Data Domain: Como ativar a criptografia por fio e a criptografia de replicação de arquivos

Para ambientes que não usam uma VPN para conexões seguras entre locais, o software Data Domain (DD) Replicator pode encapsular com segurança sua carga útil de replicação por SSL com criptografia AES de 256 bits para transmissão segura. Esse processo também é conhecido como criptografia de dados em trânsito.

Criptografia de dados em trânsito
O software DD Replicator criptografa os dados que estão sendo transferidos entre dois Data Domains. Isso é conhecido como criptografia de dados em trânsito. Ele usa criptografia OpenSSL AES de 256 bits para encapsular os dados replicados pela conexão. A camada de encapsulamento de criptografia é removida imediatamente quando chega ao Data Domain de destino. O software de criptografia DD também pode criptografar dados dentro do payload.

Ativar criptografia por conexão (replicação de MTree)
O DD Replicator é compatível com criptografia de dados em trânsito com o protocolo TLS versão 1.1. Quando o modo de autenticação de replicação é definido como unidirecional ou bidirecional, o DHE (Ephemeral Diffie-Hellman) é usado para troca de chaves de sessão. A autenticação do servidor acontece por RSA. A codificação AES Galois Counter Mode (GCM) de 256 bits encapsula os dados replicados pela conexão. A camada de encapsulamento de criptografia é removida imediatamente assim que chega ao DD de destino. O SHA384 é usado para o código de autenticação de mensagem hash.

Unidirecional indica que somente o certificado de destino é verificado. Bidirecional indica que os certificados de origem e destino são verificados. A confiança mútua DEVE ser estabelecida antes que você possa usar a opção authentication-mode, e ambos os lados da conexão devem habilitar esse recurso para que a criptografia continue.

Quando o modo de autenticação de replicação é definido como Anônimo, o ADH (Anonymous Diffie-Hellman) é usado para trocas de chaves de sessão, mas a origem e o destino não se autenticam antes da troca de chaves. Se o modo de autenticação não for especificado, anônimo será o valor padrão.

NOTA: No DDOS 8.x, o TLS 1.2 é usado ao habilitar a criptografia over-the-wire e a criptografia de replicação de arquivos do DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

A replicação modifica a criptografia de destino {enabled | disabled}. (A interface do usuário só permite autenticação anônima.)
Modifique o estado da criptografia por conexão para o destino. Esse recurso fica ativo somente quando ativado na origem e no destino. A função necessária é admin ou limited-admin.

Criptografia de replicação de arquivos (MFR: Replicação gerenciada de arquivos usando DD Boost)
Você pode criptografar o fluxo de replicação de dados ativando a opção de criptografia de replicação de arquivos DD Boost.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Pergunta: O DD Encryption pode ser ativado simultaneamente com o recurso de criptografia over-the-wire na opção do software DD Replication?
Responder: Sim, tanto a criptografia over the wire quanto a criptografia de dados em repouso (DARE) podem ser ativadas simultaneamente para atingir diferentes objetivos de segurança.

Pergunta: O que acontecerá se a opção do software DD Encryption e o recurso de criptografia over-the-wire da opção do software DD Replication forem ativados simultaneamente?
Responder: A primeira origem criptografa os dados usando a chave de criptografia de destino; então já criptografados dados criptografados uma segunda vez por causa da criptografia over the wire ao enviar esses dados para o seu destino. No destino, depois que a descriptografia por fio for concluída, os dados serão armazenados em um formato criptografado que foi criptografado usando a chave de criptografia do destino.

Pergunta: Que tipo de algoritmo de criptografia é usado para o recurso "encryption over the wire" do Data Domain para considerar a criptografia do tráfego de replicação?
Responder: Quando o modo de autenticação de replicação é definido como "unidirecional" ou "bidirecional", o DHE (Ephemeral Diffie-Hellman) é usado para troca de chaves de sessão. A autenticação do servidor acontece pela RSA. A codificação GCM AES de 256 bits é usada para encapsular os dados replicados pela conexão.

A camada de encapsulamento de criptografia é removida imediatamente quando chega ao sistema de destino. Uma via indica que somente o certificado de destino é certificado. Bidirecional indica que os certificados de origem e destino são verificados. A confiança mútua deve ser estabelecida antes que você possa usar o modo de autenticação, e ambos os lados da conexão devem habilitar esse recurso para que a criptografia prossiga.

Quando o modo de autenticação de replicação é definido como "anônimo", o Diffie-Hellman (ADH) anônimo é usado para a troca de chaves de sessão, mas, nesse caso, a origem e o destino não se autenticam antes da troca de chaves. Além disso, se o modo de autenticação não for especificado, o anônimo será usado como padrão.

Pergunta: A criptografia over the wire é suportada no sistema EDP (projeto de desativação de criptografia)?
Responder: Não é possível ativar a criptografia de dados em repouso (DARE) ou a criptografia por fio (com replicação ou com ddboost) no sistema EDP.