Data Domain - DD Boost 글로벌 인증 및 암호화

암호화 및 인증 강화는 클라이언트 호환성에 따라 달라집니다. 아래 정보와 표를 검토하십시오.
인증 및 암호화 설정은 세 가지 방법으로 지정할 수 있으며, 이 문서에 자세히 설명되어 있습니다.

전송 중 암호화
전송 중 암호화를 사용하면 애플리케이션이 전송 중 백업을 암호화하거나 LAN을 통해 보호 시스템에서 데이터를 복원할 수 있습니다. 이 기능은 보다 안전한 데이터 전송 기능을 제공하기 위해 도입되었습니다.
구성된 경우 클라이언트는 TLS를 사용하여 클라이언트와 보호 시스템 간의 세션을 암호화할 수 있습니다. 사용되는 특정 암호 그룹은 아래 표와 같습니다.

DD Boost 클라이언트 3.3~7.0 및 7.5 이상

DD Boost 클라이언트 3.3~7.0 및 7.5 이상(계속)

DD Boost 클라이언트 7.1~7.4

DD Boost 클라이언트 7.1~7.4(계속)

글로벌 인증 및 암호화
DD Boost는 글로벌 인증 및 암호화 옵션을 제공하여 MITM(Man-in-the-Middle) 공격으로부터 시스템을 보호합니다.
글로벌 옵션을 사용하면 새 클라이언트가 보호되지만 각 클라이언트에 대해 서로 다른 값을 구성할 수도 있습니다. 또한 클라이언트 설정은 보안을 강화하는 것만 가능하며 보안 수준을 낮추는 것은 아닙니다.
글로벌 인증 모드 및 암호화 강도를 설정하면 최소 수준의 인증 및 암호화가 설정됩니다. 모든 클라이언트의 모든 연결 시도는 이러한 수준을 충족하거나 초과해야 합니다.

기본 글로벌 옵션은 이전 버전과 호환됩니다. 즉,

• DD Boost 라이브러리를 업데이트할 필요가 없습니다.
  모든 기존 클라이언트 및 애플리케이션은 새 옵션의 기본 설정과 동일한 방식으로 작동합니다.
• 추가된 암호화가 없으므로 성능에 영향을 미치지 않습니다.
• TLS(Transport Layer Security)가 있는 인증서를 사용하는 클라이언트 및 애플리케이션은 변경 없이 계속 작동할 수 있습니다.
  참고: 글로벌 설정이 기본 설정과 다른 경우 기존 클라이언트를 업데이트해야 할 수 있습니다.

인증 및 암호화 설정 방법
세 가지 방법으로 인증 및 암호화 설정을 지정할 수 있습니다.

• 연결 요청
  클라이언트 애플리케이션에서 ddp_connect_with_config API를 사용하여 이 작업을 수행합니다.
• 클라이언트별 설정
  보호 시스템에서 CLI 명령을 사용하여 이 작업을 수행합니다.
• 글로벌 설정
  보호 시스템에서 CLI 명령을 사용하여 이 작업을 수행합니다.

클라이언트별 값과 글로벌 값이 모두 설정된 경우 더 강력하거나 더 높은 설정이 적용됩니다. 약한 인증 또는 암호화 설정으로 연결을 시도하는 모든 클라이언트는 거부됩니다.

인증 및 암호화 설정
인증 및 암호화 설정을 결정할 때 몇 가지 요소를 고려할 수 있습니다. 그러나 보안을 극대화하려면 항상 사용 가능한 최대 설정을 선택하는 것이 좋습니다.
최대 보안은 성능에 영향을 미칩니다. 최대 보안이 필요하지 않은 통제된 환경이 있는 경우 다른 설정을 사용할 수 있습니다.

글로벌 설정
글로벌 설정은 최소 수준의 인증 및 암호화를 결정합니다. 이러한 기준을 충족하지 않는 연결 시도는 실패합니다.

클라이언트별 설정
클라이언트별로 설정을 정의한 경우 선택한 설정은 클라이언트별 최대 인증 설정 및 최대 글로벌 인증 설정과 일치하거나 더 커야 합니다.
예를 들어 다음과 같습니다.

• 클라이언트가 "양방향 비밀번호" 인증을 요구하도록 구성되어 있고 글로벌 인증 설정이 양방향 TLS인 경우 양방향 TLS 인증을 사용해야 합니다.
• 클라이언트가 인증 설정 "양방향 TLS"로 구성되어 있고 글로벌 설정이 "양방향 비밀번호"인 경우 "양방향 TLS"를 사용해야 합니다.

호출자 지정 값
호출자 지정 값이 글로벌 또는 클라이언트별 설정보다 낮으면 연결이 허용되지 않습니다. 그러나 호출자 지정 값이 글로벌 또는 클라이언트별 설정보다 높으면 호출자 지정 값을 사용하여 연결됩니다.
예를 들어 호출자가 "양방향 비밀번호"를 지정하지만 글로벌 또는 클라이언트별 값이 "양방향"인 경우 연결 시도가 실패합니다. 그러나 호출자가 "양방향"을 지정하고 글로벌 및 클라이언트별 값이 "양방향 비밀번호"인 경우 "양방향" 인증이 사용됩니다.

인증 및 암호화 옵션
글로벌 설정과 인증 및 암호화 설정 모두에 대해 3가지 허용된 설정 중 하나를 선택할 수 있습니다.
클라이언트별 설정의 경우 5가지 인증 설정과 3가지 암호화 설정(글로벌 설정과 동일한 암호화 설정)이 허용됩니다.

글로벌 인증 및 암호화 옵션
global-authentication-mode 및 global-encryption-strength 옵션을 통해 다양한 선택이 가능합니다.

인증 설정
다음 목록에는 인증 값의 순위가 가장 약한 값에서 가장 강한 값 순으로 나와 있습니다.

1. none
   보호되지 않음. 기본 설정입니다.

2. anonymous
   이 옵션은 MITM 공격에 대해 안전하지 않습니다.

   전송 중인 데이터가 암호화됩니다.

3. one-way
   이 방법을 사용하려면 인증서를 사용해야 합니다.
   이는 MITM 공격으로부터 안전하지 않습니다.
   전송 중인 데이터가 암호화됩니다.

4. two-way password
   이 옵션은 MITM 공격으로부터 안전합니다.
   전송 중인 데이터가 암호화됩니다.

5. two-way
   이 옵션을 사용하려면 인증서 사용자가 필요합니다.
   이는 가장 안전한 옵션이며 MITM 공격으로부터 안전합니다.
   전송 중인 데이터가 암호화됩니다.

암호화 설정
다음 목록에는 암호화 값의 순위가 가장 약한 값에서 가장 강한 값 순으로 나와 있습니다.

1. none
   보호되지 않음. 기본 설정입니다.
   인증이 "none"인 경우에만 지정할 수 있습니다.

2. medium
   AES 128 및 SHA-1을 사용합니다.

3. high
   AES 256 및 SHA-1을 사용합니다.

글로벌 인증
세 가지 global-authentication-mode 옵션은 서로 다른 수준의 보호 및 이전 버전과의 호환성을 제공합니다.
글로벌 인증 및 암호화 값은 DD Boost 서버의 CLI(Command Line Interface) 명령을 통해서만 설정할 수 있습니다. 이러한 값을 설정하는 데 사용하는 CLI 명령은 다음 섹션에 설명되어 있습니다.

없음

ddboost option set global-authentication-mode none
global-encryption-strength none

"none"은 가장 안전하지 않지만 이전 버전과 가장 잘 호환되는 옵션입니다.
시스템에 중요한 성능 요구 사항이 있고 MITM 공격으로부터 보호할 필요가 없는 경우 "none"을 선택할 수 있습니다.
시스템은 TLS로 인한 성능 저하 없이 이전과 동일한 방식으로 작동할 수 있습니다.
인증을 "none"으로 설정하면 암호화도 "none"으로 설정해야 합니다. "none"이 아닌 다른 인증 설정을 선택하면 암호화 설정이 "none"이 될 수 없습니다.

양방향 비밀번호

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

양방향 비밀번호 방법은 PSK(Pre-Shared Key) 인증과 함께 TLS를 사용하여 양방향 인증을 수행합니다. 클라이언트와 보호 시스템은 모두 이전에 설정한 비밀번호를 사용하여 인증됩니다. 이 옵션을 선택하면 클라이언트와 보호 시스템 간의 모든 데이터와 메시지가 암호화됩니다.
이 옵션은 DD Boost for OpenStorage에서 사용할 수 있는 유일한 보안 옵션이며 MITM(Man-in-the-Middle) 공격으로부터 완벽하게 보호합니다.
암호화 강도는 medium 또는 high여야 합니다.
양방향 비밀번호 인증은 MITM에 대해 보안이 유지되고 호출자가 지정하지 않고 수행할 수 있는 유일한 방법이므로 고유합니다.

양방향

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

가장 안전한 옵션입니다.
양방향 옵션은 인증서와 함께 TLS를 사용합니다. 양방향 인증은 애플리케이션에서 제공하는 인증서를 사용하여 수행됩니다.
이 설정은 기존 인증서 사용과 호환됩니다. 글로벌 인증 설정을 "양방향"으로 설정하려면 보호 시스템에 연결하는 모든 애플리케이션이 인증서를 지원하고 제공해야 합니다.
인증서를 지원하지 않고 양방향 인증을 지정하지 않으며 ddp_connect_with_config API를 통해 인증서를 제공하는 모든 애플리케이션은 실패합니다.

이전 버전과의 호환성 시나리오
이전 클라이언트 및 새 보호 시스템
이 경우 Boost 라이브러리를 사용하는 애플리케이션이 DDOS 6.1 이상 버전에 사용됩니다. 이 시나리오에서는 클라이언트가 양방향 비밀번호 인증을 수행할 수 없으며 다음과 같은 결과가 발생합니다.

• 클라이언트가 "양방향 비밀번호" 인증을 수행할 수 없으므로 모든 글로벌 인증 설정은 "none" 또는 "two-way"로 설정해야 합니다.
  클라이언트별 인증 설정은 같은 이유로 "양방향 비밀번호"를 제외한 임의의 값으로 설정할 수 있습니다.
• 양방향 비밀번호의 글로벌 또는 클라이언트별 설정으로 인해 이전 클라이언트 라이브러리를 사용하는 애플리케이션이 실패하게 됩니다.
• 새 보호 시스템은 이전 클라이언트에 대한 기존 연결 프로토콜을 지원합니다.

새 클라이언트 및 이전 보호 시스템
이전 보호 시스템은 "양방향 비밀번호" 인증을 수행할 수 없으며 다음과 같은 문제가 발생합니다.

• 글로벌 인증 또는 암호화 설정이 없습니다.
• 클라이언트별 보호 시스템 인증 설정은 "양방향 비밀번호"가 될 수 없습니다.
• 클라이언트는 먼저 새 연결 프로토콜 또는 RPC를 사용하려고 시도합니다. 오류가 발생하면 클라이언트는 이전 프로토콜로 되돌아갑니다.
• 클라이언트는 "양방향 비밀번호"를 제외한 다른 인증 방법으로 연결할 수 있습니다.

인증 및 암호화 설정 예제
다음 표에서는 호출, 클라이언트별 설정 및 글로벌 설정을 사용하여 지정된 설정의 예제, 그리고 이러한 설정이 성공할 수 있는지 여부를 보여줍니다.
이 예에서는 DDOS 6.1 이상을 사용하는 보호 시스템에 DD Boost 클라이언트가 연결되어 있다고 가정합니다. 이러한 예는 이전 버전과의 호환성 시나리오에 설명된 상황에는 적용되지 않습니다.

단일 설정

다중 설정

Data Domain: DDBoost 클라이언트의 기본 인증 모드는 OTW(Over-the-Wire) 암호화를 제공하지 않음
Data Domain - DD Boost용 인증서 관리