Data Domain. Включение шифрования по сети и шифрования репликации файлов

В средах, в которых VPN не используется для безопасных соединений между площадками, программное обеспечение репликатора Data Domain (DD) может безопасно инкапсулировать полезную нагрузку репликации по протоколу SSL с 256-битным шифрованием AES для безопасной передачи. Этот процесс также называется шифрованием передаваемых данных.

Шифрование передаваемых данных
Программное обеспечение DD Replicator шифрует данные, передаваемые между двумя доменами Data Domain. Это называется шифрованием данных «на лету». Он использует 256-разрядное шифрование OpenSSL AES для инкапсуляции реплицированных данных по сети. Уровень инкапсуляции шифрования немедленно удаляется при попадании в целевой Data Domain. Программное обеспечение для шифрования DD также может шифровать данные в полезной нагрузке.

Включить шифрование по сети (репликация MTree)
DD Replicator поддерживает шифрование данных «в пути» с помощью протокола TLS версии 1.1. Если для режима аутентификации репликации установлено значение односторонняя или двусторонняя, для обмена ключами сеанса используется эфемерный алгоритм Диффи-Хеллмана (DHE). Аутентификация сервера происходит через RSA. 256-разрядный алгоритм AES в режиме счетчика Галуа (GCM) инкапсулирует реплицированные данные по сети. Уровень инкапсуляции шифрования немедленно удаляется, как только он попадает в целевую систему DD. SHA384 используется для кода проверки подлинности хэш-сообщений.

Односторонняя указывает на то, что проверяется только сертификат назначения. Двусторонний указывает, что проверены сертификаты исходного и целевого ресурсов. Прежде чем использовать параметр режима аутентификации, необходимо установить взаимное доверие, и обе стороны соединения должны включить эту функцию для продолжения шифрования.

Если установлен режим аутентификации репликации «Анонимный», для обмена ключами в сеансе используется метод анонимного Диффи-Хеллмана (ADH), но исходная и целевая системы не проверяют подлинность друг друга перед обменом ключами. Если режим аутентификации не указан, по умолчанию используется значение «анонимный».

ЗАМЕТКА: В DDOS 8.x протокол TLS 1.2 используется при включении шифрования по сети и шифрования репликации файлов DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Репликация изменяет шифрование системы назначения {enabled | disabled}. (Пользовательский интерфейс допускает только анонимную проверку подлинности.)
Измените состояние шифрования по сети для целевой системы. Эта функция активна, только если она включена в исходной и целевой системах. Требуется роль admin или limited-admin.

Шифрование репликации файлов (MFR: Управляемая репликация файлов с использованием DD Boost)
Поток репликации данных можно зашифровать, включив параметр DD Boost для шифрования репликации файлов.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Вопрос. Можно ли включить шифрование DD одновременно с функцией шифрования по сети в программном варианте DD Replication?
Ответ: Да, шифрование по сети и шифрование данных в состоянии покоя (DARE) могут быть включены одновременно для достижения различных целей безопасности.

Вопрос. Что произойдет, если программный параметр DD Encryption и функция шифрования по проводам в программном параметре DD Replication включены одновременно?
Ответ: Первый источник шифрует данные с помощью ключа шифрования назначения; Затем уже зашифрованные данные шифруются второй раз из-за шифрования по сети при отправке этих данных по назначению. В пункте назначения после завершения расшифровки по сети данные будут храниться в зашифрованном формате, который был зашифрован с помощью ключа шифрования адресата.

Вопрос. Какой тип алгоритма шифрования используется для функции Data Domain «шифрование по сети» применительно к шифрованию трафика репликации?
Ответ: Если для режима аутентификации репликации установлено значение «односторонняя» или «двусторонняя», для обмена ключами сеанса используется эфемерный метод Диффи — Хеллмана (DHE). Аутентификация сервера происходит по RSA. 256-разрядный шифр GCM AES используется для инкапсуляции реплицированных данных по сети.

Уровень инкапсуляции шифрования немедленно удаляется при попадании в целевую систему. Значение «Односторонняя» указывает, что сертифицирован только сертификат назначения. Значение «В двух направлениях» указывает, что проверены сертификаты исходного и целевого ресурсов. Прежде чем использовать режим аутентификации, необходимо установить взаимное доверие, и обе стороны соединения должны включить эту функцию для продолжения шифрования.

Если для режима аутентификации репликации установлено значение «Анонимный», для обмена ключами между сеансами используется метод Диффи-Хеллмана (Anonymous), но в этом случае исходная и целевая системы не проверяют подлинность друг друга перед обменом ключами. Кроме того, если режим аутентификации не указан, по умолчанию используется значение «анонимный».

Вопрос. Поддерживается ли шифрование по сети в системе EDP (encryption disablement project)?
Ответ: В системе EDP невозможно включить шифрование данных в состоянии покоя (DARE) или шифрование по сети (с репликацией или ddboost).