Avamar - Inzicht in de functionaliteit voor versleuteling in rust
Summary: In dit artikel worden aspecten van de functionaliteit voor versleuteling-at-rest van Avamar besproken, inclusief het doel en de kanttekeningen. In de interne secties van dit artikel, dat alleen beschikbaar is voor medewerkers en partners van Dell, wordt uitgelegd hoe u dit kunt configureren. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Het doel van dit artikel is het gebruik van versleuteling-at-rest op een Avamar-server te bespreken.
Dit is een geavanceerde functie en veronderstelt dat u ervaring hebt met reguliere Avamar-opdrachten die worden gebruikt voor systeemonderhoud en supportactiviteiten. Ga anders niet verder. Raadpleeg een voldoende bekwaam persoon.
Het technische addendum van Avamar documenteert de opdracht "avmaint atrestencryption", maar beschrijft niet hoe deze veilig kan worden geïmplementeerd op een Avamar-productiesysteem.
In dit artikel wordt de implementatie beschreven en worden enkele veelgestelde vragen over versleuteling in rust beantwoord.
Deze gededupliceerde ('atomaire') databrokken worden weggeschreven naar .dat bestanden. Metagegevens en indexgegevens worden naar andere stripe-bestanden geschreven (.inx, .chd, .cdt enzovoort).
Dit proces 'versnippert' de back-updata, omdat deze in kleine stukjes worden opgesplitst en over het systeem worden verspreid.
Hoewel volledige bestanden niet kunnen worden gelezen, is het wel mogelijk om fragmenten van bestanden te bekijken. Als we 'strings' op een datastreep uitvoeren, kunnen er stukjes platte tekstgegevens zichtbaar zijn.
Hieronder ziet u een voorbeeld van Avamar met één knooppunt:
1. okt. Welk probleem lost versleuteling-at-rest op?
Met versleuteling in rust worden de datastripes versleuteld die de back-updata van de gebruiker bevatten.
Als iemand Avamar of de bijbehorende harde schijven heeft gestolen, moeten ze de data eerst ontsleutelen voordat ze kunnen worden gelezen.
Versleuteling in rust voorkomt dat iemand met toegang tot Avamar-applicaties of besturingssystemen zich kan aanmelden bij het Avamar-systeem en data kan herstellen. Dit is mogelijk met behulp van de gebruikersinterface of door avtar-opdrachten uit te voeren en bestanden binnen de GSAN terug te zetten naar het hulpprogrammaknooppunt.
2. Wanneer kan versleuteling in rust worden ingeschakeld?
Versleuteling in rust kan worden ingeschakeld tijdens de installatieworkflow, zodat deze van kracht is vanaf het begin van de levensduur van de Avamar-server.
Tijdens dit proces vraagt het installatieprogramma om een salt en een wachtwoord voor versleuteling-in-rust. Als een salt en een wachtwoord zijn opgegeven, wordt de functie ingeschakeld.
Nadat een systeem is geïnitialiseerd, kan versleuteling-at-rest worden ingeschakeld. Het uitvoeren van de opdracht avmaint na initialisatie heeft echter alleen invloed op nieuw gemaakte datastripes en datastripes die later worden verwerkt.
Hoewel we er zeker van kunnen zijn dat er uiteindelijk crunching optreedt op elke niet-versleutelde stripe, kunnen we dit niet garanderen. Stripes die zijn gemaakt voordat versleuteling-at-rest is ingeschakeld, kunnen lange tijd onversleuteld blijven. Soms, misschien wel voor altijd.
Er is bijvoorbeeld een mogelijkheid dat Avamar een stripe vult met statische data (zoals MCS-flushes die gevoelige informatie bevatten, zoals hostnamen). Als die streep nooit verandert, wordt er nooit garbage collection of crunching aan toegevoegd en zal deze nooit worden versleuteld.
Schakel versleuteling-at-rest daarom alleen in als onderdeel van de installatieworkflow.
3. Prestatieoverhead van het gebruik van versleuteling-in-rust
Een veelgestelde vraag is: "Waarom moet de diskreadonly-limiet worden verlaagd op systemen die zijn ingesteld met versleuteling-at-rest?"
Het versleutelen en ontsleutelen van alle stripes die zijn opgeslagen in een Avamar GSAN vereist veel extra werk dat moet worden uitgevoerd door storageknooppunten.
Engineering heeft vastgesteld dat de extra verwerkingsoverhead die nodig is tot 50% hoger is dan bij een systeem waarop versleuteling-at-rest niet is ingeschakeld.
Daarom MOETop Avamar waar versleuteling-at-rest is ingeschakeld, de diskreadonly-limiet worden verlaagd van de standaardwaarde 65% naar 40%. Dit betekent dat er 1,5x zoveel knooppunten nodig zijn om dezelfde hoeveelheid data op te slaan als een knooppunt waarvan de strepen niet zijn versleuteld.
Dit is om ervoor te zorgen dat acceptabele prestaties en betrouwbaarheid worden gehandhaafd.
4. Kan versleuteling-at-rest worden uitgeschakeld?
Zodra versleuteling-at-rest is ingeschakeld op een Avamar-systeem, kan deze niet worden uitgeschakeld, alleen de versleutelingssalten kunnen worden gewijzigd.
5. okt. Hoe u kunt aantonen dat versleuteling-at-rest is ingeschakeld.
Op een Avamar systeem waar encryption-at-rest is ingeschakeld, zou u uitvoer moeten zien die vergelijkbaar is met het volgende
:avmaint nodelist: --xmlperline=9999 | grep atrestencryption
Informatie zoals de volgende wordt weergegeven in de opdracht shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" geeft aan dat at-rest encryption is ingeschakeld.
enabled="false" nr-salts="0" geeft aan dat versleuteling in rust niet is ingeschakeld.
Voorbeeld:-
Dit is een geavanceerde functie en veronderstelt dat u ervaring hebt met reguliere Avamar-opdrachten die worden gebruikt voor systeemonderhoud en supportactiviteiten. Ga anders niet verder. Raadpleeg een voldoende bekwaam persoon.
Het technische addendum van Avamar documenteert de opdracht "avmaint atrestencryption", maar beschrijft niet hoe deze veilig kan worden geïmplementeerd op een Avamar-productiesysteem.
In dit artikel wordt de implementatie beschreven en worden enkele veelgestelde vragen over versleuteling in rust beantwoord.
- Welk probleem lost versleuteling-at-rest op?
- Wanneer kan versleuteling in rust worden ingeschakeld?
- Prestatieoverhead van het gebruik van versleuteling-in-rust
- Kan versleuteling-at-rest worden uitgeschakeld?
- Procedure voor het inschakelen van versleuteling in rust (alleen beschikbaar voor intern personeel van Dell en partners)
- Hoe kan ik aantonen dat versleuteling-at-rest is ingeschakeld?
Deze gededupliceerde ('atomaire') databrokken worden weggeschreven naar .dat bestanden. Metagegevens en indexgegevens worden naar andere stripe-bestanden geschreven (.inx, .chd, .cdt enzovoort).
Dit proces 'versnippert' de back-updata, omdat deze in kleine stukjes worden opgesplitst en over het systeem worden verspreid.
Hoewel volledige bestanden niet kunnen worden gelezen, is het wel mogelijk om fragmenten van bestanden te bekijken. Als we 'strings' op een datastreep uitvoeren, kunnen er stukjes platte tekstgegevens zichtbaar zijn.
Hieronder ziet u een voorbeeld van Avamar met één knooppunt:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Aangezien de databrokken e-mailadressen, IP-adressen, hostnamen of andere gevoelige informatie kunnen bevatten, beschouwen sommigen dit als een onaanvaardbaar beveiligingsrisico.
1. okt. Welk probleem lost versleuteling-at-rest op?
Met versleuteling in rust worden de datastripes versleuteld die de back-updata van de gebruiker bevatten.
Als iemand Avamar of de bijbehorende harde schijven heeft gestolen, moeten ze de data eerst ontsleutelen voordat ze kunnen worden gelezen.
Versleuteling in rust voorkomt dat iemand met toegang tot Avamar-applicaties of besturingssystemen zich kan aanmelden bij het Avamar-systeem en data kan herstellen. Dit is mogelijk met behulp van de gebruikersinterface of door avtar-opdrachten uit te voeren en bestanden binnen de GSAN terug te zetten naar het hulpprogrammaknooppunt.
2. Wanneer kan versleuteling in rust worden ingeschakeld?
Versleuteling in rust kan worden ingeschakeld tijdens de installatieworkflow, zodat deze van kracht is vanaf het begin van de levensduur van de Avamar-server.
Tijdens dit proces vraagt het installatieprogramma om een salt en een wachtwoord voor versleuteling-in-rust. Als een salt en een wachtwoord zijn opgegeven, wordt de functie ingeschakeld.
Nadat een systeem is geïnitialiseerd, kan versleuteling-at-rest worden ingeschakeld. Het uitvoeren van de opdracht avmaint na initialisatie heeft echter alleen invloed op nieuw gemaakte datastripes en datastripes die later worden verwerkt.
Hoewel we er zeker van kunnen zijn dat er uiteindelijk crunching optreedt op elke niet-versleutelde stripe, kunnen we dit niet garanderen. Stripes die zijn gemaakt voordat versleuteling-at-rest is ingeschakeld, kunnen lange tijd onversleuteld blijven. Soms, misschien wel voor altijd.
Er is bijvoorbeeld een mogelijkheid dat Avamar een stripe vult met statische data (zoals MCS-flushes die gevoelige informatie bevatten, zoals hostnamen). Als die streep nooit verandert, wordt er nooit garbage collection of crunching aan toegevoegd en zal deze nooit worden versleuteld.
Schakel versleuteling-at-rest daarom alleen in als onderdeel van de installatieworkflow.
3. Prestatieoverhead van het gebruik van versleuteling-in-rust
Een veelgestelde vraag is: "Waarom moet de diskreadonly-limiet worden verlaagd op systemen die zijn ingesteld met versleuteling-at-rest?"
Het versleutelen en ontsleutelen van alle stripes die zijn opgeslagen in een Avamar GSAN vereist veel extra werk dat moet worden uitgevoerd door storageknooppunten.
Engineering heeft vastgesteld dat de extra verwerkingsoverhead die nodig is tot 50% hoger is dan bij een systeem waarop versleuteling-at-rest niet is ingeschakeld.
Daarom MOETop Avamar waar versleuteling-at-rest is ingeschakeld, de diskreadonly-limiet worden verlaagd van de standaardwaarde 65% naar 40%. Dit betekent dat er 1,5x zoveel knooppunten nodig zijn om dezelfde hoeveelheid data op te slaan als een knooppunt waarvan de strepen niet zijn versleuteld.
Dit is om ervoor te zorgen dat acceptabele prestaties en betrouwbaarheid worden gehandhaafd.
4. Kan versleuteling-at-rest worden uitgeschakeld?
Zodra versleuteling-at-rest is ingeschakeld op een Avamar-systeem, kan deze niet worden uitgeschakeld, alleen de versleutelingssalten kunnen worden gewijzigd.
5. okt. Hoe u kunt aantonen dat versleuteling-at-rest is ingeschakeld.
Op een Avamar systeem waar encryption-at-rest is ingeschakeld, zou u uitvoer moeten zien die vergelijkbaar is met het volgende
:avmaint nodelist: --xmlperline=9999 | grep atrestencryption
Informatie zoals de volgende wordt weergegeven in de opdracht shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" geeft aan dat at-rest encryption is ingeschakeld.
enabled="false" nr-salts="0" geeft aan dat versleuteling in rust niet is ingeschakeld.
Voorbeeld:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
Op een systeem waar versleuteling-at-rest wordt uitgevoerd bij initialisatie of voordat er stripes worden gemaakt, bevatten stripes, zodra stripes zijn gemaakt en versleuteld, alleen wartaal als we ze proberen te lezen met de opdracht 'strings' zoals voorheen.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Veelgestelde vragen:
Hoe moeten Griffin-systemen (combinatie Avamar/DataDomain) worden geconfigureerd met de functie?
Zowel Avamar als Data Domain moeten afzonderlijk worden geconfigureerd met versleuteling-at-rest
.Dell EMC Data Domain Encryption - Veelgestelde vragen
Is het niveau van 40% diskreadonly nog steeds van toepassing op de nieuwste Avamar Datastore-hardware?
Engineering is hierover in september 2016 geraadpleegd. De instelling 40% diskreadonly is van toepassing op de nieuwste hardware (Gen4T). Het productmanagement overweegt het verzoek, maar heeft geen plannen om de limiet opnieuw te evalueren.
Als een klant een replicerend paar Avamar servers heeft, moeten beide systemen dan worden geconfigureerd met E.A.R?
Nee, elk systeem is onafhankelijk. Wanneer data op een versleuteld systeem worden gerepliceerd naar een niet-versleutelde Avamar, maakt het doelsysteem niet-versleutelde stripes.
Als een niet-versleutelde Avamar data repliceert naar een versleuteld systeem, worden de back-ups ook naar versleutelde strepen geschreven.
Als versleuteling in rust is ingeschakeld, kan deze dan worden uitgeschakeld?
Nee. Om dit te bereiken, moeten de data worden gerepliceerd naar een Avamar server waar encrypt-at-rest niet is ingesteld.
Als een klant een replicerend paar Avamar servers heeft, moeten beide systemen dan worden geconfigureerd met E.A.R?
Nee, elk systeem is onafhankelijk. Wanneer data op een versleuteld systeem worden gerepliceerd naar een niet-versleutelde Avamar, maakt het doelsysteem niet-versleutelde stripes.
Als een niet-versleutelde Avamar data repliceert naar een versleuteld systeem, worden de back-ups ook naar versleutelde strepen geschreven.
Als versleuteling in rust is ingeschakeld, kan deze dan worden uitgeschakeld?
Nee. Om dit te bereiken, moeten de data worden gerepliceerd naar een Avamar server waar encrypt-at-rest niet is ingesteld.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.