Data Domain: Jak włączyć szyfrowanie przewodowe i szyfrowanie replikacji plików

W środowiskach, które nie używają sieci VPN do bezpiecznych połączeń między lokacjami, oprogramowanie Data Domain (DD) Replicator może bezpiecznie hermetyzować ładunek replikacji za pośrednictwem protokołu SSL z 256-bitowym szyfrowaniem AES w celu bezpiecznej transmisji. Ten proces jest również nazywany szyfrowaniem danych w locie.

Szyfrowanie przesyłanych
danychOprogramowanie DD Replicator szyfruje dane przesyłane pomiędzy dwoma Data Domain. Jest to znane jako szyfrowanie przesyłanych danych. Wykorzystuje 256-bitowe szyfrowanie OpenSSL AES do hermetyzacji replikowanych danych przez sieć. Warstwa hermetyzacji szyfrowania jest natychmiast usuwana po wylądowaniu w docelowej Data Domain. Oprogramowanie szyfrujące DD może również szyfrować dane w ładunku.

Włącz szyfrowanie przewodowe (replikacja MTree)
DD Replicator obsługuje szyfrowanie przesyłanych danych za pomocą protokołu TLS w wersji 1.1. Gdy tryb uwierzytelniania replikacji jest ustawiony na jednokierunkowy lub dwukierunkowy, do wymiany kluczy sesji jest używany tryb Ephemeral Diffie-Hellman (DHE). Uwierzytelnianie serwera odbywa się za pośrednictwem RSA. 256-bitowy szyfr AES Galois Counter Mode (GCM) hermetyzuje replikowane dane przez sieć. Warstwa hermetyzacji szyfrowania jest natychmiast usuwana, gdy ląduje w docelowym DD. Algorytm SHA384 jest używany do szyfrowania kodu uwierzytelniania wiadomości.

Jednokierunkowy wskazuje, że weryfikowany jest tylko certyfikat docelowy. Dwukierunkowy wskazuje, że zarówno certyfikaty źródłowe, jak i docelowe są weryfikowane. Przed użyciem opcji trybu uwierzytelniania NALEŻY ustanowić wzajemne zaufanie, a obie strony połączenia muszą włączyć tę funkcję, aby szyfrowanie było kontynuowane.

Gdy tryb uwierzytelniania replikacji jest ustawiony na anonimowy, anonimowy Diffie-Hellman (ADH) jest używany do wymiany kluczy sesji, ale źródło i miejsce docelowe nie uwierzytelniają się nawzajem przed wymianą kluczy. Jeśli tryb uwierzytelniania nie jest określony, wartością domyślną jest tryb anonimowy.

NUTA: W DDOS 8.x protokół TLS 1.2 jest używany podczas włączania szyfrowania przewodowego i szyfrowania replikacji plików DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Replikacja modyfikuje szyfrowanie docelowe {enabled | disabled}. (Interfejs użytkownika umożliwia tylko uwierzytelnianie anonimowe).
Zmodyfikuj stan szyfrowania przewodowego dla obiektu docelowego. Ta funkcja jest aktywna tylko wtedy, gdy jest włączona zarówno w źródle, jak i w obiekcie docelowym. Wymagana rola to admin lub limited-admin.

Szyfrowanie replikacji plików (MFR: Zarządzana replikacja plików przy użyciu DD Boost)
Strumień replikacji danych można zaszyfrować, włączając opcję szyfrowania replikacji plików DD Boost.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Pytanie: Czy szyfrowanie DD można włączyć jednocześnie z funkcją szyfrowania przewodowego w opcji oprogramowania DD Replication?
Odpowiedź: Tak, zarówno szyfrowanie przewodowe, jak i szyfrowanie danych w spoczynku (DARE) mogą być włączone jednocześnie, aby osiągnąć różne cele bezpieczeństwa.

Pytanie: Co się stanie, jeśli jednocześnie włączone zostaną zarówno
opcja oprogramowania DD Encryption, jak i funkcja szyfrowania przewodowego w opcji oprogramowania DD Replication?Odpowiedź: Pierwsze źródło szyfruje dane przy użyciu docelowego klucza szyfrowania; Następnie już zaszyfrowane dane zostały zaszyfrowane po raz drugi z powodu szyfrowania przewodowego podczas wysyłania tych danych do miejsca docelowego. W miejscu docelowym po zakończeniu odszyfrowywania przez sieć przewodową dane będą przechowywane w zaszyfrowanym formacie, który został zaszyfrowany przy użyciu klucza szyfrowania odbiorcy.

Pytanie: Jakiego typu algorytm szyfrowania jest używany w przypadku funkcji "szyfrowania przez sieć" Data Domain w odniesieniu do szyfrowania ruchu związanego z replikacją?
Odpowiedź: Gdy tryb uwierzytelniania replikacji jest ustawiony na "jednokierunkowy" lub "dwukierunkowy", wymiana kluczy sesji jest używana do efemerycznego trybu Diffie-Hellmana (DHE). Uwierzytelnianie serwera odbywa się za pomocą RSA. 256-bitowy szyfr AES GCM służy do hermetyzacji replikowanych danych przez sieć.

Warstwa hermetyzacji szyfrowania jest usuwana natychmiast po wylądowaniu w systemie docelowym. Jeden ze sposobów wskazuje, że tylko certyfikat docelowy jest certyfikowany. Dwukierunkowy wskazuje, że zweryfikowane są zarówno certyfikaty źródłowe, jak i docelowe. Przed użyciem trybu uwierzytelniania należy ustanowić wzajemne zaufanie, a obie strony połączenia muszą włączyć tę funkcję, aby szyfrowanie było kontynuowane.

Gdy tryb uwierzytelniania replikacji jest ustawiony na "anonimowy", anonimowy Diffie-Hellman (ADH) jest używany do wymiany kluczy sesji, ale w tym przypadku źródło i miejsce docelowe nie uwierzytelniają się nawzajem przed wymianą kluczy. Ponadto, jeśli tryb uwierzytelniania nie jest określony, jako domyślny używany jest tryb anonimowy.

Pytanie: Czy szyfrowanie przewodowe jest obsługiwane w systemie EDP (encryption disablement project)?
Odpowiedź: Nie możemy włączyć szyfrowania danych w spoczynku (DARE) ani szyfrowania przewodowego (z replikacją lub ddboost) w systemie EDP.