Avamar – Tietoja salauksen käytöstä levossa
Summary: Tässä artikkelissa käsitellään Avamarin lepotilassa olevan salaustoiminnon näkökohtia, kuten sen tarkoitusta ja varoituksia. Tämän artikkelin sisäisissä osissa, jotka ovat vain Dellin henkilökunnan ja kumppaneiden käytettävissä, selitetään, miten se määritetään. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Tämän artikkelin tarkoituksena on käsitellä levossa olevan salauksen käyttöä Avamar-palvelimessa.
Tämä on edistynyt ominaisuus, joka edellyttää, että olet kokenut käyttämään tavallisia Avamar-komentoja, joita käytetään järjestelmän ylläpitoon ja tukitoimiin. Muussa tapauksessa älä jatka. Ota yhteyttä asianmukaisesti ammattitaitoiseen henkilöön.
Avamarin teknisessä lisäyksessä dokumentoidaan avmaint atrestencryption -komento, mutta siinä ei kuvata, miten se voidaan ottaa turvallisesti käyttöön Avamar-tuotantojärjestelmässä.
Tässä artikkelissa kuvataan käyttöönotto ja vastataan joihinkin yleisiin salausta koskeviin kysymyksiin.
Nämä deduplikoidut ("atomiset") tietopalat kirjoitetaan .dat tiedostoihin. Metatiedot ja indeksitiedot kirjoitetaan muihin raitatiedostoihin (.inx, .chd, .cdt ja niin edelleen).
Tämä prosessi "silppuaa" varmuuskopiotiedot, koska ne pilkotaan pieniksi paloiksi ja hajallaan ympäri järjestelmää.
Vaikka kokonaisia tiedostoja ei voi lukea, on mahdollista tarkastella tiedostojen fragmentteja. Jos suoritamme merkkijonoja tietoraidalla, tekstimuotoisia tietoja voi olla näkyvissä.
Alla on esimerkki yhdestä Avamar-solmusta:
1. Minkä ongelman levossa oleva salaus ratkaisee?
Levossa oleva salaus salaa tietoraidat, jotka sisältävät käyttäjän varmuuskopiotiedot.
Jos käyttöönoton jälkeen joku varasti Avamarin tai sen levyasemat, tietojen salaus on purettava, ennen kuin niitä voidaan lukea.
Levossa oleva salaus estää henkilöä, jolla on Avamar-sovelluksen tai käyttöjärjestelmätason käyttöoikeus, kirjautumasta Avamar-järjestelmään ja palauttamasta tietoja. Tämä on mahdollista käyttöliittymän avulla tai suorittamalla avtar-komentoja ja palauttamalla tiedostot GSANissa apusolmuun.
2. Milloin levossa oleva salaus voidaan ottaa käyttöön?
Lepotilassa oleva salaus voidaan ottaa käyttöön asennuksen aikana niin, että se on voimassa Avamar-palvelimen käyttöiän alusta alkaen.
Tämän prosessin aikana asennusohjelma pyytää suolaa ja salasanaa levossa olevaa salausta varten. Jos suola ja salasana on määritetty, ominaisuus otetaan käyttöön.
Kun järjestelmä on alustettu, sen käyttöönotto levossa voidaan ottaa käyttöön. Avmaint-komennon suorittaminen alustuksen jälkeen vaikuttaa kuitenkin vain äskettäin luotuihin tietojen lomituksiin ja tietojen raidoituksiin, jotka myöhemmin murskataan.
Vaikka voimme olla varmoja siitä, että rutistus tapahtuu lopulta jokaisella salaamattomalla raidalla, emme voi taata sitä. Ennen levossa olevan salauksen käyttöönottoa luodut raidat saattavat pysyä salaamattomina pitkään. Joskus, mahdollisesti ikuisesti.
Avamar saattaa esimerkiksi täyttää raidan staattisilla tiedoilla (kuten MCS-aalloilla, jotka sisältävät arkaluonteisia tietoja, kuten isäntänimiä). Jos raita ei koskaan muutu, sitä ei koskaan kerätä roskia tai murskata eikä sitä koskaan salata.
Ota siksi käyttöön vain lepotilassa oleva salaus asennuksen työnkulun osana.
3. Lepotilassa
tapahtuvan salauksen käytön yleiskustannuksetYleinen kysymys kuuluu, miksi levylukurajoitusta on alennettava järjestelmissä, joissa on käytössä salattu lepotilassa.
Kaikkien Avamar GSAN -järjestelmään tallennettujen raitojen salaaminen ja salauksen purkaminen vaatii tallennussolmuilta paljon lisätyötä.
Tekninen osasto on havainnut, että tarvittava ylimääräinen käsittelykustannus on jopa 50 % suurempi kuin järjestelmässä, jossa salaus lepotilassa ei ole käytössä.
Tämän vuoksi Avamarissa, jossa tallennettu salaus on käytössä, diskreadonly-rajoitusta TÄYTYYpienentää oletusarvoisesta 65 %:sta 40 %:iin. Tämä tarkoittaa, että saman datamäärän tallentamiseen tarvitaan 1,5 kertaa solmuja enemmän kuin solmuja, joiden raidat eivät ole salattuja.
Näin varmistetaan, että hyväksyttävä suorituskyky ja luotettavuus säilyvät.
4. Voiko lepotilassa olevan salauksen poistaa käytöstä?
Kun levossa oleva salaus on otettu käyttöön Avamar-järjestelmässä, sitä ei voi poistaa käytöstä, vaan ainoastaan salaussuolat voidaan vaihtaa.
5. Lepotilassa tapahtuvan salauksen käyttöönoton osoittaminen.
Avamar-järjestelmässä, jossa lepotilassa tapahtuva salaus on otettu käyttöön, tuloksen pitäisi olla seuraavan kaltainen
:avmaint nodelist --xmlperline=9999 | grep atrestencryption
Seuraavanlaiset tiedot näkyvät komennossa shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" ilmaisee, että levossa oleva salaus on käytössä.
enabled="false" nr-salts="0" tarkoittaa, että levossa olevan toiminnon salaus ei ole käytössä.
Esimerkki:-
Tämä on edistynyt ominaisuus, joka edellyttää, että olet kokenut käyttämään tavallisia Avamar-komentoja, joita käytetään järjestelmän ylläpitoon ja tukitoimiin. Muussa tapauksessa älä jatka. Ota yhteyttä asianmukaisesti ammattitaitoiseen henkilöön.
Avamarin teknisessä lisäyksessä dokumentoidaan avmaint atrestencryption -komento, mutta siinä ei kuvata, miten se voidaan ottaa turvallisesti käyttöön Avamar-tuotantojärjestelmässä.
Tässä artikkelissa kuvataan käyttöönotto ja vastataan joihinkin yleisiin salausta koskeviin kysymyksiin.
- Minkä ongelman levossa oleva salaus ratkaisee?
- Milloin levossa oleva salaus voidaan ottaa käyttöön?
- Lepotilassa tapahtuvan salauksen käytön yleiskustannukset
- Voiko lepotilassa olevan salauksen poistaa käytöstä?
- Lepotilassa tapahtuvan salauksen käyttöönotto (vain Dellin sisäisen henkilöstön ja kumppaneiden käytettävissä)
- Lepotilassa tapahtuvan salauksen käyttöönoton osoittaminen
Nämä deduplikoidut ("atomiset") tietopalat kirjoitetaan .dat tiedostoihin. Metatiedot ja indeksitiedot kirjoitetaan muihin raitatiedostoihin (.inx, .chd, .cdt ja niin edelleen).
Tämä prosessi "silppuaa" varmuuskopiotiedot, koska ne pilkotaan pieniksi paloiksi ja hajallaan ympäri järjestelmää.
Vaikka kokonaisia tiedostoja ei voi lukea, on mahdollista tarkastella tiedostojen fragmentteja. Jos suoritamme merkkijonoja tietoraidalla, tekstimuotoisia tietoja voi olla näkyvissä.
Alla on esimerkki yhdestä Avamar-solmusta:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Koska tieto-osat voivat sisältää sähköpostiosoitteita, IP-osoitteita, isäntänimiä tai muita arkaluonteisia tietoja, jotkut pitävät tätä turvallisuusriskinä, jota ei voida hyväksyä.
1. Minkä ongelman levossa oleva salaus ratkaisee?
Levossa oleva salaus salaa tietoraidat, jotka sisältävät käyttäjän varmuuskopiotiedot.
Jos käyttöönoton jälkeen joku varasti Avamarin tai sen levyasemat, tietojen salaus on purettava, ennen kuin niitä voidaan lukea.
Levossa oleva salaus estää henkilöä, jolla on Avamar-sovelluksen tai käyttöjärjestelmätason käyttöoikeus, kirjautumasta Avamar-järjestelmään ja palauttamasta tietoja. Tämä on mahdollista käyttöliittymän avulla tai suorittamalla avtar-komentoja ja palauttamalla tiedostot GSANissa apusolmuun.
2. Milloin levossa oleva salaus voidaan ottaa käyttöön?
Lepotilassa oleva salaus voidaan ottaa käyttöön asennuksen aikana niin, että se on voimassa Avamar-palvelimen käyttöiän alusta alkaen.
Tämän prosessin aikana asennusohjelma pyytää suolaa ja salasanaa levossa olevaa salausta varten. Jos suola ja salasana on määritetty, ominaisuus otetaan käyttöön.
Kun järjestelmä on alustettu, sen käyttöönotto levossa voidaan ottaa käyttöön. Avmaint-komennon suorittaminen alustuksen jälkeen vaikuttaa kuitenkin vain äskettäin luotuihin tietojen lomituksiin ja tietojen raidoituksiin, jotka myöhemmin murskataan.
Vaikka voimme olla varmoja siitä, että rutistus tapahtuu lopulta jokaisella salaamattomalla raidalla, emme voi taata sitä. Ennen levossa olevan salauksen käyttöönottoa luodut raidat saattavat pysyä salaamattomina pitkään. Joskus, mahdollisesti ikuisesti.
Avamar saattaa esimerkiksi täyttää raidan staattisilla tiedoilla (kuten MCS-aalloilla, jotka sisältävät arkaluonteisia tietoja, kuten isäntänimiä). Jos raita ei koskaan muutu, sitä ei koskaan kerätä roskia tai murskata eikä sitä koskaan salata.
Ota siksi käyttöön vain lepotilassa oleva salaus asennuksen työnkulun osana.
3. Lepotilassa
tapahtuvan salauksen käytön yleiskustannuksetYleinen kysymys kuuluu, miksi levylukurajoitusta on alennettava järjestelmissä, joissa on käytössä salattu lepotilassa.
Kaikkien Avamar GSAN -järjestelmään tallennettujen raitojen salaaminen ja salauksen purkaminen vaatii tallennussolmuilta paljon lisätyötä.
Tekninen osasto on havainnut, että tarvittava ylimääräinen käsittelykustannus on jopa 50 % suurempi kuin järjestelmässä, jossa salaus lepotilassa ei ole käytössä.
Tämän vuoksi Avamarissa, jossa tallennettu salaus on käytössä, diskreadonly-rajoitusta TÄYTYYpienentää oletusarvoisesta 65 %:sta 40 %:iin. Tämä tarkoittaa, että saman datamäärän tallentamiseen tarvitaan 1,5 kertaa solmuja enemmän kuin solmuja, joiden raidat eivät ole salattuja.
Näin varmistetaan, että hyväksyttävä suorituskyky ja luotettavuus säilyvät.
4. Voiko lepotilassa olevan salauksen poistaa käytöstä?
Kun levossa oleva salaus on otettu käyttöön Avamar-järjestelmässä, sitä ei voi poistaa käytöstä, vaan ainoastaan salaussuolat voidaan vaihtaa.
5. Lepotilassa tapahtuvan salauksen käyttöönoton osoittaminen.
Avamar-järjestelmässä, jossa lepotilassa tapahtuva salaus on otettu käyttöön, tuloksen pitäisi olla seuraavan kaltainen
:avmaint nodelist --xmlperline=9999 | grep atrestencryption
Seuraavanlaiset tiedot näkyvät komennossa shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" ilmaisee, että levossa oleva salaus on käytössä.
enabled="false" nr-salts="0" tarkoittaa, että levossa olevan toiminnon salaus ei ole käytössä.
Esimerkki:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
Järjestelmässä, jossa salaus suoritetaan lepotilassa alustettaessa tai ennen raitojen luomista, kun raidat on luotu ja salattu, ne sisältävät vain siansaksaa, jos yritämme lukea niitä merkkijonokomennolla kuten aiemmin.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Usein kysytyt kysymykset:
Miten Griffin-järjestelmät (Avamar/DataDomain-yhdistelmä) tulisi konfiguroida ominaisuuden kanssa?
Avamar ja Data Domain on määritettävä käyttämään levossa olevaa salausta erikseen.
Dell EMC Data Domain Encryption – usein kysytyt kysymykset
Koskeeko 40 %:n diskreadonly-taso edelleen uusinta Avamar Datastore -laitteistoa?
Insinööriä kuultiin asiasta syyskuussa 2016. 40 %:n diskreadonly-asetus koskee uusinta laitteistoa (Gen4T). Tuotejohto harkitsee pyyntöä, mutta sillä ei ole suunnitelmia arvioida rajaa uudelleen.
Jos asiakkaalla on replikoituva Avamar-palvelinpari, molemmissa järjestelmissä on oltava E.A.R?
Ei, jokainen järjestelmä on itsenäinen. Kun salatun järjestelmän tiedot replikoidaan salaamattomaan Avamariin, kohdejärjestelmä luo salaamattomia raitoja.
Vastaavasti jos salaamaton Avamar replikoi tiedot salattuun järjestelmään, varmuuskopiot tallennetaan salatuille raidoille.
Kun käytössä oleva salaus on otettu käyttöön, voiko sen poistaa käytöstä?
Ei. Tätä varten tiedot on replikoitava Avamar-palvelimeen, jossa ei ole määritetty levossa salausta.
Jos asiakkaalla on replikoituva Avamar-palvelinpari, molemmissa järjestelmissä on oltava E.A.R?
Ei, jokainen järjestelmä on itsenäinen. Kun salatun järjestelmän tiedot replikoidaan salaamattomaan Avamariin, kohdejärjestelmä luo salaamattomia raitoja.
Vastaavasti jos salaamaton Avamar replikoi tiedot salattuun järjestelmään, varmuuskopiot tallennetaan salatuille raidoille.
Kun käytössä oleva salaus on otettu käyttöön, voiko sen poistaa käytöstä?
Ei. Tätä varten tiedot on replikoitava Avamar-palvelimeen, jossa ei ole määritetty levossa salausta.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.