Data Domain：如何启用线路加密和文件复制加密

对于未使用 VPN 实现站点间安全连接的环境，Data Domain （DD） Replicator 软件可以通过 SSL 使用 AES 256 位加密安全地封装其复制有效负载，以实现安全传输。此过程也称为加密传输中数据。

传输
中数据加密DD Replicator 软件可对在两个 Data Domain 之间传输的数据进行加密。这称为传输中数据加密。它使用 OpenSSL AES 256 位加密通过网络封装复制的数据。当加密封装层登陆目标 Data Domain 时，会立即将其删除。DD 加密软件还可以对有效负载内的数据进行加密。

启用线路加密（MTree 复制）
DD Replicator 支持使用 TLS 协议版本 1.1 对传输中数据进行加密。当复制身份验证模式设置为单向或双向时，临时 Diffie-Hellman （DHE） 用于会话密钥交换。服务器身份验证通过 RSA 进行。AES 256 位 Galois 计数器模式 （GCM） 密码通过网络封装复制的数据。加密封装层在到达目标 DD 时会立即删除。SHA384 用于哈希消息身份验证代码。

单向表示仅验证目标证书。“Two-way”表示源和目标证书均已验证。必须先建立相互信任，然后才能使用身份验证模式选项，并且连接的两端必须启用此功能才能继续加密。

当复制身份验证模式设置为匿名时，匿名 Diffie-Hellman （ADH） 用于会话密钥交换，但在密钥交换之前，源和目标不会相互进行身份验证。如果未指定身份验证模式，则默认值为 anonymous。

注意：在 DDOS 8.x 上，TLS 1.2 在启用线上加密和 DDBoost 文件复制加密时使用。 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

复制会修改目标加密 {enabled | disabled}。（UI 仅允许匿名身份验证。）
修改目标的线路加密状态。仅当在源和目标上启用时，此功能才处于活动状态。所需的角色是 admin 或 limited-admin。

文件复制加密 （MFR：使用 DD Boost 的托管文件复制）
您可以通过启用 DD Boost 文件复制加密选项来加密数据复制流。

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

问：是否可以在 DD 复制软件选项中同时启用 DD 加密和传输中加密功能？
答：是的，可以同时启用线上加密和静态数据加密 （DARE），以实现不同的安全目标。

问：如果同时启用 DD Encryption 软件选项和 DD Replication 软件选项中的传输中加密功能，会发生什么情况？
答：第一个源使用目标加密密钥对数据进行加密;然后，由于线路加密，已经加密的数据在将此数据发送到其目标时进行了第二次加密。在目标位置，通过线路解密完成后，数据将以加密格式存储，该格式使用目标的加密密钥进行加密。

问：Data Domain 的“线上加密”功能使用哪种类型的加密算法来加密复制流量？
答：当复制身份验证模式设置为“one-way”或“two-way”时，临时 Diffie-Hellman （DHE） 用于会话密钥交换。RSA 进行服务器身份验证。AES 256 位 GCM 密码用于有线封装复制的数据。

当加密封装层到达目标系统时，会立即将其删除。单向方式表示仅认证目标证书。Two way表示源和目标证书均已验证。必须先建立相互信任，然后才能使用身份验证模式，并且连接的两端必须启用此功能才能继续加密。

当复制身份验证模式设置为“anonymous”时，匿名 Diffie-Hellman （ADH） 用于会话密钥交换，但在这种情况下，源和目标在密钥交换之前不会相互进行身份验证。此外，如果未指定 authentication-mode，则默认使用 anonymous。

问：EDP（加密禁用项目）系统是否支持线上加密？
答：我们无法在 EDP 系统中启用静态数据加密 （DARE） 或网络加密（使用复制或 ddboost）。