Data Domain: Cómo habilitar el cifrado por cable y el cifrado de replicación de archivos

Para los entornos que no utilizan una VPN para conexiones seguras entre sitios, el software Data Domain (DD) Replicator puede encapsular de manera segura su carga útil de replicación mediante SSL con cifrado AES de 256 bits para una transmisión segura. Este proceso también se conoce como cifrado de datos en tránsito.

Cifrado de datos en transferencia
El software DD Replicator cifra los datos que se transfieren entre dos Data Domains. Esto se conoce como cifrado de datos en tránsito. Utiliza el cifrado AES OpenSSL de 256 bits para encapsular los datos replicados a través del cable. La capa de encapsulación de cifrado se elimina inmediatamente cuando llega al Data Domain de destino. El software de cifrado DD también puede cifrar datos dentro de la carga útil.

Habilitar el cifrado por cable (replicación de MTree)
DD Replicator es compatible con el cifrado de datos en transferencia con el protocolo TLS versión 1.1. Cuando el modo de autenticación de replicación se establece en one-way o two-way, se utiliza Ephemeral Diffie-Hellman (DHE) para el intercambio de claves de sesión. La autenticación del servidor se realiza a través de RSA. El cifrado AES de modo de contador Galois (GCM) de 256 bits encapsula los datos replicados a través del cable. La capa de encapsulación de cifrado se elimina inmediatamente a medida que llega al DD de destino. SHA384 se utiliza para el código de autenticación de mensajes hash.

Una vía indica que solo se verifica el certificado de destino. Dos vías indica que se verifican los certificados de origen y de destino. Se DEBE establecer la confianza mutua antes de poder usar la opción de modo de autenticación y ambos lados de la conexión deben habilitar esta característica para que el cifrado continúe.

Cuando el modo de autenticación de replicación se establece en anónimo, se utiliza Diffie-Hellman anónimo (ADH) para los intercambios de claves de sesión, pero el origen y el destino no se autentican entre sí antes del intercambio de claves. Si no se especifica el modo de autenticación, el valor predeterminado es anónimo.

NOTA: En DDOS 8.x, TLS 1.2 se utiliza cuando se habilita el cifrado por cable y el cifrado de replicación de archivos de DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

La replicación modifica el cifrado de destino {enabled | disabled}. (La interfaz de usuario solo permite la autenticación anónima).
Modifique el estado de cifrado por cable para el destino. Esta función solo está activa cuando está habilitada tanto en el origen como en el destino. La función requerida es administrador o administrador limitado.

Cifrado de replicación de archivos (MFR: Replicación administrada de archivos mediante DD Boost)
Puede cifrar el flujo de replicación de datos mediante la habilitación de la opción de cifrado de replicación de archivos de DD Boost.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Pregunta: ¿Se puede habilitar DD Encryption simultáneamente con la función de cifrado por cable en la opción de software DD Replication?
Respuesta: Sí, tanto el cifrado por cable como el cifrado de datos en reposo (DARE) se pueden habilitar simultáneamente para lograr diferentes objetivos de seguridad.

Pregunta: ¿Qué sucede si la opción de software DD Encryption y la función de cifrado por cable en la opción de software DD Replication se habilitan simultáneamente?
Respuesta: El primer origen cifra los datos mediante la clave de cifrado de destino; Luego, los datos ya cifrados se cifran por segunda vez debido al cifrado por cable al enviar estos datos a su destino. En el destino, después de que se realiza el descifrado por cable, los datos se almacenarán en un formato cifrado que se cifró con la clave de cifrado del destino.

Pregunta: ¿Qué tipo de algoritmo de cifrado se utiliza para la función de "cifrado por cable" de Data Domain para cifrar el tráfico de replicación?
Respuesta: Cuando el modo de autenticación de replicación se configura en "one-way" o "two-way", se utiliza Diffie-Hellman efímero (DHE) para el intercambio de claves de sesión. RSA se encarga de la autenticación del servidor. El cifrado GCM AES de 256 bits se utiliza para encapsular los datos replicados a través del cable.

La capa de encapsulación de cifrado se elimina inmediatamente cuando llega al sistema de destino. Una vía indica que solo el certificado de destino está certificado. Dos vías indica que se verifican los certificados de origen y de destino. Se debe establecer la confianza mutua antes de poder usar el modo de autenticación y ambos lados de la conexión deben habilitar esta característica para que el cifrado continúe.

Cuando el modo de autenticación de replicación se establece en "anónimo", se utiliza Diffie-Hellman anónimo (ADH) para el intercambio de claves de sesión, pero, en este caso, el origen y el destino no se autentican entre sí antes del intercambio de claves. Además, si no se especifica el modo de autenticación, se utiliza anonymous como valor predeterminado.

Pregunta: ¿Es compatible el cifrado por cable en el sistema EDP (proyecto de deshabilitación del cifrado)?
Respuesta: No podemos habilitar el cifrado de datos en reposo (DARE) ni el cifrado por cable (con replicación o con ddboost) en el sistema EDP.