Data Domain – Globale DD Boost-Authentifizierung und -Verschlüsselung

Die Boost-Verschlüsselung und -Authentifizierung hängt von der Client-Kompatibilität ab. Lesen Sie die Informationen und die Tabelle unten.
Sie können Authentifizierungs- und Verschlüsselungseinstellungen auf drei Arten festlegen, die in diesem Dokument beschrieben werden.

In-Flight-Verschlüsselung
Mit der In-Flight-Verschlüsselung können Anwendungen In-Flight-Backup- oder -Wiederherstellungsdaten aus dem Schutzsystem über LAN verschlüsseln. Diese Funktion wurde eingeführt, um eine sicherere Datenübertragung zu gewährleisten.
Wenn sie konfiguriert ist, kann der Client die Sitzung zwischen dem Client und dem Schutzsystem mittels TLS verschlüsseln. Die verwendete Verschlüsselungssuite ist in der folgenden Tabelle aufgeführt.

DD Boost-Client 3.3 bis 7.0 und 7.5 und höher

DD Boost-Client 3.3 bis 7.0 und 7.5 und höher (Fortsetzung)

DD Boost-Client 7.1 bis 7.4

DD Boost-Client 7.1 bis 7.4 (Fortsetzung)

Globale Authentifizierung und Verschlüsselung
DD Boost bietet globale Authentifizierungs- und Verschlüsselungsoptionen, um Ihr System vor Man-in-the-Middle-Angriffen (MITM) zu schützen.
Die globalen Optionen sorgen dafür, dass neue Clients geschützt sind, ermöglichen aber auch die Konfiguration unterschiedlicher Werte für jeden Client. Darüber hinaus kann mit den Client-Einstellungen die Sicherheit nur verstärkt und nicht verringert werden.
Durch Festlegen des globalen Authentifizierungsmodus und der Verschlüsselungsstärke werden Mindestanforderungen für die Authentifizierung und Verschlüsselung festgelegt. Alle Verbindungsversuche von Clients müssen diese Anforderungen erfüllen oder übertreffen.

Die globalen Standardoptionen sind abwärtskompatibel, d. h.:

• Sie müssen die DD Boost-Bibliothek nicht aktualisieren.
  Alle bestehenden Clients und Anwendungen funktionieren auf dieselbe Weise mit den Standardeinstellungen der neuen Optionen.
• Es gibt keine Auswirkungen auf die Performance, da keine zusätzliche Verschlüsselung vorhanden ist.
• Clients und Anwendungen, die Zertifikate mit TLS (Transport Layer Security) verwenden, können weiterhin ohne Änderungen ausgeführt werden.
  HINWEIS: Wenn sich die globalen Einstellungen von den Standardeinstellungen unterscheiden, müssen vorhandene Clients möglicherweise aktualisiert werden.

Methoden zum Festlegen von Authentifizierung und Verschlüsselung
Sie können die Authentifizierungs- und Verschlüsselungseinstellungen auf drei Arten festlegen.

• Verbindungsanfrage
  Dazu verwenden Sie die ddp_connect_with_config-API in der Client-Anwendung.
• Client-spezifische Einstellungen
  Dazu verwenden Sie CLI-Befehle auf dem Schutzsystem.
• Globale Einstellungen
  Dazu verwenden Sie CLI-Befehle auf dem Schutzsystem.

Wenn sowohl Client-spezifische Einstellungen als auch globale Werte festgelegt sind, wird die stärkere bzw. höhere Einstellung erzwungen. Jeder Client, der versucht, eine Verbindung mit einer schwächeren Authentifizierungs- oder Verschlüsselungseinstellung herzustellen, wird abgelehnt.

Authentifizierungs- und Verschlüsselungseinstellungen
Sie können bei der Auswahl der Authentifizierungs- und Verschlüsselungseinstellungen mehrere Faktoren berücksichtigen. Es wird jedoch empfohlen, immer die höchste verfügbare Einstellung für maximale Sicherheit zu wählen.
Die maximale Sicherheitsstufe wirkt sich jedoch auf die Performance aus. Wenn Sie eine kontrollierte Umgebung haben, in der keine maximale Sicherheit erforderlich ist, sollten Sie möglicherweise andere Einstellungen verwenden.

Globale Einstellungen
Die globalen Einstellungen legen die Mindestanforderungen für die Authentifizierung und Verschlüsselung fest. Verbindungsversuche, die diese Kriterien nicht erfüllen, schlagen fehl.

Client-spezifische Einstellungen
Wenn die Einstellungen pro Client festgelegt werden, muss die von Ihnen ausgewählte Einstellung entweder mit der höchsten Authentifizierungseinstellung pro Client und der höchsten globalen Authentifizierungseinstellung übereinstimmen oder diese übertreffen.
Zum Beispiel:

• Wenn für einen Client „two-way password“-Authentifizierung erforderlich ist und die globale Authentifizierungseinstellung „two-way TLS“ lautet, muss die „two-way TLS“-Authentifizierung verwendet werden.
• Wenn der Client mit der Authentifizierungseinstellung „two-way TLS“ konfiguriert ist und die globale Einstellung „two-way password“ lautet, muss „two-way TLS“ verwendet werden.

Vom Aufrufer angegebene Werte
Wenn die vom Aufrufer angegebenen Werte niedriger als die globalen oder die Client-spezifischen Einstellungen sind, ist die Verbindung nicht zulässig. Wenn die vom Aufrufer angegebenen Werte höher sind als die globalen oder die Client-spezifischen Einstellungen, wird die Verbindung mit den vom Aufrufer angegebenen Werten hergestellt.
Wenn der Aufrufer beispielsweise „two-way-password“ angibt, die globalen oder die Client-spezifischen Einstellungen jedoch „two-way“ lauten, schlägt der Verbindungsversuch fehl. Wenn der Aufrufer jedoch „two-way“ angegeben hat und die globalen und die Client-spezifischen Einstellungen „two-way-password“ lauten, wird die „two-way“-Authentifizierung verwendet.

Authentifizierungs- und Verschlüsselungsoptionen
Sie können eine von drei zulässigen Einstellungen sowohl für die globalen als auch für die Authentifizierungs- und Verschlüsselungseinstellungen auswählen.
Für die Client-spezifischen Einstellungen sind fünf Authentifizierungseinstellungen und drei Verschlüsselungseinstellungen (dieselben Verschlüsselungseinstellungen wie für die globalen Einstellungen) zulässig.

Globale Authentifizierungs- und Verschlüsselungsoptionen
Sie haben mit den Optionen global-authentication-mode und global-encryption-strength eine Reihe von Auswahlmöglichkeiten.

Authentifizierungseinstellungen
In der folgenden Liste werden die Authentifizierungswerte von am schwächsten bis am stärksten aufgeführt:

1. none
   Nicht sicher; dies ist die Standardeinstellung.

2. anonymous
   Diese Option schützt nicht vor MITM-Angriffen.

   In-Flight-Daten werden verschlüsselt.

3. one-way
   Diese Methode erfordert die Verwendung von Zertifikaten.
   Sie schützt nicht vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

4. two-way password
   Diese Option schützt vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

5. two-way
   Diese Option erfordert die Verwendung von Zertifikaten.
   Dies ist die sicherste Option und schützt vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

Verschlüsselungseinstellungen
In der folgenden Liste werden die Verschlüsselungswerte von am schwächsten bis am stärksten aufgeführt:

1. none
   Nicht sicher; dies ist die Standardeinstellung.
   Kann nur festgelegt werden, wenn die Authentifizierung „none“ lautet.

2. medium
   Verwendet AES 128 und SHA-1.

3. high
   Verwendet AES 256 und SHA-1.

Globale Authentifizierung
Die drei global-authentication-mode-Optionen bieten unterschiedliche Stufen an Schutz und Abwärtskompatibilität.
Die globalen Authentifizierungs- und Verschlüsselungswerte können nur über CLI-Befehle (Befehlszeilenschnittstelle) auf dem DD Boost-Server festgelegt werden. Die CLI-Befehle für die Festlegung dieser Werte werden in den folgenden Abschnitten beschrieben.

Keine

ddboost option set global-authentication-mode none
global-encryption-strength none

„None“ ist die unsicherste Option, bietet aber die höchste Abwärtskompatibilität.
Sie können „none“ auswählen, wenn Ihr System hohe Performanceanforderungen hat und Sie keinen Schutz vor MITM-Angriffen benötigen.
Ihr System arbeitet auf die gleiche Weise wie zuvor, ohne dass es zu Performanceeinbußen aufgrund von TLS kommt.
Wenn die Authentifizierung auf „none“ festgelegt ist, muss auch die Verschlüsselung auf „none“ festgelegt werden. Wenn Sie für die Authentifizierung eine andere Einstellung als „none“ auswählen, darf die Verschlüsselungseinstellung nicht „none“ lauten.

Two-Way Password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Die „two-way password“-Methode führt eine bidirektionale Authentifizierung über TLS mit Pre-shared Key-(PSK-)Authentifizierung durch. Sowohl der Client als auch das Schutzsystem werden mit den zuvor festgelegten Kennwörtern authentifiziert. Wenn diese Option ausgewählt ist, werden alle Daten und Nachrichten zwischen dem Client und dem Schutzsystem verschlüsselt.
Diese Option ist die einzige sichere Option für DD Boost for OpenStorage und schützt vollständig vor Man-in-the-Middle-Angriffen (MITM).
Die Verschlüsselungsstärke muss entweder „medium“ oder „high“ lauten.
Die bidirektionale Kennwortauthentifizierung ist einzigartig, da sie die einzige Methode ist, die sowohl vor MITM schützt als auch ohne Angabe vom Aufrufer erfolgen kann.

Two-Way

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dies ist die sicherste Option.
Bei der bidirektionalen Option wird TLS mit Zertifikaten verwendet. Die bidirektionale Authentifizierung wird mithilfe von Zertifikaten erreicht, die von der Anwendung bereitgestellt werden.
Diese Einstellung ist kompatibel mit der bestehenden Verwendung von Zertifikaten. Damit die globale Authentifizierungseinstellung auf „two-way“ festgelegt werden kann, müssen alle Anwendungen, die mit dem Schutzsystem verbunden sind, Zertifikate unterstützen und bereitstellen.
Anwendungen, die keine Zertifikate unterstützen, keine bidirektionale Authentifizierung angeben und Zertifikate über die ddp_connect_with_config-API bereitstellen, schlagen fehl.

Abwärtskompatibilitätsszenarien
Älterer Client und neues Schutzsystem
In diesem Fall wird eine Anwendung mit einer Boost-Bibliothek mit DDOS 6.1 oder höher eingesetzt. In diesem Szenario kann der Client keine bidirektionale Kennwortauthentifizierung durchführen, was die folgenden Auswirkungen hat:

• Alle globalen Authentifizierungseinstellungen müssen auf „none“ oder „two-way“ festgelegt werden, da der Client keine „two-way-password“-Authentifizierung durchführen kann.
  Für die Client-spezifischen Authentifizierungseinstellungen kann aus demselben Grund ein beliebiger Wert außer „two-way-password“ festgelegt werden.
• Alle globalen oder Client-spezifischen Einstellungen mit „two-way password“ führen dazu, dass Anwendungen mit älteren Client-Bibliotheken fehlschlagen.
• Das neue Schutzsystem unterstützt vorhandene Verbindungsprotokolle für ältere Clients.

Neuer Client und älteres Schutzsystem
Das ältere Schutzsystem kann keine bidirektionale Kennwortauthentifizierung durchführen, was die folgenden Auswirkungen hat:

• Es gibt keine globalen Authentifizierungs- oder Verschlüsselungseinstellungen.
• Die Client-spezifische Authentifizierungseinstellung des Schutzsystems darf nicht „two-way password“ lauten.
• Der Client versucht zunächst, das neue Verbindungsprotokoll oder RPC zu verwenden. Bei einem Fehler kehrt der Client zum alten Protokoll zurück.
• Der Client kann eine Verbindung mit anderen Authentifizierungsmethoden außer „two-way-password“ herstellen.

Beispiele für Authentifizierungs- und Verschlüsselungseinstellungen
Die folgenden Tabellen zeigen Beispiele, in denen Einstellungen mithilfe von Aufrufen, Client-spezifischen Einstellungen und globalen Einstellungen angegeben werden, und ob diese Einstellungen erfolgreich sind.
In diesen Beispielen wird davon ausgegangen, dass Sie über eine DD Boost-Client-Verbindung zu einem Schutzsystem mit DDOS 6.1 oder höher verfügen. Diese Beispiele gelten nicht für die unter „Abwärtskompatibilitätsszenarien“ beschriebenen Situationen.

Eine Einstellung

Mehrere Einstellungen

Data Domain: Standardauthentifizierungsmodus für DDBoost-Clients bietet keine Übertragungsverschlüsselung
Data Domain – Managen von Zertifikaten für DD Boost