Data Domain: So aktivieren Sie die Verschlüsselung über das Netzwerk und die Verschlüsselung der Dateireplikation

In Umgebungen, in denen kein VPN für sichere Verbindungen zwischen Standorten verwendet wird, kann die Data Domain (DD) Replicator-Software ihre Replikationsnutzlast über SSL mit AES-256-Bit-Verschlüsselung für eine sichere Übertragung kapseln. Dieser Prozess wird auch als Verschlüsselung von In-Flight-Daten bezeichnet.

Verschlüsselung von In-Flight-Daten
Die DD Replicator-Software verschlüsselt Daten, die zwischen zwei Data Domains übertragen werden. Dies wird als Verschlüsselung von In-Flight-Daten bezeichnet. Es verwendet eine OpenSSL-AES-256-Bit-Verschlüsselung, um die replizierten Daten über die Leitung zu kapseln. Die Verschlüsselungskapselungsschicht wird sofort entfernt, wenn sie auf der Ziel-Data Domain landet. DD-Verschlüsselungssoftware kann auch Daten innerhalb der Payload verschlüsseln.

Aktivieren der Verschlüsselung über Kabel (MTree-Replikation)
DD Replicator unterstützt die Verschlüsselung von In-Flight-Daten mit TLS-Protokollversion 1.1. Wenn der Replikationsauthentifizierungsmodus auf "one-way" oder "two-way" eingestellt ist, wird für den Austausch von Sitzungsschlüsseln Ephemeral Diffie-Hellman (DHE) verwendet. Die Serverauthentifizierung erfolgt über RSA. Die AES-256-Bit-GCM-Chiffre (Galois Counter Mode) kapselt die replizierten Daten über die Leitung. Die Verschlüsselungskapselungsschicht wird sofort entfernt, wenn sie auf der Ziel-DD landet. SHA384 wird für den Hash Message Authentication Code verwendet.

One-Way gibt an, dass nur das Zielzertifikat überprüft wird. "two-way" gibt an, dass sowohl die Quell- als auch die Zielzertifikate überprüft werden. Gegenseitiges Vertrauen MUSS hergestellt werden, bevor Sie die Option authentication-mode verwenden können, und beide Seiten der Verbindung müssen diese Funktion aktivieren, damit die Verschlüsselung fortgesetzt werden kann.

Wenn der Replikationsauthentifizierungsmodus auf anonymous festgelegt ist, wird Anonymous Diffie-Hellman (ADH) für den Austausch von Sitzungsschlüsseln verwendet, aber die Quelle und das Ziel authentifizieren sich vor dem Schlüsselaustausch nicht gegenseitig. Wenn der Authentifizierungsmodus nicht angegeben ist, ist anonymous der Standardwert.

ANMERKUNG: Unter DDOS 8.x wird TLS 1.2 verwendet, wenn die Übertragungsverschlüsselung und die DDBoost-Dateireplikationsverschlüsselung aktiviert werden. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Die Replikation ändert die Zielverschlüsselung {enabled | disabled}. (Die Benutzeroberfläche ermöglicht nur anonyme Authentifizierung.)
Ändern Sie den Status der Übertragungsverschlüsselung für das Ziel. Diese Funktion ist nur dann aktiv, wenn sie sowohl auf der Quelle als auch auf dem Ziel aktiviert ist. Die erforderliche Rolle lautet admin oder limited-admin.

Verschlüsselung der Dateireplikation (MFR: Gemanagte Dateireplikation mit DD Boost)
Sie können den Datenreplikationsstream verschlüsseln, indem Sie die DD Boost-Option zur Verschlüsselung der Dateireplikation aktivieren.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Frage: Kann DD Encryption gleichzeitig mit der Over-the-Wire-Verschlüsselungsfunktion in der Softwareoption DD Replication aktiviert werden?
Antwort: Ja, sowohl die Übertragungsverschlüsselung als auch die Data-at-Rest-Verschlüsselung (DARE) können gleichzeitig aktiviert werden, um unterschiedliche Sicherheitsziele zu erreichen.

Frage: Was geschieht, wenn sowohl die DD Encryption-Softwareoption als auch die Übertragungsverschlüsselungsfunktion in der DD Replication-Softwareoption gleichzeitig aktiviert sind?
Antwort: Die erste Quelle verschlüsselt Daten mit dem Zielverschlüsselungsschlüssel. Dann werden bereits verschlüsselte Daten ein zweites Mal verschlüsselt, da diese Daten beim Senden dieser Daten an ihr Ziel verschlüsselt werden. Nachdem die Entschlüsselung über das Kabel durchgeführt wurde, werden die Daten am Ziel in einem verschlüsselten Format gespeichert, das mit dem Chiffrierschlüssel des Ziels verschlüsselt wurde.

Frage: Welche Art von Verschlüsselungsalgorithmus wird für die Data Domain-Verschlüsselungsfunktion im Hinblick auf die Verschlüsselung des Replikationsdatenverkehrs verwendet?
Antwort: Wenn der Replikationsauthentifizierungsmodus auf "one-way" oder "two-way" festgelegt ist, wird DHE (Ephemeral Diffie-Hellman) für den Austausch von Sitzungsschlüsseln verwendet. Die Serverauthentifizierung erfolgt durch RSA. Die AES-256-Bit-GCM-Verschlüsselung wird verwendet, um die replizierten Daten über die Leitung zu kapseln.

Die Verschlüsselungskapselungsschicht wird sofort entfernt, wenn sie auf dem Zielsystem landet. Eine Methode gibt an, dass nur das Zielzertifikat zertifiziert ist. "two-way" gibt an, dass sowohl die Quell- als auch die Zielzertifikate überprüft werden. Es muss gegenseitiges Vertrauen hergestellt werden, bevor Sie den Authentifizierungsmodus verwenden können, und beide Seiten der Verbindung müssen diese Funktion aktivieren, damit die Verschlüsselung fortgesetzt werden kann.

Wenn der Replikationsauthentifizierungsmodus auf "anonymous" festgelegt ist, wird Anonymous Diffie-Hellman (ADH) für den Austausch von Sitzungsschlüsseln verwendet, aber in diesem Fall authentifizieren sich Quelle und Ziel vor dem Schlüsselaustausch nicht gegenseitig. Wenn der Authentifizierungsmodus nicht angegeben ist, wird standardmäßig anonym verwendet.

Frage: Wird die Verschlüsselung über das Internet im EDP-System (Encryption Disablement Project) unterstützt?
Antwort: Wir können weder die Data-at-Rest-Verschlüsselung (DARE) noch die Verschlüsselung über das Internet (mit Replikation oder mit ddboost) im EDP-System aktivieren.