Avamar – Förstå funktioner för kryptering i vila
Summary: I den här artikeln beskrivs aspekter av Avamars funktion för kryptering i vila, inklusive dess syfte och varningar. I de interna avsnitten i den här artikeln, som endast är tillgänglig för Dells personal och partner, förklaras hur du konfigurerar den. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Syftet med den här artikeln är att diskutera användningen av kryptering i vila på en Avamar-server.
Det här är en avancerad funktion och förutsätter att du har regelbunden erfarenhet av Avamar-kommandon som används för systemunderhåll och supportaktiviteter. Annars ska du inte fortsätta. Rådgör med en person med lämplig kompetens.
Avamars tekniska tillägg dokumenterar kommandot "avmaint atrestencryption", men beskriver inte hur du på ett säkert sätt implementerar det på ett Avamar-produktionssystem.
Den här artikeln beskriver implementeringen och besvarar några vanliga frågor som rör kryptering i vila.
Dessa deduplicerade ("atomiska") datasegment skrivs till .dat filer. Metadata och indexdata skrivs till andra stripe-filer (.inx, .chd, .cdt och så vidare).
Den här processen "strimlar" säkerhetskopieringsdata eftersom de delas upp i små bitar och sprids ut i systemet.
Även om hela filer inte kan läsas, är det möjligt att visa fragment av filer. Om vi kör "strängar" på en datastripe kan bitar av oformaterad textdata vara synliga.
Nedan visas ett exempel från en enskild nod Avamar:
1. veckor Vilket problem löser kryptering i vila?
Kryptering i vila krypterar de datastripes som innehåller säkerhetskopierade användardata.
Om någon stal Avamar eller dess diskenheter när det väl var aktiverat var de tvungna att dekryptera data innan de kunde läsas.
Kryptering i vila hindrar någon med Avamar-program- eller OS-nivååtkomst från att logga in på Avamar-systemet och återställa data. Detta är möjligt med hjälp av användargränssnittet eller genom att köra avtar-kommandon och återställa filer i GSAN till verktygsnoden.
2. När kan kryptering i vila aktiveras?
Kryptering i vila kan aktiveras under installationsarbetsflödet så att den är i kraft från början av Avamar-serverns livslängd.
Under den här processen frågar installationsprogrammet efter ett salt och ett lösenord för kryptering i vila. Om ett salt och ett lösenord anges aktiveras funktionen.
När ett system har initierats kan aktivera kryptering i vila aktiveras. Om du kör kommandot avmaint efter initieringen påverkas dock endast nyligen skapade datastripes och datastripes som senare bearbetas.
Även om vi kan vara säkra på att crunching så småningom uppstår på varje okrypterad remsa, kan vi inte garantera det. Stripes som skapas innan kryptering i vila har aktiverats kan förbli okrypterade under lång tid. Ibland, kanske för alltid.
Det finns till exempel en möjlighet att Avamar kan fylla en stripe med statiska data (t.ex. MCS-tömningar som innehåller känslig information som värdnamn). Om den remsan aldrig ändras genomgår den aldrig skräpinsamling eller crunching och kommer aldrig att krypteras.
Aktivera därför endast kryptering i vila som en del av installationsarbetsflödet.
3. Prestandakostnader för att använda kryptering i vila
En vanlig fråga är "Varför måste diskreadonly-gränsen sänkas på system som har angetts med kryptering i vila?"
Kryptering och dekryptering av alla stripes som lagras i ett Avamar GSAN kräver en hel del ytterligare arbete som måste utföras av lagringsnoderna.
Teknikerna har observerat att den extra bearbetningskapacitet som krävs är upp till 50 % mer än i ett system där kryptering i vila inte är aktiverat.
På Avamar där kryptering i vila är aktiverat måste därför diskreadonly-gränsen minskasfrån standardvärdet 65 % ned till 40 %. Det innebär att det krävs 1,5 gånger så många noder för att lagra samma mängd data som en nod vars stripes inte är krypterade.
Detta för att säkerställa att acceptabel prestanda och tillförlitlighet upprätthålls.
4. Kan kryptering i vila inaktiveras?
När kryptering i vila har aktiverats på ett Avamar-system kan det inte avaktiveras, det enda krypteringssalterna kan ändras.
5. veckor Så här visar du att kryptering i vila är aktiverat.
På ett Avamar-system där kryptering i vila har aktiverats bör du se utdata som liknar följande: avmaint nodelist --xmlperline=9999 | grep atrestencryption
Information som liknar följande visas i kommandot: shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" anger att kryptering i vila är aktiverat.
enabled="false" nr-salts="0" anger att kryptering vid vila inte är aktiverat.
Exempel:-
Det här är en avancerad funktion och förutsätter att du har regelbunden erfarenhet av Avamar-kommandon som används för systemunderhåll och supportaktiviteter. Annars ska du inte fortsätta. Rådgör med en person med lämplig kompetens.
Avamars tekniska tillägg dokumenterar kommandot "avmaint atrestencryption", men beskriver inte hur du på ett säkert sätt implementerar det på ett Avamar-produktionssystem.
Den här artikeln beskriver implementeringen och besvarar några vanliga frågor som rör kryptering i vila.
- Vilket problem löser kryptering i vila?
- När kan kryptering i vila aktiveras?
- Prestandakostnader för att använda kryptering i vila
- Kan kryptering i vila inaktiveras?
- Procedur för att aktivera kryptering i vila (endast tillgängligt för Dells interna personal och partner)
- Så här visar du att kryptering i vila är aktiverat
Dessa deduplicerade ("atomiska") datasegment skrivs till .dat filer. Metadata och indexdata skrivs till andra stripe-filer (.inx, .chd, .cdt och så vidare).
Den här processen "strimlar" säkerhetskopieringsdata eftersom de delas upp i små bitar och sprids ut i systemet.
Även om hela filer inte kan läsas, är det möjligt att visa fragment av filer. Om vi kör "strängar" på en datastripe kan bitar av oformaterad textdata vara synliga.
Nedan visas ett exempel från en enskild nod Avamar:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Eftersom databitarna kan innehålla e-postadresser, IP-adresser, värdnamn eller annan känslig information anser vissa att detta är en oacceptabel säkerhetsrisk.
1. veckor Vilket problem löser kryptering i vila?
Kryptering i vila krypterar de datastripes som innehåller säkerhetskopierade användardata.
Om någon stal Avamar eller dess diskenheter när det väl var aktiverat var de tvungna att dekryptera data innan de kunde läsas.
Kryptering i vila hindrar någon med Avamar-program- eller OS-nivååtkomst från att logga in på Avamar-systemet och återställa data. Detta är möjligt med hjälp av användargränssnittet eller genom att köra avtar-kommandon och återställa filer i GSAN till verktygsnoden.
2. När kan kryptering i vila aktiveras?
Kryptering i vila kan aktiveras under installationsarbetsflödet så att den är i kraft från början av Avamar-serverns livslängd.
Under den här processen frågar installationsprogrammet efter ett salt och ett lösenord för kryptering i vila. Om ett salt och ett lösenord anges aktiveras funktionen.
När ett system har initierats kan aktivera kryptering i vila aktiveras. Om du kör kommandot avmaint efter initieringen påverkas dock endast nyligen skapade datastripes och datastripes som senare bearbetas.
Även om vi kan vara säkra på att crunching så småningom uppstår på varje okrypterad remsa, kan vi inte garantera det. Stripes som skapas innan kryptering i vila har aktiverats kan förbli okrypterade under lång tid. Ibland, kanske för alltid.
Det finns till exempel en möjlighet att Avamar kan fylla en stripe med statiska data (t.ex. MCS-tömningar som innehåller känslig information som värdnamn). Om den remsan aldrig ändras genomgår den aldrig skräpinsamling eller crunching och kommer aldrig att krypteras.
Aktivera därför endast kryptering i vila som en del av installationsarbetsflödet.
3. Prestandakostnader för att använda kryptering i vila
En vanlig fråga är "Varför måste diskreadonly-gränsen sänkas på system som har angetts med kryptering i vila?"
Kryptering och dekryptering av alla stripes som lagras i ett Avamar GSAN kräver en hel del ytterligare arbete som måste utföras av lagringsnoderna.
Teknikerna har observerat att den extra bearbetningskapacitet som krävs är upp till 50 % mer än i ett system där kryptering i vila inte är aktiverat.
På Avamar där kryptering i vila är aktiverat måste därför diskreadonly-gränsen minskasfrån standardvärdet 65 % ned till 40 %. Det innebär att det krävs 1,5 gånger så många noder för att lagra samma mängd data som en nod vars stripes inte är krypterade.
Detta för att säkerställa att acceptabel prestanda och tillförlitlighet upprätthålls.
4. Kan kryptering i vila inaktiveras?
När kryptering i vila har aktiverats på ett Avamar-system kan det inte avaktiveras, det enda krypteringssalterna kan ändras.
5. veckor Så här visar du att kryptering i vila är aktiverat.
På ett Avamar-system där kryptering i vila har aktiverats bör du se utdata som liknar följande: avmaint nodelist --xmlperline=9999 | grep atrestencryption
Information som liknar följande visas i kommandot: shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" anger att kryptering i vila är aktiverat.
enabled="false" nr-salts="0" anger att kryptering vid vila inte är aktiverat.
Exempel:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
I ett system där kryptering i vila utförs vid initiering eller innan några stripes skapas, innehåller stripes bara rappakalja när de väl har skapats och krypterats om vi försöker läsa dem med kommandot "strings" som tidigare.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Vanliga frågor och svar:
Hur ska Griffin-system (kombination av Avamar och DataDomain) konfigureras med funktionen?
Både Avamar och Data Domain bör konfigureras med kryptering i vila separat.
Dell EMC Data Domain Encryption – vanliga frågor och svar
Gäller diskreadonly-nivån på 40 % fortfarande för den senaste Avamar Datastore-hårdvaran?
Ingenjörer rådfrågades om detta i september 2016. Inställningen 40 % diskreadonly gäller för den senaste maskinvaran (Gen4T). Produktledningen överväger begäran men har inga planer på att omvärdera gränsen.
Om en kund har ett replikerande par Avamar-servrar, måste båda systemen konfigureras med E.A.R?
Nej, varje system är oberoende. När data i ett krypterat system replikeras till en okrypterad Avamar skapar målsystemet okrypterade stripes.
Om en okrypterad Avamar replikerar data till ett krypterat system skrivs säkerhetskopiorna till krypterade stripes.
Kan kryptering i vila avaktiveras när det har aktiverats?
Nej. För att uppnå detta måste data replikeras till en Avamar-server där kryptering i vila inte är angivet.
Om en kund har ett replikerande par Avamar-servrar, måste båda systemen konfigureras med E.A.R?
Nej, varje system är oberoende. När data i ett krypterat system replikeras till en okrypterad Avamar skapar målsystemet okrypterade stripes.
Om en okrypterad Avamar replikerar data till ett krypterat system skrivs säkerhetskopiorna till krypterade stripes.
Kan kryptering i vila avaktiveras när det har aktiverats?
Nej. För att uppnå detta måste data replikeras till en Avamar-server där kryptering i vila inte är angivet.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.