Data Domain : Activation du chiffrement sur le réseau et du chiffrement de la réplication de fichiers

Pour les environnements qui n’utilisent pas de VPN pour sécuriser les connexions entre les sites, le logiciel Data Domain (DD) Replicator peut encapsuler en toute sécurité sa charge utile de réplication sur SSL avec le chiffrement AES 256 bits pour une transmission sécurisée. Ce processus est également connu sous le nom de chiffrement des données en cours de transfert.

Chiffrement des données en cours de transfert
Le logiciel DD Replicator chiffre les données en cours de transfert entre deux systèmes Data Domain. C’est ce qu’on appelle le chiffrement des données en cours de transfert. Il utilise le chiffrement OpenSSL AES 256 bits pour encapsuler les données répliquées sur le réseau. La couche d’encapsulation de chiffrement est immédiatement supprimée lorsqu’elle arrive sur le système Data Domain de destination. Le logiciel de chiffrement DD peut également chiffrer les données au sein de la charge utile.

Activer le chiffrement sur le réseau (réplication de structure MTree)
DD Replicator prend en charge le chiffrement des données en cours de transfert avec le protocole TLS version 1.1. Lorsque le mode d’authentification de réplication est défini sur one-way ou two-way, Ephemeral Diffie-Hellman (DHE) est utilisé pour l’échange de clés de session. L’authentification du serveur s’effectue via RSA. Le chiffrement AES 256 bits GCM (Galois Counter Mode) encapsule les données répliquées sur le réseau. La couche d’encapsulation de chiffrement est immédiatement supprimée lorsqu’elle arrive sur le DD de destination. SHA384 est utilisé pour le code d’authentification du message de hachage.

Unidirectionnel indique que seul le certificat de destination est vérifié. Bidirectionnel indique que les certificats source et de destination sont vérifiés. La confiance mutuelle DOIT être établie avant que vous puissiez utiliser l’option de mode d’authentification, et les deux côtés de la connexion doivent activer cette fonctionnalité pour que le chiffrement se poursuive.

Lorsque le mode d’authentification de réplication est défini sur anonymous, Anonymous Diffie-Hellman (ADH) est utilisé pour les échanges de clés de session, mais la source et la destination ne s’authentifient pas mutuellement avant l’échange de clés. Si le mode d’authentification n’est pas spécifié, anonymous est la valeur par défaut.

NOTE: Sur DDOS 8.x, TLS 1.2 est utilisé lors de l’activation du chiffrement sur le réseau et du chiffrement de la réplication de fichiers DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

La réplication modifie le chiffrement de destination {enabled | disabled}. (L’interface utilisateur permet uniquement l’authentification anonyme.)
Modifiez l’état du chiffrement sur le réseau pour la destination. Cette fonctionnalité est active uniquement lorsqu’elle est activée à la fois sur la source et sur la destination. Le rôle requis est admin ou limited-admin.

Chiffrement de la réplication de fichiers (réplication de fichiers : Réplication de fichiers gérés à l’aide de DD Boost)
Vous pouvez chiffrer le flux de réplication des données en activant l’option de chiffrement de la réplication de fichiers DD Boost.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Question : DD Encryption peut-il être activé en même temps que la fonction de chiffrement sur le réseau dans l’option logicielle DD Replication ?
Répondre: Oui, le chiffrement sur le réseau et le chiffrement des données au repos (DARE) peuvent être activés simultanément pour atteindre différents objectifs de sécurité.

Question : Que se passe-t-il si l’option logicielle DD Encryption et la fonction de chiffrement sur le réseau de l’option logicielle DD Replication sont activées simultanément ?
Répondre: La première source chiffre les données à l’aide de la clé de chiffrement de destination ; Ensuite, les données déjà chiffrées ont été chiffrées une deuxième fois en raison du chiffrement sur le réseau lors de l’envoi de ces données à leur destination. À la destination, une fois le déchiffrement sur le réseau terminé, les données sont stockées dans un format chiffré qui a été chiffré à l’aide de la clé de chiffrement de la destination.

Question : Quel type d’algorithme de chiffrement est utilisé pour la fonctionnalité de « chiffrement sur le réseau » de Data Domain, en ce qui concerne le chiffrement du trafic de réplication ?
Répondre: Lorsque le mode d’authentification de réplication est défini sur « unidirectionnel » ou « bidirectionnel », le protocole DHE (Ephemeral Diffie-Hellman) est utilisé pour l’échange de clés de session. L’authentification du serveur est assurée par RSA. Le chiffrement GCM AES 256 bits est utilisé pour encapsuler les données répliquées sur le réseau.

La couche d’encapsulation de chiffrement est immédiatement supprimée lorsqu’elle arrive sur le système de destination. Unidirectionnel indique que seul le certificat de destination est certifié. L’option « bidirectionnel » indique que les certificats source et de destination sont vérifiés. La confiance mutuelle doit être établie avant que vous puissiez utiliser le mode d’authentification et les deux côtés de la connexion doivent activer cette fonctionnalité pour que le chiffrement se poursuive.

Lorsque le mode d’authentification de réplication est défini sur « anonymous », Diffie-Hellman anonyme (ADH) est utilisé pour l’échange de clés de session, mais dans ce cas, la source et la destination ne s’authentifient pas mutuellement avant l’échange de clés. En outre, si le mode d’authentification n’est pas spécifié, anonymous est utilisé par défaut.

Question : Le chiffrement sur le réseau est-il pris en charge dans le système EDP (Encryption Disablement Project) ?
Répondre: Impossible d’activer le chiffrement des données au repos (DARE) ou le chiffrement sur le réseau (avec réplication ou avec ddboost) dans le système EDP.