Data Domain: Slik aktiverer du kryptering over tråd- og filreplikeringskryptering

For miljøer som ikke bruker et VPN for sikre tilkoblinger mellom områder, kan Data Domain (DD) Replicator-programvaren sikkert kapsle inn replikeringsnyttelasten over SSL med AES 256-biters kryptering for sikker overføring. Denne prosessen er også kjent som kryptering av data under flukt.

Kryptering av data under flyging
DD Replicator-programvaren krypterer data som overføres mellom to datadomener. Dette er kjent som kryptering av data under flyging. Den bruker OpenSSL AES 256-bit kryptering for å innkapsle de replikerte dataene over ledningen. Krypteringsinnkapslingslaget fjernes umiddelbart når det lander på måldatadomenet. DD-krypteringsprogramvare kan også kryptere data i nyttelasten.

Aktiver kryptering over kabling (MTree-replikering)
DD Replicator støtter kryptering av data under flyging med TLS-protokollversjon 1.1. Når replikasjonsgodkjenningsmodus er satt til enveis eller toveis, brukes Ephemeral Diffie-Hellman (DHE) til utveksling av øktnøkkel. Servergodkjenning skjer over RSA. AES 256-bit Galois Counter Mode (GCM)-krypteringen kapsler inn de replikerte dataene over ledningen. Krypteringsinnkapslingslaget fjernes umiddelbart når det lander på destinasjons-DD. SHA384 brukes for hash-melding autentiseringskode.

Enveis angir at bare målsertifikatet er verifisert. Toveis indikerer at både kilde- og destinasjonssertifikatene er verifisert. Gjensidig tillit MÅ etableres før du kan bruke alternativet for godkjenningsmodus, og begge sider av tilkoblingen må aktivere denne funksjonen for at krypteringen skal fortsette.

Når replikeringsgodkjenningsmodusen er satt til anonym, brukes anonym Diffie-Hellman (ADH) til utveksling av øktnøkler, men kilden og målet godkjenner ikke hverandre før nøkkelutvekslingen. Hvis godkjenningsmodus ikke er angitt, er anonym standardverdien.

NOTAT: På DDOS 8.x brukes TLS 1.2 ved aktivering av over-the-wire-kryptering og DDBoost-filreplikeringskryptering. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Replikering endrer målkryptering {aktivert | deaktivert}. (Brukergrensesnittet tillater bare anonym godkjenning.)
Endre krypteringstilstanden over ledningen for målet. Denne funksjonen er bare aktiv når den er aktivert både på kilden og målet. Rollen som kreves er admin eller limited-admin.

Filreplikasjonskryptering (MFR: Replikering av administrert fil ved hjelp av DD Boost)
Du kan kryptere datareplikeringsstrømmen ved å aktivere alternativet kryptering av DD Boost-filreplikering.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Spørsmål: Kan DD-kryptering aktiveres samtidig med over-the-wire-krypteringsfunksjonen i DD Replication-programvarealternativet?
Svare: Ja, både over trådkryptering og Data at Rest Encryption (DARE) kan aktiveres samtidig for å oppnå forskjellige sikkerhetsmål.

Spørsmål: Hva skjer hvis både alternativet DD Encryption-programvare og funksjonen for over-the-wire-kryptering i DD Replication-programvaren er aktivert samtidig?
Svare: Den første kilden krypterer data ved hjelp av destinasjonskrypteringsnøkkel; Da allerede kryptert data kryptert en gang til på grunn av over wire kryptering mens du sender disse dataene til bestemmelsesstedet. På destinasjonen etter over wire dekryptering er gjort, vil data bli lagret i et kryptert format som ble kryptert ved hjelp av destinasjonens krypteringsnøkkel.

Spørsmål: Hvilken type krypteringsalgoritme brukes for Data Domains funksjon for "kryptering over ledningen" når det gjelder kryptering av replikasjonstrafikken?
Svare: Når replikasjonsgodkjenningsmodus er satt til "enveis" eller "toveis", brukes Ephemeral Diffie-Hellman (DHE) til utveksling av øktnøkkel. Servergodkjenning skjer av RSA. AES 256-bit GCM-kryptering brukes til å kapsle inn de replikerte dataene over ledningen.

Krypteringsinnkapslingslaget fjernes umiddelbart når det lander på målsystemet. En måte indikerer at bare destinasjonssertifikatet er sertifisert. To måter indikerer at både kilde- og destinasjonssertifikatene er verifisert. Gjensidig tillit må etableres før du kan bruke godkjenningsmodus, og begge sider av tilkoblingen må aktivere denne funksjonen for at krypteringen skal fortsette.

Når replikasjonsgodkjenningsmodus er satt til "anonym", brukes Anonymous Diffie-Hellman (ADH) til utveksling av øktnøkler, men i dette tilfellet godkjenner ikke kilde og destinasjon hverandre før nøkkelutvekslingen. Hvis godkjenningsmodusen ikke er angitt, brukes også anonym som standard.

Spørsmål: Er over wire kryptering støttet i EDP (Encryption Disablement Project) system?
Svare: Vi kan ikke aktivere DARE-kryptering (Data at Rest) eller over trådkryptering (med replikering eller med ddboost) i EDP-systemet.