Data Domain: Langallisen salauksen ja tiedostojen replikoinnin salauksen ottaminen käyttöön

Ympäristöissä, jotka eivät käytä VPN:ää sivustojen välisiin suojattuihin yhteyksiin, Data Domain (DD) Replicator -ohjelmisto voi turvallisesti kapseloida replikointihyötykuormansa SSL:n kautta AES 256-bittisellä salauksella turvallista tiedonsiirtoa varten. Tätä prosessia kutsutaan myös tietojen salaamiseksi lennon aikana.

Tietojen salaus lennon
aikanaDD Replicator -ohjelmisto salaa kahden Data Domainin välillä siirrettävät tiedot. Tätä kutsutaan tietojen salaukseksi lennon aikana. Se käyttää 256-bittistä OpenSSL AES -salausta replikoitujen tietojen kapselointiin langan yli. Salauksen kapselointikerros poistetaan välittömästi, kun se päätyy Data Domain -kohdealueelle. DD-salausohjelmisto voi myös salata hyötykuorman tiedot.

Enable Encryption over Wire (MTree Replication)
DD Replicator tukee lennossa olevien tietojen salausta TLS-protokollaversiolla 1.1. Kun replikoinnin todennustilaksi on määritetty yksisuuntainen tai kaksisuuntainen, istuntoavainten vaihtoon käytetään lyhytaikaista Diffie-Hellmania (DHE). Palvelimen todennus tapahtuu RSA: n kautta. AES 256-bittinen Galois Counter Mode (GCM) -salaus kapseloi replikoidut tiedot langan yli. Salauksen kapselointikerros poistetaan välittömästi, kun se laskeutuu DD-kohdekansioon. SHA384:ää käytetään hajautusviestin todennuskoodina.

Yksi suunta tarkoittaa, että vain kohdevarmenne tarkistetaan. Kaksisuuntainen tarkoittaa, että sekä lähde- että kohdevarmenteet tarkistetaan. Molemminpuolinen luottamus ON muodostettava , ennen kuin voit käyttää todennustilaa, ja yhteyden molempien osapuolten on otettava tämä ominaisuus käyttöön, jotta salaus voi jatkua.

Kun replikoinnin todennustilaksi on määritetty anonyymi, istuntoavainten vaihdossa käytetään Anonymous Diffie-Hellmania (ADH), mutta lähde ja kohde eivät todenna toisiaan ennen avaimenvaihtoa. Jos todennustilaa ei ole määritetty, oletusarvo on anonymous.

MUISTIINPANO: DDOS 8.x -versiossa TLS 1.2:ta käytetään, kun over-the-wire-salaus ja DDBoost-tiedostojen replikointisalaus otetaan käyttöön. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Replikointi muokkaa kohteen salausta {käytössä | pois käytöstä}. (Käyttöliittymä sallii vain anonyymin todennuksen.)
Muokkaa kohteen langallisen salauksen tilaa. Tämä ominaisuus on aktiivinen vain, kun se on käytössä sekä lähteessä että kohteessa. Vaadittu rooli on admin tai limited admin.

Tiedostojen replikoinnin salaus (MFR: Hallittu tiedostojen replikointi DD Boostilla)
Voit salata tietojen replikointivirran ottamalla käyttöön DD Boost file replication encryption -asetuksen.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Kysymys: Voiko DD-salauksen ottaa käyttöön samanaikaisesti DD Replication -ohjelmiston Over-the-Wire-salausominaisuuden kanssa?
Vastata: Kyllä, sekä langallinen salaus että DARE (Data at Rest Encrypting) -salaus voidaan ottaa käyttöön samanaikaisesti erilaisten tietoturvatavoitteiden saavuttamiseksi.

Kysymys: Mitä tapahtuu, jos sekä DD Encryption -ohjelmiston asetus että DD Replication -ohjelmiston over-the-wire-salausominaisuus otetaan käyttöön samanaikaisesti?
Vastata: Ensimmäinen lähde salaa tiedot kohteen salausavaimella; Sitten jo salattu tiedot salattu toisen kerran langan yli salauksen vuoksi, kun nämä tiedot lähetetään määränpäähänsä. Määränpäässä langan salauksen purkamisen jälkeen tiedot tallennetaan salatussa muodossa, joka salattiin kohteen salausavaimella.

Kysymys: Minkälaista salausalgoritmia käytetään Data Domainin "encryption over the wire" -ominaisuudessa replikointiliikenteen salauksessa?
Vastata: Kun replikoinnin todennustilaksi on määritetty yksisuuntainen tai kaksisuuntainen, istuntoavainten vaihtoon käytetään lyhytaikaista Diffie-Hellmania (DHE). Palvelimen todennus tapahtuu RSA: lla. AES 256-bittistä GCM-salausta käytetään kapseloimaan replikoidut tiedot langan yli.

Salauksen kapselointikerros poistetaan välittömästi, kun se laskeutuu kohdejärjestelmään. Yksi tapa osoittaa, että vain kohdevarmenne on sertifioitu. Kaksi tapaa osoittaa, että sekä lähde- että kohdevarmenteet tarkistetaan. Molemminpuolinen luottamus on muodostettava, ennen kuin voit käyttää todennustilaa, ja yhteyden molempien osapuolten on otettava tämä ominaisuus käyttöön, jotta salaus voi jatkua.

Kun replikoinnin todennustilaksi on määritetty anonyymi, istuntoavainten vaihtoon käytetään anonyymiä Diffie-Hellmania (ADH), mutta tässä tapauksessa lähde ja kohde eivät todenna toisiaan ennen avaimenvaihtoa. Jos todennustilaa ei ole määritetty, oletuksena käytetään anonyymiä.

Kysymys: Tukeeko EDP (encryption disablement project) -järjestelmä over the wire -salausta?
Vastata: Emme voi ottaa käyttöön DARE (Data at Rest Encryption -salausta) tai langallista salausta (replikoinnin tai ddboostin avulla) EDP-järjestelmässä.