Data Domain: Kablo ve Dosya Çoğaltma Şifrelemesi Üzerinden Şifrelemeyi Etkinleştirme

Siteler arasında güvenli bağlantılar için VPN kullanılmayan ortamlarda, Data Domain (DD) Çoğaltıcı yazılımı, çoğaltma yükünü güvenli iletim için AES 256 bit şifreleme ile SSL üzerinden güvenli bir şekilde kapsülleyebilir. Bu işlem, hareket halindeki verileri şifreleme olarak da bilinir.

Hareket halindeki
verileri şifrelemeDD Çoğaltıcı yazılımı, iki Data Domain arasında aktarılan verileri şifreler. Bu, hareket halindeki verilerin şifrelenmesi olarak bilinir. Çoğaltılan verileri kablo üzerinden kapsüllemek için OpenSSL AES 256 bit şifreleme kullanır. Şifreleme kapsülleme katmanı, hedef Data Domain'e indiğinde hemen kaldırılır. DD şifreleme yazılımı, yük içindeki verileri de şifreleyebilir.

Kablo üzerinden şifrelemeyi etkinleştirme (MTree çoğaltma)
DD Çoğaltıcı, TLS protokolü sürüm 1.1 ile aktarım halindeki verilerin şifrelenmesini destekler. Çoğaltma kimlik doğrulama modu tek yönlü veya iki yönlü olarak ayarlandığında, oturum anahtarı değişimi için Ephemeral Diffie-Hellman (DHE) kullanılır. Sunucu kimlik doğrulaması RSA üzerinden gerçekleşir. AES 256 bit Galois Sayaç Modu (GCM) şifresi, çoğaltılmış verileri kablo üzerinde kapsüller. Şifreleme kapsülleme katmanı, hedef DD'ye indiği anda kaldırılır. Karma Mesaj Kimlik Doğrulama Kodu için SHA384 kullanılır.

Tek yönlülük, yalnızca hedef sertifikanın doğrulandığını gösterir. Çift yönlü, hem kaynak hem de hedef sertifikaların doğrulandığı anlamına gelir. Kimlik doğrulama modu seçeneğini kullanmadan önce karşılıklı güven sağlanmalıdır ve şifrelemenin devam etmesi için bağlantının her iki tarafının da bu özelliği etkinleştirmesi gerekir.

Çoğaltma kimlik doğrulama modu anonim olarak ayarlandığında, oturum anahtarı değişimleri için Anonim Diffie-Hellman (ADH) kullanılır ancak kaynak ve hedef, anahtar değişiminden önce birbirlerinin kimliğini doğrulamaz. Kimlik doğrulama modu belirtilmezse varsayılan değer anonimdir.

NOT: DDOS 8.x'te, kablo üzerinden şifreleme ve DDBoost dosya çoğaltma şifrelemesi etkinleştirilirken TLS 1.2 kullanılır. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Çoğaltma, hedef şifrelemeyi {enabled | disabled} olarak değiştirir. (Kullanıcı arayüzü yalnızca anonim kimlik doğrulamaya izin verir.)
Hedef için kablo üzerinden şifreleme durumunu değiştirin. Bu özellik yalnızca hem kaynakta hem de hedefte etkinleştirildiğinde etkindir. Gerekli rol, yönetici veya sınırlı yöneticidir.

Dosya çoğaltma şifrelemesi (MFR: DD Boost Kullanarak Yönetilen Dosya Çoğaltma)
DD Boost dosya çoğaltma şifrelemesi seçeneğini etkinleştirerek veri çoğaltma akışını şifreleyebilirsiniz.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Soru: DD Şifrelemesi, DD Çoğaltma yazılımı seçeneğindeki kablo üzerinden şifreleme özelliğiyle eş zamanlı olarak etkinleştirilebilir mi?
Cevap: Evet, farklı güvenlik hedeflerine ulaşmak için hem kablosuz şifreleme hem de Bekleyen Veri Şifreleme (DARE) aynı anda etkinleştirilebilir.

Soru: Hem DD Şifreleme yazılımı seçeneği hem de DD Çoğaltma yazılımı seçeneğindeki kablo üzerinden şifreleme özelliği aynı anda etkinleştirilirse ne olur?
Cevap: İlk kaynak, hedef şifreleme anahtarını kullanarak verileri şifreler; daha sonra zaten şifrelenmiş olan veriler, bu verileri hedefine gönderirken kablo üzerinden şifreleme nedeniyle ikinci kez şifrelenir. Hedefte, kablo üzerinden şifre çözme işlemi tamamlandıktan sonra, veriler hedefin şifreleme anahtarı kullanılarak şifrelenmiş şifrelenmiş bir biçimde saklanacaktır.

Soru: Çoğaltma trafiğinin şifrelenmesiyle ilgili olarak Data Domain'in "kablo üzerinden şifreleme" özelliği için ne tür bir şifreleme algoritması kullanılır?
Cevap: Çoğaltma kimlik doğrulama modu "tek yönlü" veya "iki yönlü" olarak ayarlandığında, oturum anahtarı değişimi için Ephemeral Diffie-Hellman (DHE) kullanılır. Sunucu kimlik doğrulaması RSA tarafından gerçekleşir. AES 256 bit GCM şifresi, çoğaltılmış verileri kablo üzerinden kapsüllemek için kullanılır.

Şifreleme kapsülleme katmanı, hedef sisteme indiğinde hemen kaldırılır. Tek yol, yalnızca hedef sertifikanın sertifikalı olduğunu gösterir. Çift yol, hem kaynak hem de hedef sertifikaların doğrulandığını gösterir. Kimlik doğrulama modunu kullanmadan önce karşılıklı güven sağlanmalı ve şifrelemenin devam etmesi için bağlantının her iki tarafının da bu özelliği etkinleştirmesi gerekir.

Çoğaltma kimlik doğrulama modu "anonim" olarak ayarlandığında, oturum anahtarı değişimi için Anonim Diffie-Hellman (ADH) kullanılır, ancak bu durumda kaynak ve hedef, anahtar değişiminden önce birbirinin kimliğini doğrulamaz. Ayrıca, kimlik doğrulama modu belirtilmezse varsayılan olarak anonim kullanılır.

Soru: EDP (şifreleme devre dışı bırakma projesi) sisteminde kablolu şifreleme üzerinden şifreleme destekleniyor mu?
Cevap: EDP sisteminde Rest Şifreli Verileri (DARE) veya kablo üzerinden şifrelemeyi (çoğaltma veya ddboost ile) etkinleştiremiyoruz.