Домен даних: Як увімкнути шифрування за допомогою дротового зв'язку та шифрування реплікації файлів

Для середовищ, які не використовують VPN для безпечного з'єднання між сайтами, програмне забезпечення Data Domain (DD) Replicator може надійно інкапсулювати своє корисне навантаження реплікації через SSL за допомогою 256-бітного шифрування AES для безпечної передачі. Цей процес також відомий як шифрування даних у польоті.

Шифрування даних у польоті
Програмне забезпечення DD Replicator шифрує дані, що передаються між двома доменами даних. Це відомо як шифрування даних у польоті. Він використовує 256-бітне шифрування OpenSSL AES для інкапсуляції реплікованих даних по дроту. Рівень інкапсуляції шифрування негайно видаляється, коли він потрапляє на цільовий домен даних. Програмне забезпечення для шифрування DD також може шифрувати дані в межах корисного навантаження.

Увімкніть шифрування по дроту (реплікація MTree)
DD Replicator підтримує шифрування даних у польоті за допомогою протоколу TLS версії 1.1. Коли режим автентифікації реплікації встановлено на односторонній або двосторонній, для обміну сеансовими ключами використовується Ephemeral Diffie-Hellman (DHE). Аутентифікація сервера відбувається через RSA. 256-бітний шифр AES Galois Counter Mode (GCM) інкапсулює репліковані дані по дроту. Шар інкапсуляції шифрування негайно видаляється, як тільки він потрапляє на цільовий DD. SHA384 використовується для коду автентифікації хеш-повідомлення.

Односторонній сигнал вказує на те, що перевірено лише сертифікат призначення. Двосторонній вказує на те, що перевірено сертифікати джерела та призначення. Взаємна довіра ПОВИННА бути встановлена, перш ніж ви зможете використовувати опцію режиму автентифікації, і обидві сторони з'єднання повинні ввімкнути цю функцію для продовження шифрування.

Коли режим автентифікації реплікації встановлено на анонімний, для обміну сеансовими ключами використовується Anonymous Diffie-Hellman (ADH), але джерело та призначення не автентифікують один одного перед обміном ключами. Якщо режим аутентифікації не вказано, за замовчуванням використовується анонімність.

ПРИМІТКА: У DDOS 8.x TLS 1.2 використовується при включенні шифрування по дроту і шифрування реплікації файлів DDBoost. 

1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:  

a) Check current trusts:
adminaccess trust show

b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual

2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.

Run on both source and target DD.  Configuring on target first is recommended.  
Also note that replication CTX numbers can be different on source and target DDs.

a) must disable replication prior to making modifications.

  replication disable <destination> 
example:
  replication disable rctx://1 

b) enable encryption over the wire with or without authentication-mode.
  replication modify <destination> encryption {enabled | disabled} 
                [authentication-mode {one-way | two-way | anonymous}]  
example:
  replication modify rctx://1 encryption enabled authentication-mode two-way

3) Verify changes made:
  replication show config

example:
  replication show config
CTX   Source                                                    Destination                                            Connection                            Low-bw-optim   Crepl-gc-bw-optim   Encryption          Enabled   Max-repl-   Tenant-unit
                                                                                                                       Host and Port                                                            (Auth-mode)                   streams
---   -------------------------------------------------------   ----------------------------------------------------   -----------------------------------   ------------   -----------------   -----------------   -------   ---------   -----------
1     mtree://DD3300.MyCompany.com/data/col1/mtree1             mtree://DDVE.MyCompany.com/data/col1/mtree1_repl       DDVE.MyCompany.com       (default)    disabled       disabled            enabled (two-way)   no       8           -

4) Enable replication on both DDs.  Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs. 

  replication enable <destination> 
example:
  replication enable rctx://1 

Реплікація змінює шифрування призначення {enabled | disabled}. (Інтерфейс користувача дозволяє лише анонімну автентифікацію.)
Змініть стан шифрування по дроту для місця призначення. Ця функція активна лише тоді, коли її ввімкнено як на джерелі, так і на місці призначення. Потрібна роль admin або limited-admin.

Шифрування реплікації файлів (MFR: Керована реплікація файлів за допомогою DD Boost)
Ви можете зашифрувати потік реплікації даних, увімкнувши опцію шифрування реплікації файлу DD Boost.

ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.

ddboost file-replication option show [encryption]
Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.

Питання: Чи можна ввімкнути DD-шифрування одночасно з функцією бездротового шифрування в опції програмного забезпечення DD Replication?
Відповідь: Так, як дротове шифрування, так і шифрування даних у стані спокою (DARE) можна ввімкнути одночасно для досягнення різних цілей безпеки.

Питання: Що станеться, якщо одночасно активувати опцію програмного забезпечення для шифрування DD і функцію шифрування по дроту в опції програмного забезпечення для реплікації DD?
Відповідь: Перше джерело шифрує дані за допомогою ключа шифрування призначення; Потім вже зашифровані дані шифруються вдруге через дротове шифрування під час надсилання цих даних до місця призначення. У пункті призначення після завершення дротового розшифрування дані зберігатимуться в зашифрованому форматі, який був зашифрований за допомогою ключа шифрування одержувача.

Питання: Який тип алгоритму шифрування використовується для функції «шифрування по дроту» Data Domain, щоб зашифрувати трафік реплікації?
Відповідь: Коли режим аутентифікації реплікації встановлено на «односторонній» або «двосторонній», для обміну сеансовими ключами використовується Ephemeral Diffie-Hellman (DHE). Аутентифікація сервера здійснюється за допомогою RSA. 256-бітний шифр GCM використовується для інкапсуляції реплікованих даних по дроту.

Шар інкапсуляції шифрування негайно видаляється, коли він потрапляє на систему призначення. Один із способів вказує на те, що сертифіковано лише сертифікат призначення. Two way вказує на те, що сертифікати джерела та призначення перевірено. Перш ніж ви зможете використовувати режим автентифікації, необхідно встановити взаємну довіру, і обидві сторони з'єднання повинні ввімкнути цю функцію для продовження шифрування.

Коли режим автентифікації реплікації встановлено на «анонімний», для обміну сеансовими ключами використовується Anonymous Diffie-Hellman (ADH), але в цьому випадку джерело та призначення не автентифікують один одного перед обміном ключами. Крім того, якщо режим аутентифікації не вказано, за замовчуванням використовується анонімний.

Питання: Чи підтримується шифрування по дротовому зв'язку в системі EDP (проект відключення шифрування)?
Відповідь: Ми не можемо ввімкнути шифрування даних у стані спокою (DARE) або через дротове шифрування (з реплікацією або за допомогою ddboost) у системі EDP.