Data Domain：如何啟用網路加密和檔案複製加密

對於不使用 VPN 在網站之間進行安全連接的環境，Data Domain （DD） Replicator 軟體可以使用 AES 256 位加密通過 SSL 安全地封裝其複製有效負載，以實現安全傳輸。此過程也稱為加密傳輸中的數據。

流動
中資料加密DD Replicator 軟體會加密在兩個 Data Domain 之間傳輸的資料。這稱為流動中資料加密。它使用 OpenSSL AES 256 位加密通過線路封裝複製的數據。當加密封裝層到達目的地 Data Domain 時，會立即移除。DD 加密軟體也可以加密有效負載內的資料。

啟用網路加密 （MTree 複寫）
DD Replicator 支援 TLS 通訊協定版本 1.1 的傳輸中資料加密。當複製驗證模式設為單向或雙向時，會使用 Ephemeral Diffie-Hellman （DHE） 進行工作階段金鑰交換。伺服器驗證會透過 RSA 進行。AES 256 位伽羅瓦計數器模式 （GCM） 密碼通過線路封裝複製的數據。加密封裝層在到達目的地 DD 時會立即移除。SHA384 用於雜湊訊息驗證碼。

單向表示僅驗證目標證書。雙向表示源和目標證書都已驗證。必須先建立 相互信任， 然後才能使用身份驗證模式選項，並且連接的雙方必須啟用此功能才能繼續加密。

當複製身份驗證模式設置為匿名時，匿名 Diffie-Hellman （ADH） 用於會話密鑰交換，但源和目標在密鑰交換之前不會相互身份驗證。如果未指定身份驗證模式，則匿名是預設值。

便條：在 DDOS 8.x 上，啟用線上加密和 DDBoost 檔案複寫加密時，會使用 TLS 1.2。 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

複寫修改目的地加密 {已啟用 | 已停用}。（UI 僅允許匿名驗證。）
修改目標的網路加密狀態。僅當源和目標上都啟用時，此功能才處於活動狀態。所需的角色為 admin 或 limited-admin。

檔案複寫加密 （MFR：使用 DD Boost 的受管理檔案複寫）
您可以啟用 DD Boost 檔案複寫加密選項，以加密資料複寫串流。

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

問題：是否可以同時啟用 DD Encryption 和 DD 複寫軟體選項中的線上加密功能？
答：是的，可以同時啟用網路加密和靜態資料加密 （DARE），以實現不同的安全目標。

問題：如果同時啟用 DD 加密軟體選項和 DD 複製軟體選項中的線上加密功能，會發生什麼情況？
答：第一個源使用目標加密金鑰加密數據;然後已經加密的數據第二次加密，因為在將此數據發送到其目的地時進行過線加密。通過線路解密完成後，在目的地，數據將以加密格式存儲，該格式使用目的地的加密密鑰進行加密。

問題：Data Domain 的「線上加密」功能使用哪種類型的加密演算法來加密複寫流量？
答：當複製驗證模式設為「單向」或「雙向」時，會使用 Ephemeral Diffie-Hellman （DHE） 進行工作階段金鑰交換。伺服器驗證由 RSA 進行。AES 256 位 GCM 密碼用於通過線路封裝複製的數據。

加密封裝層落在目的地系統上時，會立即移除。「單向」表示僅對目的地憑證進行認證。「雙向」表示已驗證來源和目的地憑證。必須先建立相互信任，然後才能使用身份驗證模式，並且連接的雙方都必須啟用此功能才能繼續加密。

當複製身份驗證模式設置為「匿名」時，匿名 Diffie-Hellman （ADH） 用於會話密鑰交換，但在這種情況下，源和目標不會在密鑰交換之前相互身份驗證。此外，如果未指定身份驗證模式，則使用匿名作為預設值。

問題：EDP（加密禁用專案）系統是否支持線路加密？
答：我們無法在 EDP 系統中啟用閒置資料加密 （DARE） 或線上加密 （使用複寫或 ddboost）。