Data Domain: 유선을 통한 암호화 및 파일 복제 암호화를 활성화하는 방법

사이트 간 보안 연결을 위해 VPN을 사용하지 않는 환경에서는 DD(Data Domain) Replicator 소프트웨어가 안전한 전송을 위해 AES 256비트 암호화를 사용하여 SSL을 통해 복제 페이로드를 안전하게 캡슐화할 수 있습니다. 이 프로세스를 전송 중인 데이터 암호화라고도 합니다.

전송
중인 데이터 암호화DD Replicator 소프트웨어는 두 Data Domain 간에 전송되는 데이터를 암호화합니다. 이를 전송 중인 데이터 암호화라고 합니다. OpenSSL AES 256비트 암호화를 사용하여 유선으로 복제된 데이터를 캡슐화합니다. 암호화 캡슐화 계층은 대상 Data Domain에 도달하면 즉시 제거됩니다. DD 암호화 소프트웨어는 페이로드 내의 데이터를 암호화할 수도 있습니다.

유선 암호화(MTree 복제)
활성화DD Replicator는 TLS 프로토콜 버전 1.1을 사용하여 전송 중인 데이터의 암호화를 지원합니다. 복제 인증 모드가 one-way 또는 two-way로 설정된 경우 세션 키 교환에 DHE(Ephemeral Diffie-Hellman)가 사용됩니다. 서버 인증은 RSA를 통해 이루어집니다. AES 256비트 GCM(Galois Counter Mode) 암호는 유선을 통해 복제된 데이터를 캡슐화합니다. 암호화 캡슐화 계층은 대상 DD에 도달하면 즉시 제거됩니다. SHA384는 해시 메시지 인증 코드에 사용됩니다.

One-way는 대상 인증서만 확인되었음을 나타냅니다. Two-way는 소스 및 대상 인증서 모두 확인되었음을 나타냅니다. 옵션 사용 authentication-mode 하려면 먼저 상호 신뢰를 설정해야 하며 , 암호화를 진행하려면 연결의 양쪽에서 모두 이 기능을 활성화해야 합니다.

복제 인증 모드가 anonymous로 설정된 경우 세션 키 교환에 ADH(Anonymous Diffie-Hellman)가 사용되지만 소스 및 대상은 키 교환 전에 서로를 인증하지 않습니다. 인증 모드가 지정되지 않은 경우 anonymous가 기본값입니다.

메모: DDOS 8.x에서 유선 암호화 및 DDBoost 파일 복제 암호화를 활성화할 때 TLS 1.2가 사용됩니다. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

복제에서 대상 암호화를 수정합니다{enabled | disabled}. (UI는 익명 인증만 허용합니다.)
대상에 대한 유선 암호화 상태를 수정합니다. 이 기능은 소스와 대상 모두에서 활성화된 경우에만 활성화됩니다. 필요한 역할은 관리자 또는 제한된 관리자입니다.

파일 복제 암호화(MFR: DD Boost를 사용한 관리되는 파일 복제)
DD Boost 파일 복제 암호화 옵션을 활성화하여 데이터 복제 스트림을 암호화할 수 있습니다.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

질문: DD Encryption 기능을 DD Replication 소프트웨어 옵션의 over-the-wire 암호화 기능과 동시에 활성화할 수 있습니까?
대답: 예. 회선 암호화와 DARE(Data at Rest Encryption)를 동시에 활성화하여 서로 다른 보안 목표를 달성할 수 있습니다.

질문: DD Encryption 소프트웨어 옵션과 DD Replication 소프트웨어 옵션의 Over-the-Wire 암호화 기능이 동시에 활성화되면 어떻게 됩니까?
대답: 첫 번째 소스는 대상 암호화 키를 사용하여 데이터를 암호화합니다. 그런 다음 이 데이터를 대상으로 보내는 동안 유선 암호화로 인해 이미 암호화된 데이터가 두 번째로 암호화됩니다. 유선 암호 해독이 완료된 후 대상에서 데이터는 대상의 암호화 키를 사용하여 암호화된 암호화된 형식으로 저장됩니다.

질문: 복제 트래픽 암호화와 관련하여 Data Domain의 "유선 암호화" 기능에 사용되는 암호화 알고리듬 유형은 무엇입니까?
대답: 복제 인증 모드가 "one-way" 또는 "two-way"로 설정된 경우 세션 키 교환에 DHE(Ephemeral Diffie-Hellman)가 사용됩니다. 서버 인증은 RSA에서 수행합니다. AES 256비트 GCM 암호는 유선으로 복제된 데이터를 캡슐화하는 데 사용됩니다.

암호화 캡슐화 계층은 대상 시스템에 도착하는 즉시 제거됩니다. One way는 대상 인증서만 인증되었음을 나타냅니다. Two way는 소스 및 대상 인증서 모두 확인되었음을 나타냅니다. 인증 모드를 사용하려면 먼저 상호 신뢰를 설정해야 하며, 암호화를 진행하려면 연결의 양쪽에서 이 기능을 활성화해야 합니다.

복제 인증 모드가 "anonymous"로 설정된 경우 세션 키 교환에 ADH(Anonymous Diffie-Hellman)가 사용되지만, 이 경우 소스 및 대상은 키 교환 전에 서로를 인증하지 않습니다. 또한 authentication-mode가 지정되지 않은 경우 anonymous가 기본값으로 사용됩니다.

질문: EDP(encryption disablement project) 시스템에서 유선 암호화가 지원됩니까?
대답: EDP 시스템에서 DARE(Data at Rest Encryption) 또는 회선 암호화(복제 또는 ddboost 사용)를 활성화할 수 없습니다.