-rest deaktiveres?
Når kryptering i hvile er blevet aktiveret på et Avamar-system, kan det ikke deaktiveres, kun krypteringssaltene kan ændres.
5. Sådan demonstrerer du, at kryptering-at-rest er aktiveret.
På et Avamar-system, hvor kryptering-at-rest er aktiveret, bør du se output, der ligner følgendeavmaint-nodeliste --xmlperline=9999 | grep atrestencryption
Oplysninger svarende til følgende vises i kommandoen shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" angiver, at kryptering i hvile er aktiveret.
enabled="false" nr-salts="0" angiver, at kryptering i hvile ikke er aktiveret.
Eksempel:-
Dette er en avanceret funktion, og det forudsætter, at du har erfaring med regelmæssige Avamar-kommandoer, der bruges til systemvedligeholdelse og supportaktiviteter. Ellers skal du ikke fortsætte. Kontakt en passende kvalificeret person.
Det tekniske tillæg til Avamar dokumenterer kommandoen "avmaint atrestencryption", men beskriver ikke, hvordan den implementeres sikkert på et Avamar-produktionssystem.
Denne artikel beskriver implementeringen og besvarer nogle almindelige spørgsmål vedrørende kryptering i hvile.
- Hvilket problem løser kryptering-at-rest?
- Hvornår kan kryptering-at-rest aktiveres?
- Indirekte ydeevne ved brug af kryptering i hvile
- Kan kryptering-at-rest deaktiveres?
- Procedure til aktivering af inaktiv kryptering (kun tilgængelig for Dells interne personale og partnere)
- Sådan demonstrerer du, at kryptering i hvile er aktiveret
Disse deduplikerede ('atomiske') datastykker skrives til .dat filer. Metadata og indeksdata skrives til andre stripe-filer (.inx, .chd, .cdt osv.).
Denne proces 'makulerer' backupdataene, da de er brudt op i små stykker og spredt rundt i systemet.
Selvom hele filer ikke kan læses, er det muligt at se fragmenter af filer. Hvis vi kører 'strenge' på en datastribe, kan stykker af almindelige tekstdata være synlige.
Nedenfor er et eksempel fra en enkelt node Avamar:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Da datablokkene kan indeholde e-mail-adresser, IP-adresser, værtsnavne eller andre følsomme oplysninger, anser nogle dette for at være en uacceptabel sikkerhedsrisiko.
1. Hvilket problem løser kryptering-at-rest?
Kryptering-at-rest krypterer de datastriber, der indeholder brugerens sikkerhedskopieringsdata.
Når aktiveret, hvis nogen stjal Avamar eller dets diskdrev, skulle de dekryptere dataene, før de kunne læses.
Inaktiv kryptering forhindrer en person med adgang til Avamar-programmet eller på OS-niveau i at logge på Avamar-systemet og gendanne data. Dette er muligt ved hjælp af brugergrænsefladen eller ved at køre avtar-kommandoer og gendanne filer i GSAN til hjælpeprogramnoden.
2. Hvornår kan kryptering-at-rest aktiveres?
Kryptering i hvile kan aktiveres under installationsworkflowet, så den er i kraft fra begyndelsen af Avamar-serverens levetid.
Under denne proces beder installationsprogrammet om et salt og en adgangskode til kryptering-at-rest. Hvis der er angivet et salt og en adgangskode, er funktionen aktiveret.
Når et system er blevet initialiseret, kan aktivering af inaktiv kryptering aktiveres. Kørsel af avmaint-kommandoen efter initialisering påvirker dog kun nyoprettede datastriber og datastriber, der senere knuses.
Selvom vi kan være sikre på, at crunching i sidste ende forekommer på hver ukrypteret stribe, kan vi ikke garantere det. Stripes, der oprettes, før kryptering i hvile aktiveres, forbliver muligvis ukrypterede i lang tid. Nogle gange, muligvis for evigt.
Der er f.eks. en mulighed for, at Avamar kan fylde en stribe med statiske data (f.eks. MCS-flushes, der indeholder følsomme oplysninger som f.eks. værtsnavne). Hvis denne stribe aldrig ændres, gennemgår den aldrig affaldsindsamling eller knusning og bliver aldrig krypteret.
Aktivér derfor kun kryptering-at-rest som en del af installationsworkflowet.
3. Indirekte ydeevne ved brug af kryptering i hvile
Et almindeligt spørgsmål er "Hvorfor skal diskreadonly-grænsen sænkes på systemer, der er indstillet med encryption-at-rest?"
Kryptering og dekryptering af alle de striber, der er gemt i en Avamar GSAN, kræver en hel del ekstra arbejde, der skal udføres af storagenoder.
Ingeniører har observeret, at de ekstra behandlingsomkostninger, der kræves, er op til 50% mere end et system, hvor kryptering-at-rest ikke er aktiveret.
På Avamar, hvor kryptering i hvile er aktiveret, SKALgrænsen for diskreadonly derfor reduceres fra standard 65 % ned til 40 %. Det betyder, at der kræves 1,5 gange så mange noder for at gemme den samme mængde data som en, hvis striber ikke er krypteret.
Dette er for at sikre, at acceptabel ydeevne og pålidelighed opretholdes.
4. Kan kryptering-at-rest deaktiveres?
Når kryptering i hvile er blevet aktiveret på et Avamar-system, kan det ikke deaktiveres, kun krypteringssaltene kan ændres.
5. Sådan demonstrerer du, at kryptering-at-rest er aktiveret.
På et Avamar-system, hvor kryptering-at-rest er aktiveret, bør du se output, der ligner følgendeavmaint-nodeliste --xmlperline=9999 | grep atrestencryption
Oplysninger svarende til følgende vises i kommandoen shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" angiver, at kryptering i hvile er aktiveret.
enabled="false" nr-salts="0" angiver, at kryptering i hvile ikke er aktiveret.
Eksempel:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
På et system, hvor kryptering-at-rest udføres ved initialisering, eller før der oprettes striber, når striber er oprettet og krypteret, indeholder de kun volapyk, hvis vi prøver at læse dem ved hjælp af kommandoen 'strings' som tidligere.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Ofte stillede spørgsmål:
Hvordan skal Griffin-systemer (Avamar/DataDomain-kombinationen) konfigureres med funktionen?
Både Avamar og Data Domain skal konfigureres med kryptering i hvile separat.
Dell EMC Data Domain Encryption – Ofte stillede spørgsmål
Gælder 40 % diskreadonly-niveauet stadig for den nyeste Avamar Datastore-hardware?
Engineering blev konsulteret om dette i september 2016. Indstillingen 40 % diskreadonly gælder for den nyeste hardware (Gen4T). Produktstyring overvejer anmodningen, men har ingen planer om at revurdere grænsen.
Hvis en kunde har et replikerende par Avamar-servere, skal begge systemer så konfigureres med E.A.R?
Nej, hvert system er uafhængigt. Når data på et krypteret system replikeres til en ikke-krypteret Avamar, opretter målsystemet ukrypterede striber.
På samme måde, hvis en ukrypteret Avamar replikerer data til et krypteret system, skrives sikkerhedskopierne til krypterede striber.
Kan kryptering-at-rest deaktiveres, når den er aktiveret?
Nej. For at opnå dette skal dataene replikeres til en Avamar-server, hvor kryptering i hvile ikke er indstillet.
Hvis en kunde har et replikerende par Avamar-servere, skal begge systemer så konfigureres med E.A.R?
Nej, hvert system er uafhængigt. Når data på et krypteret system replikeres til en ikke-krypteret Avamar, opretter målsystemet ukrypterede striber.
På samme måde, hvis en ukrypteret Avamar replikerer data til et krypteret system, skrives sikkerhedskopierne til krypterede striber.
Kan kryptering-at-rest deaktiveres, når den er aktiveret?
Nej. For at opnå dette skal dataene replikeres til en Avamar-server, hvor kryptering i hvile ikke er indstillet.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.