Data Domain: Versleuteling via de draad en versleuteling van bestandsreplicatie inschakelen

Voor omgevingen die geen VPN gebruiken voor beveiligde verbindingen tussen sites, kan Data Domain (DD) Replicator-software de replicatie-payload via SSL veilig inkapselen met AES 256-bits versleuteling voor veilige overdracht. Dit proces wordt ook wel het versleutelen van actieve data genoemd.

Versleuteling van actieve
dataDD Replicator-software versleutelt data die worden overgedragen tussen twee datadomeinen. Dit staat bekend als versleuteling van actieve gegevens. Het maakt gebruik van OpenSSL AES 256-bits versleuteling om de gerepliceerde gegevens via de kabel in te kapselen. De versleutelingsinkapselingslaag wordt onmiddellijk verwijderd wanneer deze op het doel-Data Domain terechtkomt. DD-versleutelingssoftware kan ook data binnen de payload versleutelen.

Versleuteling via kabel inschakelen (MTree-replicatie)
DD Replicator ondersteunt versleuteling van data-in-flight met TLS-protocol versie 1.1. Wanneer de replicatieverificatiemodus is ingesteld op eenrichtingsverkeer of tweerichtingsverkeer, wordt Ephemeral Diffie-Hellman (DHE) gebruikt voor de uitwisseling van sessiesleutels. Serverauthenticatie vindt plaats via RSA. De AES 256-bits Galois Counter Mode (GCM)-versleuteling kapselt de gerepliceerde gegevens in via de kabel. De versleutelingsinkapselingslaag wordt onmiddellijk verwijderd wanneer deze op de doel-DD landt. SHA384 wordt gebruikt voor de hash-code voor berichtverificatie.

Enkele reis geeft aan dat alleen het bestemmingscertificaat wordt geverifieerd. Two-way geeft aan dat zowel het bron- als het bestemmingscertificaat is geverifieerd. Wederzijds vertrouwen MOET tot stand worden gebracht voordat u de optie authenticatiemodus kunt gebruiken, en beide zijden van de verbinding moeten deze functie inschakelen om de versleuteling door te laten gaan.

Wanneer de replicatieverificatiemodus is ingesteld op anoniem, wordt Anonymous Diffie-Hellman (ADH) gebruikt voor sessiesleuteluitwisselingen, maar de bron en bestemming verifiëren elkaar niet vóór de sleuteluitwisseling. Als de verificatiemodus niet is opgegeven, is anoniem de standaardwaarde.

NOTITIE: Op DDOS 8.x wordt TLS 1.2 gebruikt bij het inschakelen van over-the-wire-versleuteling en DDBoost-bestandsreplicatieversleuteling. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Replicatie wijzigt doelversleuteling {enabled | disabled}. (UI staat alleen anonieme authenticatie toe.)
Wijzig de status van versleuteling via draad voor de bestemming. Deze functie is alleen actief wanneer deze is ingeschakeld op zowel de bron als de bestemming. De vereiste rol is admin of limited-admin.

File replication encryption (MFR: Beheerde bestandsreplicatie met DD Boost)
U kunt de datareplicatiestroom versleutelen door de optie DD Boost-bestandsreplicatieversleuteling in te schakelen.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Vraag: Kan de DD-versleuteling gelijktijdig met de over-the-wire-versleutelingsfunctie in de DD Replication-softwareoptie worden ingeschakeld?
Antwoorden: Ja, zowel over-the-wire-versleuteling als Data at Rest Encryption (DARE) kunnen gelijktijdig worden ingeschakeld om verschillende beveiligingsdoelen te bereiken.

Vraag: Wat gebeurt er als zowel de DD Encryption software-optie als de over-the-wire versleutelingsfunctie in de DD Replication-softwareoptie gelijktijdig zijn ingeschakeld?
Antwoorden: De eerste bron versleutelt data met behulp van de doelcoderingssleutel; dan al een tweede keer versleutelde gegevens vanwege over-the-wire encryptie tijdens het verzenden van deze gegevens naar de bestemming. Op de bestemming worden de gegevens, nadat de ontsleuteling via de draad is voltooid, opgeslagen in een versleutelde indeling die is versleuteld met behulp van de coderingssleutel van de bestemming.

Vraag: Welk type versleutelingsalgoritme wordt gebruikt voor de functie "versleuteling over de kabel" van Data Domain met betrekking tot het versleutelen van het replicatieverkeer?
Antwoorden: Wanneer de replicatieverificatiemodus is ingesteld op eenrichtingsverkeer of tweerichtingsverkeer, wordt Ephemeral Diffie-Hellman (DHE) gebruikt voor de uitwisseling van sessiesleutels. Serverauthenticatie vindt plaats via RSA. AES 256-bits GCM-versleuteling wordt gebruikt om de gerepliceerde data via de kabel in te kapselen.

De versleutelingsinkapselingslaag wordt onmiddellijk verwijderd wanneer deze op het doelsysteem terechtkomt. Eén manier geeft aan dat alleen het bestemmingscertificaat is gecertificeerd. Tweerichtingsaanwijzingen dat zowel het bron- als het bestemmingscertificaat zijn geverifieerd. Wederzijds vertrouwen moet tot stand worden gebracht voordat u de verificatiemodus kunt gebruiken en beide zijden van de verbinding moeten deze functie inschakelen om de versleuteling door te laten gaan.

Wanneer de replicatieverificatiemodus is ingesteld op anoniem, wordt Anonymous Diffie-Hellman (ADH) gebruikt voor sessiesleuteluitwisseling, maar in dit geval verifiëren bron en bestemming elkaar niet vóór de sleuteluitwisseling. Ook als de authenticatie-modus niet is opgegeven, wordt anoniem als standaard gebruikt.

Vraag: Wordt over-the-wire-versleuteling ondersteund in het EDP-systeem (Encryption Disablement Project)?
Antwoorden: We kunnen Data at Rest Encryption (DARE) of over-the-wire-versleuteling (met replicatie of met ddboost) niet inschakelen in het EDP-systeem.