「Data Domain：ネットワーク経由の暗号化とファイル レプリケーション暗号化を有効にする方法

サイト間の安全な接続にVPNを使用していない環境の場合、Data Domain (DD) Replicatorソフトウェアは、AES 256ビット暗号化を使用してSSL経由でレプリケーション ペイロードを安全にカプセル化し、安全な転送を可能にします。このプロセスは、転送中のデータの暗号化とも呼ばれます。

インフライト データの暗号化
DD Replicatorソフトウェアは、2つのData Domain間で転送されるデータを暗号化します。これは、転送中のデータの暗号化と呼ばれます。OpenSSL AES 256ビット暗号化を使用して、ネットワーク経由でレプリケートされたデータをカプセル化します。暗号化カプセル化レイヤーは、デスティネーションData Domainに配置されるとすぐに削除されます。DD暗号化ソフトウェアは、ペイロード内のデータを暗号化することもできます。

Enable Encryption Over Wire (MTree Replication)
DD Replicatorは、TLSプロトコル バージョン1.1を使用した実行中のデータの暗号化をサポートします。レプリケーション認証モードが一方向または双方向に設定されている場合、セッション キーの交換には一時Diffie-Hellman(DHE)が使用されます。サーバー認証はRSAを介して行われます。AES 256ビットGalois Counter Mode (GCM)暗号は、ネットワーク経由でレプリケートされたデータをカプセル化します。暗号化カプセル化レイヤーは、デスティネーションDDに到達するとすぐに削除されます。SHA384は、ハッシュ メッセージ認証コードに使用されます。

一方向は、宛先証明書のみが検証されることを示します。双方向は、ソース証明書と宛先証明書の両方が検証されていることを示します。authentication-mode オプションを使用する前に相互信頼を確立する 必要があり 、暗号化を続行するには、接続の両側でこの機能を有効にする必要があります。

レプリケーション認証モードがanonymousに設定されている場合、セッション キーの交換にはADH(Anonymous Diffie-Hellman)が使用されますが、ソースとデスティネーションはキー交換前に相互に認証されません。認証モードが指定されていない場合、anonymousがデフォルト値になります。

手記：DDOS 8.xでは、ネットワーク経由の暗号化とDDBoostファイル レプリケーション暗号化を有効にするときにTLS 1.2が使用されます。 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

レプリケーションによってデスティネーションの暗号化が変更されます{enabled | disabled}。(UIでは匿名認証のみが許可されます。)
宛先のEncryption Over Wireの状態を変更します。この機能は、ソースとデスティネーションの両方で有効になっている場合にのみアクティブになります。必要なロールはadminまたはlimited-adminです。

ファイル レプリケーション暗号化(MFR: DD Boostを使用した管理ファイル レプリケーション)
DD Boostファイル レプリケーション暗号化オプションを有効にすることで、データ レプリケーション ストリームを暗号化できます。

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

質問：DD Encryptionは、DD Replicationソフトウェア オプションの有線経由の暗号化機能と同時に有効にできますか
答える：はい。ネットワーク経由の暗号化と静止データ暗号化(DARE)の両方を同時に有効にして、異なるセキュリティ目標を達成することができます。

質問：DD Encryptionソフトウェア オプションとDD Replicationソフトウェア オプションの有線暗号化機能の両方を同時に有効にするとどうなりますか
答える：最初のソースは、デスティネーション暗号化キーを使用してデータを暗号化します。その後、すでに暗号化されたデータは、宛先への送信中にネットワーク経由の暗号化のために2回目に暗号化されます。ネットワーク経由の復号化が完了した後、宛先の暗号化キーを使用して暗号化された形式でデータが保存されます。

質問：レプリケーション トラフィックの暗号化に関して、Data Domainの「ネットワーク経由の暗号化」機能に使用される暗号化アルゴリズムのタイプは何ですか
答える：レプリケーション認証モードが「一方向」または「双方向」に設定されている場合、セッション キーの交換には一時Diffie-Hellman(DHE)が使用されます。サーバー認証はRSAによって行われます。AES 256ビットGCM暗号は、ネットワーク経由でレプリケートされたデータをカプセル化するために使用されます。

暗号化カプセル化層は、デスティネーション システムに格納されるとただちに削除されます。一方向は、宛先の証明書のみが認定されていることを示します。双方向は、ソース証明書と宛先証明書の両方が検証されていることを示します。認証モードを使用する前に相互信頼が確立されている必要があります。また、暗号化を続行するには、接続の両側でこの機能を有効にする必要があります。

レプリケーション認証モードが「anonymous」に設定されている場合、セッション キー交換にはAnonymous Diffie-Hellman(ADH)が使用されますが、この場合、ソースとデスティネーションはキー交換前に相互に認証されません。また、authentication-mode が指定されていない場合は、anonymous がデフォルトとして使用されます。

質問：EDP(暗号化無効化プロジェクト)システムでネットワーク経由の暗号化はサポートされていますか
答える：EDPシステムでは、静止データ暗号化(DARE)またはワイヤ経由の暗号化(レプリケーションまたはddboostを使用)を有効にすることはできません。