Data Domain — глобальная аутентификация и шифрование DD Boost
Summary: В этой статье представлена информация о глобальной аутентификации и шифровании DD Boost, которая получена по новейшим актуальным данным из документации по ddos 7.13 boost. В настоящем руководстве PowerProtect DD System под «системой защиты» или просто «системой» понимаются устройства PowerProtect DD Series, работающие под управлением DD OS 7.4 или более поздней версии и более ранние версии систем PowerProtect DD. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Усиление шифрования и аутентификации зависит от совместимости клиента. Ознакомьтесь с информацией и таблицей ниже.
Параметры аутентификации и шифрования можно указать тремя способами, которые описываются далее в этом документе.
Шифрование в процессе работы
. Позволяет приложениям шифровать резервное копирование в процессе работы или восстанавливать данные по сети LAN из системы защиты. Эта функция реализована для возможности более безопасной передачи данных.
При настройке клиент может использовать протокол TLS для шифрования сессии между клиентом и системой защиты. Конкретный используемый пакет алгоритмов шифрования приведен в таблице ниже.
ПРИМЕЧАНИЕ. Конкретный используемый пакет алгоритмов шифрования — ADH-AES256-SHA, если выбран параметр «High Encryption», или ADHAES128-SHA, если выбран параметр «Medium Encryption».
DD Boost Client 3.3 обновлен до версии 7.0 и 7.5 после 7.5
| DDOS 7.5 и более поздних версий | |||
|---|---|---|---|
| Encryption Medium | Encryption High | ||
| DD Boost Client 3.3 обновлен до версии 7.0 и DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Client 7.5 и более поздних версий | Односторонние или двусторонние сертификаты | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost Client 3.3 обновлен до версии 7.0 и 7.5 после 7.5 (продолжение)
| DDOS 7.4 и более поздних версий | |||
|---|---|---|---|
| Encryption Medium | Encryption High | ||
| DD Boost Client 3.3 обновлен до версии 7.0 и DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| Client 7.5 и более поздних версий | Односторонние или двусторонние сертификаты | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost Client c версии 7.1 до 7.4
| DDOS 7.5 и более поздних версий | |||
|---|---|---|---|
| DD Boost Client c версии 7.1 до 7.4 | Encryption Medium | Encryption High | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| Односторонние или двусторонние сертификаты | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost Client c версии 7.1 до 7.4 (продолжение)
| DDOS 7.4 и более поздних версий | |||
|---|---|---|---|
| DD Boost Client c версии 7.1 до 7.4 | Encryption Medium | Encryption High | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| Односторонние или двусторонние сертификаты | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
Глобальная аутентификация и шифрование
DD Boost предлагает параметры глобальной аутентификации и шифрования для защиты системы от атак посредника (MITM).
Глобальные параметры обеспечивают безопасность новых клиентов, но также позволяют устанавливать уникальные значения для каждого из них. Кроме того, параметры клиента могут только повысить безопасность, а не снизить ее уровень.
Настройка режима глобальной аутентификации и надежности шифрования формирует минимальные уровни обоих параметров. Все попытки подключения всех клиентов должны соответствовать этим уровням или превышать их.
ПРИМЕЧАНИЕ. Эти меры не включены по умолчанию; параметры требуется изменять вручную.
Глобальные параметры по умолчанию обратно совместимы, и это означает:
- Обновление библиотеки DD Boost не требуется.
Все существующие клиенты и приложения работают одинаково с параметрами по умолчанию новых настроек. - Это не влияет на производительность, так как не добавлено шифрование.
- Клиенты и приложения, использующие сертификаты с безопасностью транспортного уровня (TLS), могут продолжать работать без изменений.
ПРИМЕЧАНИЕ. Если глобальные параметры отличаются от параметров по умолчанию, существующие клиенты, вероятно, потребуют обновления.
Способы настройки аутентификации и шифрования
Можно указать параметры аутентификации и шифрования тремя способами.
- Запрос подключения
Выполняется с помощью API-интерфейса ddp_сonnect_with_config в клиентском приложении. - Параметры каждого клиента
Это можно сделать с помощью команд интерфейса командной строки в системе защиты. - Глобальные параметры
Это можно сделать с помощью команд интерфейса командной строки в системе защиты.
Если заданы значения параметров как для каждого клиента, так и для глобальных параметров, применяется более надежное или высокое значение. Отклоняется любой клиент, который пытается подключиться с более слабым параметром аутентификации или шифрования.
Параметры аутентификации и шифрования
При выборе параметров аутентификации и шифрования можно учитывать несколько факторов. Однако для обеспечения максимальной безопасности рекомендуется всегда выбирать максимально доступный параметр.
Максимальная безопасность влияет на производительность. Если у вас есть контролируемая среда, в которой максимальная безопасность не требуется, можно использовать другие параметры.
Глобальные параметры
Глобальный параметр определяет минимальные уровни аутентификации и шифрования. Попытки подключения, не соответствующие этим критериям, завершаются сбоем.
Параметры для каждого клиента
Если параметр определен для каждого клиента, выбранный параметр должен совпадать или превышать значение максимального параметра аутентификации для каждого клиента и максимального параметра глобальной аутентификации.
Например:
- Если клиент настроен на требование аутентификации с двусторонним паролем, а параметр глобальной аутентификации имеет значение «двухсторонняя TLS», нужно использовать аутентификацию с двусторонней TLS.
- Если клиент настроен на требование аутентификации с двусторонней TLS, а параметр глобальной аутентификации имеет значение «двухсторонние пароли», нужно использовать аутентификацию с двусторонней TLS.
Значения, заданные обратившимся по телефону пользователем
Если значения, заданные обратившимся по телефону пользователем, меньше глобальных параметров или параметров для каждого клиента, то соединение не будет разрешено. Однако если значения, заданные обратившимся по телефону пользователем, превышают глобальные параметры или параметры для каждого клиента, подключение выполняется с использованием значений, заданных обратившимся по телефону пользователем.
Например, если обратившийся по телефону пользователь указывает «двусторонний пароль», но либо глобальный параметр, либо параметр для каждого клиента имеет значение «двусторонний», попытка подключения завершается сбоем. Если обратившийся по телефону пользователь указал значение «двусторонний», а значения глобального параметра и параметра для каждого клиента — «двусторонний пароль», используется «двусторонняя» аутентификация.
Настройки аутентификации и шифрования
Вы можете выбрать один из трех доступных режимов для глобальных параметров, а также для параметров аутентификации и шифрования.
Для параметров каждого клиента допустимо пять параметров аутентификации и три параметра шифрования (те же параметры шифрования, что и для глобальных параметров).
ПРИМЕЧАНИЕ. Значения аутентификации и шифрования задаются одновременно ввиду зависимостей.
Настройки глобальной аутентификации и шифрования
Вам доступен целый ряд вариантов на выбор с global-authentication-mode и global-encryption-strength.
Параметры аутентификации
Ниже приведен список значений аутентификации, от самых незащищенных до наиболее надежных:
-
none
Небезопасно; это параметр по умолчанию. -
anonymous
Этот параметр не защищен от атак MITM.Данные в процессе работы шифруются.
-
one-way
Для этого метода требуется использование сертификатов.
Этот параметр не защищен от атак MITM.
Данные в процессе работы шифруются. -
two-way password
Этот параметр не защищен от атак MITM.
Данные в процессе работы шифруются. -
two-way
Для этого варианта требуется использование сертификатов.
Это самый безопасный вариант, с защитой от атак MITM.
Данные в процессе работы шифруются.
Примечание. Варианты «anonymous» и «one-way» разрешены только по параметрам для каждого клиента, а не для глобальных параметров.
Параметры аутентификации
Ниже приведен список значений шифрования, от самых незащищенных до наиболее надежных:
-
none
Небезопасно; это параметр по умолчанию.
Можно указать только в том случае, если для аутентификации установлено значение «none». -
medium
Использует AES 128 и SHA-1. -
high
Использует AES 256 и SHA-1.
ПРИМЕЧАНИЕ. Средние и высокие уровни безопасности используют алгоритм SHA-1 в зависимости от версии клиента и режима аутентификации. Дополнительные сведения см. в таблице в разделе «Шифрование в процессе работы».
Глобальная аутентификация
Три варианта режима-глобальной-аутентификации обеспечивают разные уровни безопасности и обратной совместимости.
Значения глобальной аутентификации и шифрования можно задавать только с помощью команд интерфейса командной строки (CLI) на сервере DD Boost. Команды интерфейса командной строки, которые используются для задания этих значений, описаны в следующих разделах.
Нет
ddboost option set global-authentication-mode none global-encryption-strength none
«None» — наименее безопасный, но наиболее обратно совместимый вариант.
Можно выбрать «none», если система имеет критически важные требования к производительности и не требуется защита от атак MITM.
Система может работать так же, как и раньше, без снижения производительности из-за TLS.
Если для аутентификации установлено значение «none», для шифрования должно быть установлено значение «none». Если для аутентификации выбрано отличный от «none» значение, параметр шифрования не может иметь значение «none».
«Two-way password»
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
Метод с использованием двустороннего пароля проводит двустороннюю аутентификацию через TLS с общим ключом (PSK). Аутентификация клиента и системы защиты выполняются с использованием ранее установленных паролей. Если выбран этот вариант, все данные и сообщения между клиентом и системой защиты шифруются.
Это единственный безопасный вариант, доступный в DD Boost для OpenStorage и полностью защищенный от атак посредника (MITM).
Надежность шифрования должна быть средней или высокой.
Аутентификация с двусторонним паролем уникальна, поскольку это единственный метод, который защищен от MITM и может выполняться без указания обратившимся по телефону пользователем.
«Two-way»
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Это самый безопасный вариант.
Вариант «two-way» использует протокол TLS с сертификатами. Двусторонняя аутентификация обеспечивается с помощью сертификатов, предоставленных приложением.
Этот параметр совместим с действующим использованием сертификатов. Для установки параметра глобальной аутентификации на значение «two-way» все приложения, подключенные к системе защиты, должны поддерживать и предоставлять сертификаты.
Любое приложение, которое не поддерживает сертификаты и не указывает двустороннюю аутентификацию, а также предоставляет сертификаты через API-интерфейс ddp_сonnect_with_config, завершит работу сбоем.
ПРИМЕЧАНИЕ. Вариант двусторонней аутентификации недоступен в DD Boost для OpenStorage. Если в режиме глобальной аутентификации выбрано значение «two-way», то все приложения OST завершат работу сбоем.
Сценарии обратной совместимости.
Более старый клиент и новая система защиты
В этом случае приложение, использующее библиотеку Boost, используется с DDOS 6.1 или более поздней версии. В этом сценарии клиент не может выполнять аутентификацию с двусторонним паролем, что имеет следующие последствия:
- Для всех параметров глобальной аутентификации должно быть установлено значение «none» или «two-way», поскольку клиент не может выполнять аутентификацию со значением «two-way password».
По той же причине параметры аутентификации для каждого клиента могут иметь любое значение, кроме «two-way-password». - Любые глобальные параметры или параметры для каждого клиента со значением «two-way password» приводят к сбою приложений с более старыми клиентскими библиотеками.
- Новая система защиты поддерживает существующие протоколы подключения для старых клиентов.
Новый клиент и более старая система защиты
Более старая система защиты не может выполнять аутентификацию со значением «two-way password», что имеет следующие последствия:
- Параметры глобальной аутентификации или шифрования отсутствуют.
- Параметр аутентификации системы защиты для каждого клиента не может иметь значение «two-way password».
- Клиент сначала попытается использовать новый протокол подключения или RPC; в случае сбоя клиент возвращается к старому протоколу.
- Клиент может подключаться с использованием других методов аутентификации, кроме «two-way password».
Примеры параметров аутентификации и шифрования
В следующих таблицах приведены примеры параметров, заданных при обращении по телефону, параметров для каждого клиента и глобальных параметров, а также возможность успешного применения этих параметров.
В примерах предполагается, что DD Boost Client подключен к системе защиты с DDOS 6.1 или более поздней версии. Ни один из этих примеров не относится к описанным в разделе «Сценарии обратной совместимости».
ПРИМЕЧАНИЕ. Если для глобального параметра или параметров для каждого клиента требуется двусторонняя аутентификация, обратившийся по телефону клиент должен указать это и предоставить необходимые сертификаты.
Один параметр
| Указание при обращении по телефону | Параметры для каждого клиента | Глобальные параметры | Используемые значения |
|---|---|---|---|
| None | None | None | УСПЕШНО Аутентификация: none Шифрование: none |
| Аутентификация: two-way password Шифрование: medium |
None | None | УСПЕШНО Аутентификация: two-way password Шифрование: medium |
| None | Аутентификация: two-way password Шифрование: medium |
None | УСПЕШНО Аутентификация: two-way password Шифрование: medium |
| None | None | Аутентификация: two-way password Шифрование: medium | УСПЕШНО Аутентификация: two-way password Шифрование: medium |
| None | None | Аутентификация: two-way Шифрование: high |
СБОЙ Требуются значения «two-way» и «high». Клиент должен указать значение «two-way» и предоставить сертификаты. |
| Аутентификация: two-way Шифрование: high | None | None | УСПЕШНО Аутентификация: two-way Шифрование: high |
Несколько параметров
| Указание при обращении по телефону | Параметры для каждого клиента | Глобальные параметры | Используемые значения |
|---|---|---|---|
| Аутентификация: two-way Шифрование: medium |
None | Аутентификация: two-way Шифрование: high |
СБОЙ Требуются значения «two-way» и «high». |
| None | Аутентификация: two-way Шифрование: high |
Аутентификация: two-way password Шифрование: medium |
СБОЙ Требуются значения «two-way» и «high». Клиент должен указать значение «two-way» и предоставить сертификаты. |
| Аутентификация: two-way Шифрование: high |
Аутентификация: two-way-password Шифрование: high |
Аутентификация: two-way Шифрование: medium |
УСПЕШНО Аутентификация: two-way Шифрование: high |
| None | Аутентификация: two-way password Шифрование: medium |
Аутентификация: two-way Шифрование: medium |
СБОЙ Требуются значения «two-way» и «medium». Клиент должен указать значение «two-way» и предоставить сертификаты. |
| Аутентификация: two-way Шифрование: high |
Аутентификация: two-way Шифрование: medium |
Аутентификация: two-way Шифрование: medium |
УСПЕШНО Аутентификация: two-way Шифрование: high |
Additional Information
Data Domain. Режим аутентификации по умолчанию для DDBoost Clients не обеспечивает шифрование сетевого трафика.
Data Domain — управление сертификатами для DD Boost
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.