Data Domain: Jak povolit šifrování po drátě a šifrování replikace souborů

V prostředích, která nepoužívají VPN pro zabezpečená připojení mezi pracovišti, může software Data Domain (DD) Replicator bezpečně zapouzdřit svou replikační zátěž přes SSL s 256bitovým šifrováním AES pro bezpečný přenos. Tento proces se také označuje jako šifrování dat za běhu.

Šifrování přenášených
datSoftware DD Replicator šifruje data přenášená mezi dvěma systémy Data Domain. To se označuje jako šifrování přenášených dat. Používá 256bitové šifrování OpenSSL AES k zapouzdření replikovaných dat po drátě. Šifrovací zapouzdřená vrstva se okamžitě odebere, jakmile se dostane do cílového systému Data Domain. Šifrovací software DD může také šifrovat data v datové části.

Povolit šifrování pomocí drátu (replikace MTree)
DD Replicator podporuje šifrování přenášených dat pomocí protokolu TLS verze 1.1. Pokud je režim ověřování replikace nastaven na jednosměrný nebo obousměrný, je pro výměnu klíčů relace použit dočasný algoritmus Diffie-Hellman (DHE). Ověření serveru probíhá přes RSA. 256bitová šifra AES Galois Counter Mode (GCM) zapouzdřuje replikovaná data po drátě. Šifrovací zapouzdřecí vrstva se okamžitě odebere, jakmile se dostane do cílového systému DD. SHA384 se používá pro ověřovací kód zprávy hash.

Jednosměrný označuje, že je ověřen pouze cílový certifikát. Obousměrný označuje, že jsou ověřeny zdrojový i cílový certifikát. Před použitím režimu ověřování MUSÍ být navázána vzájemná důvěra a obě strany připojení musí tuto funkci povolit, aby šifrování pokračovalo.

Pokud je režim ověřování replikace nastaven na anonymní, používá se pro výměnu klíčů relace metoda ADH (Anonymous Diffie-Hellman), ale zdroj a cíl se před výměnou klíčů vzájemně neověřují. Není-li zadán režim ověřování, je výchozí hodnotou anonymní.

POZNÁMKA: V systému DDOS 8.x se protokol TLS 1.2 používá při povolování šifrování over-the-wire a šifrování replikace souborů DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Replikace modifikuje cílové šifrování {povoleno | zakázáno}. (Uživatelské rozhraní umožňuje pouze anonymní ověřování.)
Upravte stav šifrování po drátě pro cíl. Tato funkce je aktivní pouze v případě, že je povolena na zdroji i cíli. Požadovaná role je admin nebo limited-admin.

Šifrování replikace souboru (MFR: Replikace spravovaných souborů pomocí funkce DD Boost)
Datový proud replikace dat můžete zašifrovat povolením možnosti DD Boost šifrování replikace souborů.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Otázka: Lze šifrování DD povolit souběžně s funkcí šifrování over-the-wire v softwaru DD Replication?
Odpověď: Ano, šifrování po drátě i šifrování dat v klidu (DARE) lze současně povolit za účelem dosažení různých cílů zabezpečení.

Otázka: Co se stane, pokud jsou současně povoleny možnosti Software DD Encryption a Over-the-Wire Encryption v softwaru DD Replication?
Odpověď: První zdroj šifruje data pomocí cílového šifrovacího klíče. Poté již zašifrovaná data zašifrována podruhé kvůli šifrování po drátě při odesílání těchto dat do cíle. V cíli budou data po provedení dešifrování po drátě uložena v šifrovaném formátu, který byl zašifrován pomocí šifrovacího klíče cíle.

Otázka: Jaký typ šifrovacího algoritmu se používá pro funkci "Encryption over the wire" v systému Data Domain ohledně šifrování dat replikace?
Odpověď: Pokud je režim ověřování replikace nastaven na jednosměrný nebo obousměrný, je pro výměnu klíčů relace použit dočasný algoritmus DHE (Ephemeral Diffie-Hellman). Ověření serveru probíhá pomocí RSA. 256bitová šifra AES GCM se používá k zapouzdření replikovaných dat po drátě.

Šifrovací zapouzdřecí vrstva se odebere okamžitě, když se dostane do cílového systému. Jeden způsob znamená, že je certifikován pouze cílový certifikát. Dva způsoby označují, že je ověřen zdrojový i cílový certifikát. Před použitím režimu ověřování musí být navázána vzájemná důvěra a obě strany připojení musí tuto funkci povolit, aby šifrování pokračovalo.

Pokud je režim ověřování replikace nastaven na hodnotu Anonymous, je pro výměnu klíčů relace použit parametr ADH (Anonymous Diffie-Hellman), ale v tomto případě se zdroj a cíl před výměnou klíčů vzájemně neověřují. Pokud není zadán režim ověřování, použije se jako výchozí anonymní režim.

Otázka: Je v systému EDP (Encryption Disablement Project) podporováno šifrování po drátě?
Odpověď: V systému EDP nelze povolit šifrování dat v klidu (DARE) nebo šifrování po drátě (s replikací nebo pomocí ddboost).